Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Eventos de disponibilidad para los eventos de disponibilidad para los eventos AWS Control Tower
Algunos eventos registrados por AWS Control Tower son eventos del ciclo de vida. El propósito de un evento del ciclo de vida es marcar la finalización de determinadas acciones de AWS Control Tower que cambian el estado de los recursos. Los eventos del ciclo de vida se aplican a los recursos que AWS Control Tower crea o administra, como las unidades organizativas (OU), las cuentas y los controles.
Características de los eventos del ciclo de vida de AWS Control Tower
-
En cada evento del ciclo de vida, el registro de eventos muestra si la acción de Control Tower de origen se completó correctamente o falló.
-
AWS CloudTrailregistra automáticamente cada evento del ciclo de vida como un evento de AWSservicio que no es de la API. Para obtener más información, consulte la Guía deAWS CloudTrail usuario de la.
-
Cada evento del ciclo de vida también se entrega a los servicios de Amazon EventBridge y Amazon CloudWatch Events.
Los eventos del ciclo de vida en AWS Control Tower ofrecen dos ventajas principales:
-
Dado que un evento del ciclo de vida registra la finalización de una acción de AWS Control Tower, puede crear una regla de Amazon o una EventBridge regla de Amazon CloudWatch Events que pueda activar los siguientes pasos del flujo de trabajo de automatización, en función del estado del evento del ciclo de vida.
-
Los registros proporcionan detalles adicionales para ayudar a los administradores y auditores a revisar ciertos tipos de actividad en las organizaciones.
Cómo funcionan los eventos del ciclo de vida
AWS Control Tower depende de varios servicios para implementar sus acciones. Por lo tanto, cada evento del ciclo de vida se registra solo después de completar una serie de acciones. Por ejemplo, cuando habilita un control en una unidad organizativa, AWS Control Tower inicia una serie de pasos secundarios que implementan la solicitud. El resultado final de toda la serie de pasos secundarios se registra en el registro como el estado del evento del ciclo de vida.
-
Si todos los pasos secundarios subyacentes se han completado correctamente, el estado del evento del ciclo de vida se registra como Succeeded (Correcto).
-
Si alguno de los pasos secundarios subyacentes no se ha completado correctamente, el estado del evento del ciclo de vida se registra como Failed (Error).
Cada evento del ciclo de vida incluye una marca de tiempo registrada que muestra cuándo se inició la acción de AWS Control Tower y otra marca de tiempo que muestra cuándo se completó el evento del ciclo de vida, lo que indica el éxito o el fracaso.
Visualización de eventos del ciclo de vida en Control Tower
Puede ver los eventos del ciclo de vida desde la página Actividades del panel AWS Control Tower.
-
Para navegar a la página Activities (Actividades), seleccione Activities (Actividades) en el panel de navegación izquierdo.
-
Para obtener más detalles acerca de un evento específico, seleccione el evento y, a continuación, haga clic en el botón View details (Ver detalles) en la parte superior derecha.
Para obtener más información sobre cómo integrar los eventos del ciclo de vida de AWS Control Tower en sus flujos de trabajo, consulte esta entrada de blog titulada Cómo utilizar los eventos del ciclo de vida para realizar un seguimiento de las acciones de AWS Control Tower y activar flujos de trabajo automatizados
Comportamiento esperado de CreateManagedAccount los eventos UpdateManagedAccount del ciclo de vida
Al crear una cuenta o inscribir una cuenta en AWS Control Tower, esas dos acciones invocan la misma API interna. Si se produce un error durante el proceso, normalmente se produce después de crear la cuenta, pero no se aprovisiona por completo. Cuando vuelve a intentar crear la cuenta después del error o cuando intenta actualizar el producto aprovisionado, AWS Control Tower comprueba que la cuenta ya existe.
Como la cuenta existe, AWS Control Tower registra el eventoUpdateManagedAccount del ciclo de vida en lugar del eventoCreateManagedAccount del ciclo de vida al final de la solicitud de reintento. Es posible que esperara ver otroCreateManagedAccount evento debido al error. Sin embargo, el eventoUpdateManagedAccount del ciclo de vida es el comportamiento esperado y deseado.
Si tiene previsto crear o inscribir cuentas en AWS Control Tower mediante métodos automatizados, programe la función Lambda para que busque tanto los eventos UpdateManagedAccountdel ciclo de vida como los eventos CreateManagedAccountdel ciclo de vida.
Nombres de eventos del ciclo de vida
Cada evento del ciclo de vida recibe un nombre que corresponda a la acción de AWS Control Tower de origen, que también registra AWS CloudTrail. Así, por ejemplo, se denomina a un evento del ciclo de vida originado por elCreateManagedAccount CloudTrail evento AWS Control TowerCreateManagedAccount.
Cada nombre de la lista siguiente es un enlace a un ejemplo del detalle registrado en formato JSON. Los detalles adicionales que se muestran en estos ejemplos provienen de los registros de CloudWatch eventos de Amazon.
Aunque JSON no admite comentarios, se han añadido algunos comentarios a los ejemplos con fines explicativos. Los comentarios van precedidos por "//" y aparecen en el lado derecho de los ejemplos.
En estos ejemplos, se ocultan algunos nombres de cuentas y de organizaciones. Un accountId es siempre una secuencia de 12 números, que se ha sustituido por "xxxxxxxxxxxx" en los ejemplos. Un organizationalUnitID es una cadena única de letras y números. Su forma se conserva en los ejemplos.
-
CreateManagedAccount: El registro registra si AWS Control Tower completó correctamente todas las acciones para crear y aprovisionar una nueva cuenta mediante la fábrica de cuentas.
-
UpdateManagedAccount: El registro registra si AWS Control Tower completó correctamente todas las acciones para actualizar un producto aprovisionado asociado a una cuenta que había creado anteriormente mediante Account Factory.
-
EnableGuardrail: El registro registra si AWS Control Tower completó correctamente todas las acciones para habilitar un control en una unidad organizativa creada por AWS Control Tower.
-
DisableGuardrail: El registro registra si AWS Control Tower completó correctamente todas las acciones para deshabilitar un control en una unidad organizativa creada por AWS Control Tower.
-
SetupLandingZone: El registro registra si AWS Control Tower completó correctamente todas las acciones para configurar una landing zone.
-
UpdateLandingZone: El registro registra si AWS Control Tower completó correctamente todas las acciones para actualizar su landing zone actual.
-
RegisterOrganizationalUnit: El registro registra si AWS Control Tower completó correctamente todas las acciones para habilitar sus funciones de gobierno en una unidad organizativa.
-
DeregisterOrganizationalUnit: El registro registra si AWS Control Tower completó correctamente todas las acciones para deshabilitar sus funciones de gobierno en una unidad organizativa.
-
PrecheckOrganizationalUnit: El registro registra si AWS Control Tower detectó algún recurso que pudiera impedir que la operación de gobierno de Extend se completara correctamente.
En las siguientes secciones se proporciona una lista de los eventos del ciclo de vida de AWS Control Tower, con ejemplos de los detalles registrados para cada tipo de evento del ciclo de vida.
CreateManagedAccount
Este evento del ciclo de vida registra si AWS Control Tower creó y aprovisionó correctamente una nueva cuenta mediante la fábrica de cuentas. Este evento corresponde alCreateManagedAccount CloudTrail evento AWS Control Tower. El registro de eventos del ciclo de vida incluye el accountName y accountId de la cuenta recién creada y el organizationalUnitName y organizationalUnitId de la OU en la que se ha colocado la cuenta.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "CreateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "createManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"XXXXXXXXXXXX" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully created a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }
UpdateManagedAccount
Este evento del ciclo de vida registra si AWS Control Tower actualizó correctamente el producto aprovisionado asociado a una cuenta que se creó anteriormente mediante la fábrica de cuentas. Este evento corresponde alUpdateManagedAccount CloudTrail evento AWS Control Tower. El registro de eventos del ciclo de vida incluye el accountName y accountId de la cuenta asociada y el organizationalUnitName y organizationalUnitId de la OU en la que se ha colocado la cuenta actualizada.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // AWS Control Tower organization management account. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"624281831893" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully updated a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }
EnableGuardrail
Este evento del ciclo de vida registra si AWS Control Tower habilitó correctamente un control en una unidad organizativa administrada por AWS Control Tower. Este evento corresponde alEnableGuardrail CloudTrail evento AWS Control Tower. El registro de eventos del ciclo de vida incluye elguardrailIdguardrailBehavior extremo del controlorganizationalUnitName y el extremoorganizationalUnitId de la unidad organizativa en la que está habilitado el control.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "EnableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "enableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }
DisableGuardrail
Este evento del ciclo de vida registra si AWS Control Tower deshabilitó correctamente un control en una unidad organizativa administrada por AWS Control Tower. Este evento corresponde alDisableGuardrail CloudTrail evento AWS Control Tower. El registro de eventos del ciclo de vida incluye elguardrailIdguardrailBehavior extremo del controlorganizationalUnitName y el extremoorganizationalUnitId de la unidad organizativa en la que el control está deshabilitado.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DisableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "disableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }
SetupLandingZone
Este evento del ciclo de vida registra si AWS Control Tower configuró correctamente una landing zone. Este evento corresponde alSetupLandingZone CloudTrail evento AWS Control Tower. El registro de eventos del ciclo de vida incluye elrootOrganizationalId identificador de la organización que AWS Control Tower crea a partir de la cuenta de administración. La entrada de registro también incluye elorganizationalUnitName yorganizationalUnitId para cada una de las unidades organizativasaccountName y el yaccountId para cada cuenta que se crean cuando AWS Control Tower configura la landing zone.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management-account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "SetupLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "setupLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire lifecycle operation. "message": "AWS Control Tower successfully set up a new landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
UpdateLandingZone
Este evento del ciclo de vida registra si AWS Control Tower actualizó correctamente su landing zone actual. Este evento corresponde alUpdateLandingZone CloudTrail evento AWS Control Tower. El registro de eventos del ciclo de vida incluye elrootOrganizationalId identificador de la organización (actualizada) gobernada por AWS Control Tower. La entrada de registro también incluye elorganizationalUnitName yorganizationalUnitId para cada una de las unidades organizativasaccountName y el yaccountId para cada cuenta que se crearon anteriormente, cuando AWS Control Tower configuró originalmente la landing zone.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire operation. "message": "AWS Control Tower successfully updated a landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
RegisterOrganizationalUnit
Este evento del ciclo de vida registra si AWS Control Tower habilitó correctamente sus funciones de gobierno en una unidad organizativa. Este evento corresponde alRegisterOrganizationalUnit CloudTrail evento AWS Control Tower. El registro de eventos del cicloorganizationalUnitId de vida incluye laorganizationalUnitName información y la unidad organizativa que AWS Control Tower ha incorporado a su control.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "123456789012", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "RegisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "registerOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully registered an organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", "organizationalUnitId": "ou-adpf-302pk332" } "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
DeregisterOrganizationalUnit
Este evento del ciclo de vida registra si AWS Control Tower deshabilitó correctamente sus funciones de gobierno en una unidad organizativa. Este evento corresponde alDeregisterOrganizationalUnit CloudTrail evento AWS Control Tower. El registro de eventos del ciclo de vida incluye la informaciónorganizationalUnitName yorganizationalUnitId la unidad organizativa en la que AWS Control Tower ha desactivado sus funciones de gobierno.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DeregisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "deregisterOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", // Foundational OU name. "organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID. }, "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
PrecheckOrganizationalUnit
Este evento del ciclo de vida registra si AWS Control Tower realizó correctamente las comprobaciones previas en una unidad organizativa. Este evento corresponde alPrecheckOrganizationalUnit CloudTrail evento AWS Control Tower. El registro de eventos del ciclo de vida contiene un campo paraId, yfailedPrechecks los valoresName, para cada recurso en el que AWS Control Tower ha realizado comprobaciones previas durante el proceso de registro de la OU.
El registro de eventos también contiene información sobre las cuentas anidadas en las que se realizaron las comprobaciones previas, incluidos losaccountNamefailedPrechecks camposaccountId, y.
Si elfailedPrechecks valor está vacío, significa que todas las comprobaciones previas de ese recurso se han realizado correctamente.
-
Este evento se emite solo si se produce un error en la comprobación previa.
-
Este evento no se emite si está registrando una unidad organizativa vacía.
Ejemplo de evento evento evento evento evento evento evento
{ "eventVersion": "1.08", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2021-09-20T22:45:43Z", "eventSource": "controltower.amazonaws.com", "eventName": "PrecheckOrganizationalUnit", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "XXXXXXXXXXXX", "serviceEventDetails": { "precheckOrganizationalUnitStatus": { "organizationalUnit": { "organizationalUnitName": "Ou-123", "organizationalUnitId": "ou-abcd-123456", "failedPrechecks": [ "SCP_CONFLICT" ] }, "accounts": [ { "accountName": "Child Account 1", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Child Account 2", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Management Account", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "MISSING_PERMISSIONS_AF_PRODUCT" ] }, { "accountName": "Child Account 3", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [] }, ... ], "state": "FAILED", "message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.", "requestedTimestamp": "2021-09-20T22:44:02+0000", "completedTimestamp": "2021-09-20T22:45:43+0000" } }, "eventCategory": "Management" }
