Détectez et corrigez les dérives dans AWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Détectez et corrigez les dérives dans AWS Control Tower

L'identification et la résolution des problèmes de dérive sont des tâches opérationnelles régulières pour les administrateurs de comptes de gestion d'AWS Control Tower. La résolution de la dérive contribue à garantir votre conformité aux exigences de gouvernance.

Lorsque vous créez votre zone d'atterrissage, celle-ci ainsi que toutes les unités organisationnelles (UO), les comptes et les ressources sont conformes aux règles de gouvernance appliquées par les contrôles que vous avez choisis. Lorsque vous et les membres de votre organisation utilisez la zone d'atterrissage, des modifications de ce statut de conformité peuvent se produire. Certaines modifications peuvent être accidentelles, et d'autres peuvent être apportées intentionnellement pour répondre aux événements opérationnels prioritaires.

La détection de la dérive vous aide à identifier les ressources qui ont besoin de modifications ou de mises à jour de la configuration pour résoudre la dérive.

Détection de la dérive

AWS Control Tower détecte automatiquement la dérive. Pour détecter les dérives, le AWSControlTowerAdmin rôle nécessite un accès permanent à votre compte de gestion afin qu'AWS Control Tower puisse effectuer des appels d'API en lecture seule. AWS Organizations Ces appels d'API apparaissent sous forme d' AWS CloudTrail événements.

La dérive apparaît dans les notifications Amazon Simple Notification Service (Amazon SNS) qui sont agrégées dans le compte d'audit. Les notifications de chaque compte membre envoient des alertes à une rubrique Amazon SNS locale et à une fonction Lambda.

Pour les contrôles faisant partie de la norme de AWS Security Hub gestion des services : AWS Control Tower, la dérive est affichée sur les pages du compte et des détails du compte dans la console AWS Control Tower, ainsi que par le biais d'une notification Amazon SNS.

Les administrateurs de comptes membres peuvent (et dans le cadre des bonnes pratiques, ce devrait même être une obligation) s'abonner aux notifications de dérive SNS pour des comptes spécifiques. Par exemple, la rubrique aws-controltower-AggregateSecurityNotifications SNS fournit des notifications de dérive. La console AWS Control Tower indique aux administrateurs des comptes de gestion en cas de dérive. Pour plus d'informations sur les sujets SNS relatifs à la détection et à la notification de la dérive, consultez la section Prévention et notification de la dérive.

Déduplication des notifications de dérive

Si le même type de dérive se produit plusieurs fois sur le même ensemble de ressources, AWS Control Tower envoie une notification SNS uniquement pour l'instance initiale de dérive. Si AWS Control Tower détecte que cette instance de dérive a été corrigée, elle envoie une autre notification uniquement si la dérive se reproduit pour ces ressources identiques.

Exemples : la dérive du compte et la dérive du SCP sont gérées de la manière suivante
  • Si vous modifiez le même SCP géré plusieurs fois, vous recevez une notification lorsque vous le modifiez pour la première fois.

  • Si vous modifiez un SCP géré, puis que vous corrigez une dérive, puis que vous le modifiez à nouveau, vous recevrez deux notifications.

Types de dérive des comptes
  • Compte transféré entre les unités d'organisation

  • Compte supprimé de l'organisation

Note

Lorsque vous déplacez un compte d'une unité organisationnelle à une autre, les commandes de l'unité d'organisation précédente ne sont pas supprimées. Si vous activez un nouveau contrôle basé sur le crochet sur l'unité d'organisation de destination, l'ancien le contrôle basé sur un crochet est supprimé du compte et le nouveau contrôle le remplace. Les contrôles mis en œuvre avec les SCP et AWS Config les règles doivent toujours être supprimés manuellement lorsqu'un compte change d'UO.

Types de dérive politique
  • SCP mis à jour

  • SCP attaché à l'OU

  • SCP détaché de l'OU

  • SCP attaché au compte

Pour plus d'informations, consultez la section Types de dérive de la gouvernance.

Résolution de la dérive

Bien que la détection soit automatique, les étapes pour résoudre l'écart sont manuelles et doivent être effectuées via la console.

  • De nombreux types de dérive peuvent être résolus via la page des paramètres de la zone d'atterrissage. Vous pouvez cliquer sur le bouton Réinitialiser dans la section Versions pour résoudre ces types de dérive.

  • Si votre unité d'organisation compte moins de 300 comptes, vous pouvez remédier à la dérive des comptes provisionnés par Account Factory, ou à la dérive SCP, en sélectionnant Réenregistrer l'unité d'organisation sur la page de l'organisation ou sur la page des détails de l'unité d'organisation.

  • Vous pouvez peut-être résoudre le problème de la dérive du compte, par exemple en Déplacement du compte membre mettant à jour un compte individuel. Pour plus d’informations, consultez Mettre à jour le compte dans la console.

Lorsque vous prenez des mesures pour résoudre le problème de dérive sur une version en zone d'atterrissage, deux comportements sont possibles.
  • Si vous utilisez la dernière version de la zone d'atterrissage, lorsque vous sélectionnez Réinitialiser puis Confirmer, les ressources de votre zone d'atterrissage dérivée sont réinitialisées selon la configuration enregistrée d'AWS Control Tower. La version de la zone d'atterrissage reste la même.

  • Si vous n'utilisez pas la dernière version, vous devez sélectionner Mettre à jour. La zone d'atterrissage est mise à niveau vers la dernière version de la zone d'atterrissage. La dérive est résolue dans le cadre de ce processus.

Considérations relatives à la dérive et aux scans SCP

AWS Control Tower analyse quotidiennement vos SCP gérés pour vérifier que les contrôles correspondants sont correctement appliqués et qu'ils n'ont pas été modifiés. Pour récupérer les SCP et les vérifier, AWS Control Tower appelle en votre AWS Organizations nom, en utilisant un rôle dans votre compte de gestion.

Si un scan effectué par AWS Control Tower détecte une dérive, vous recevrez une notification. AWS Control Tower envoie une seule notification par problème de dérive. Ainsi, si votre zone d'atterrissage est déjà en état de dérive, vous ne recevrez pas de notifications supplémentaires à moins qu'un nouvel élément de dérive ne soit trouvé.

AWS Organizations limite la fréquence à laquelle chacune de ses API peut être appelée. Cette limite est exprimée en transactions par seconde (TPS) et est connue sous le nom de limite TPS, de taux de régulation ou de taux de demandes d'API. Lorsqu'AWS Control Tower audite vos SCP en les appelant AWS Organizations, les appels d'API effectués par AWS Control Tower sont pris en compte dans votre limite de TPS, car AWS Control Tower utilise le compte de gestion pour effectuer les appels.

Dans de rares cas, cette limite peut être atteinte lorsque vous appelez les mêmes API à plusieurs reprises, que ce soit par le biais d'une solution tierce ou d'un script personnalisé que vous avez écrit. Par exemple, si vous et AWS Control Tower appelez les mêmes AWS Organizations API au même moment (dans un délai d'une seconde) et que les limites du TPS sont atteintes, les appels suivants sont limités. C'est-à-dire que ces appels renvoient une erreur telle queRate exceeded.

Si le taux de demandes d'API est dépassé
  • Si AWS Control Tower atteint la limite et est limitée, nous suspendons l'exécution de l'audit et le reprenons ultérieurement.

  • Si votre charge de travail atteint la limite et est limitée, le résultat peut aller d'une légère latence à une erreur fatale dans la charge de travail, selon la façon dont la charge de travail est configurée. Il faut être conscient de cette coque Edge.

Un scan SCP quotidien consiste en
  1. Récupération de toutes vos unités d'organisation

  2. Pour chaque unité d'organisation enregistrée, récupération de tous les SCP gérés par AWS Control Tower qui sont attachés à l'unité d'organisation. Les SCP gérés ont des identifiants qui commencent par. aws-guardrails

  3. Pour chaque contrôle préventif activé sur l'UO, vérifier que la déclaration de politique du contrôle est présente dans les SCP gérés par l'UO.

Les scans quotidiens consomment le TPS pour les AWS Organizations API suivantes :

listOrganizationalUnits

8 rafales, 5 soutenues

1 par zone de landing

listPoliciesForTarget

8 rafales, 5 soutenues

1 par unité d'organisation enregistrée

describePolicy

2 C. À THÉ

1 par SCP géré

Une UO peut avoir un ou plusieurs SCP gérés.

Types de dérive à résoudre immédiatement

La plupart des types de dérive peuvent être résolus par les administrateurs. Certains types de dérive doivent être résolus immédiatement, notamment la suppression d'une unité organisationnelle requise par la zone de landing zone d'AWS Control Tower. Voici quelques exemples de dérives majeures que vous souhaiterez peut-être éviter :

  • Ne supprimez pas l'unité organisationnelle de sécurité : l'unité organisationnelle initialement nommée Security lors de la configuration de la zone d'atterrissage par AWS Control Tower ne doit pas être supprimée. Si vous le supprimez, vous verrez un message d'erreur vous demandant de réinitialiser immédiatement la zone d'atterrissage. Vous ne pourrez effectuer aucune autre action dans AWS Control Tower tant que la réinitialisation ne sera pas terminée.

  • Ne supprimez pas les rôles obligatoires : AWS Control Tower vérifie certains rôles AWS Identity and Access Management (IAM) lorsque vous vous connectez à la console pour détecter toute dérive des rôles IAM. Si ces rôles sont absents ou inaccessibles, vous verrez une page d'erreur vous demandant de réinitialiser votre zone de landing zone. Ces rôles sont AWSControlTowerAdmin AWSControlTowerCloudTrailRoleAWSControlTowerStackSetRole.

    Pour plus d'informations sur ces rôles, consultezAutorisations requises pour utiliser la console AWS Control Tower.

  • Ne supprimez pas toutes les unités d'organisation supplémentaires : si vous supprimez l'unité organisationnelle initialement nommée Sandbox lors de la configuration de la zone d'atterrissage par AWS Control Tower, votre zone de destination sera en état de dérive, mais vous pourrez toujours utiliser AWS Control Tower. Au moins une unité d'organisation supplémentaire est requise pour qu'AWS Control Tower fonctionne, mais il n'est pas nécessaire qu'il s'agisse de l'unité d'organisation Sandbox.

  • Ne supprimez pas les comptes partagés : si vous supprimez des comptes partagés des UO de base, par exemple si vous supprimez le compte de journalisation de l'unité d'organisation de sécurité, votre zone de landing sera en état de dérive. La zone de landing zone doit être réinitialisée pour que vous puissiez continuer à utiliser la console AWS Control Tower.

Modifications réparables apportées aux ressources

Voici une liste des modifications autorisées apportées aux ressources d'AWS Control Tower, bien qu'elles créent une dérive susceptible d'être résolue. Les résultats de ces opérations autorisées sont visibles dans la console AWS Control Tower, mais une actualisation peut être nécessaire.

Pour plus d'informations sur la manière de résoudre la dérive qui en résulte, consultez Managing Resources Outside of AWS Control Tower.

Modifications autorisées en dehors de la console AWS Control Tower
  • Modifiez le nom d'une unité d'organisation enregistrée.

  • Modifiez le nom de l'unité d'organisation de sécurité.

  • Modifiez le nom des comptes des membres dans les unités d'organisation non fondamentales.

  • Modifiez le nom des comptes partagés AWS Control Tower dans l'unité d'organisation de sécurité.

  • Supprimez une unité d'organisation non fondamentale.

  • Supprimez un compte inscrit d'une unité d'organisation non fondamentale.

  • Modifiez l'adresse e-mail d'un compte partagé dans l'unité d'organisation de sécurité.

  • Modifiez l'adresse e-mail d'un compte membre dans une unité d'organisation enregistrée.

Note

Le transfert de comptes entre des unités d'organisation est considéré comme une dérive, et il faut y remédier.

Dérive et provisionnement de compte

Si votre zone d'atterrissage est en état de dérive, la fonctionnalité d'inscription d'un compte dans AWS Control Tower ne fonctionnera pas. Dans ce cas, vous devez provisionner les nouveaux comptes via AWS Service Catalog. Pour obtenir des instructions, veuillez consulter Provisionner des comptes avec AWS Service Catalog Account Factory .

En particulier, si vous avez apporté certaines modifications à vos comptes par le biais du Service Catalog, telles que le nom de votre portefeuille, la fonctionnalité d'inscription au compte ne fonctionnera pas.