Détecter et résoudre les dérives dans AWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Détecter et résoudre les dérives dans AWS Control Tower

L'identification et la résolution de la dérive constituent une tâche opérationnelle régulière pour les administrateurs de compte de gestion AWS Control Tower. La résolution des écarts permet de garantir la conformité de votre organisation aux exigences de gouvernance.

Lorsque vous créez votre landing zone, la landing zone et toutes les unités d'organisation (UO), les comptes et les ressources sont conformes aux règles de gouvernance appliquées par les barrières de sécurité que vous avez choisies. Au fur et à mesure que les membres de votre organisation et vous-même utilisez la landing zone, le statut de conformité peut être modifié. Certaines modifications peuvent être accidentelles, et d'autres peuvent être apportées intentionnellement pour répondre aux événements opérationnels prioritaires.

La détection de la dérive vous aide à identifier les ressources qui ont besoin de modifications ou de mises à jour de la configuration pour résoudre la dérive.

Détection des écart

AWS Control Tower détecte automatiquement les dérives. Pour détecter la dérive, leAWSControlTowerAdminnécessite un accès permanent à votre compte de gestion afin qu'AWS Control Tower puisse effectuer des appels d'API en lecture seule versAWS Organizations. Ces appels d'API apparaissent sous la formeAWS CloudTrailévénements.

La dérive apparaît dans les notifications Amazon Simple Notification Service (Amazon SNS) qui sont regroupées dans le compte d'audit. Les notifications de chaque compte membre envoient des alertes à une rubrique locale d'Amazon SNS et à une fonction Lambda.

Les administrateurs de comptes membres peuvent (et dans le cadre des bonnes pratiques, ce devrait même être une obligation) s'abonner aux notifications de dérive SNS pour des comptes spécifiques. Par exemple, les recettesaws-controltower-AggregateSecurityNotificationsLa rubrique SNS fournit des notifications de dérive. La console AWS Control Tower indique aux administrateurs de compte de gestion les écarts qui se produisent. Pour plus d'informations sur les rubriques SNS pour la détection de dérive et la notification, consultez la présentationPrévention et notification de la dérive.

Déduplication des notifications de dérive

Si le même type de dérive se produit plusieurs fois sur le même ensemble de ressources, AWS Control Tower envoie une notification SNS uniquement pour l'instance initiale de dérive. Si AWS Control Tower détecte que cette instance de dérive a été corrigée, elle envoie une autre notification uniquement si la dérive se reproduit pour ces ressources identiques.

Exemples : La dérive de compte et la dérive SCP sont traitées de la manière suivante

  • Si vous modifiez plusieurs fois le même SCP géré, vous recevez une notification pour la première fois que vous le modifiez.

  • Si vous modifiez un SCP géré, que vous corrigez la dérive, puis que vous le modifiez à nouveau, vous recevrez deux notifications.

Types d'écart

  • Compte déplacé entre les unités d'organisation

  • Compte supprimé de l'organisation

Types d'écart

  • SCP mis à jour

  • SCP rattaché à l'UO

  • SCP détaché de l'UO

  • SCP lié au compte

Pour plus d'informations, consultez Types de dérive de gouvernance.

Résolution de l'écart

Bien que la détection soit automatique, les étapes pour résoudre l'écart sont manuelles et doivent être effectuées via la console.

  • De nombreux types d'écart peuvent être résolus par leParamètres de zone d'atterrissage. Vous pouvez choisir leRePdans leVersions d'pour réparer ces types de dérive.

  • Si votre unité d'organisation compte moins de 300 comptes, vous pouvez corriger la dérive des comptes provisionnés Account Factory, ou la dérive SCP, en sélectionnantRéenregistrer l'UOsur leOrganisationouDétails de l'unité.

  • Vous pouvez être en mesure de réparer les dérives de compte, telles queDéplacement du compte membre, en mettant à jour un compte individuel. Pour plus d'informations, consultez Mettre à jour le compte dans la console.

Note

Lorsque vous réparez votre landing zone, celle-ci est mise à niveau vers la dernière version de la landing zone.

Considérations relatives à la dérive et aux scans SCP

AWS Control Tower analyse quotidiennement vos points de service gérés pour vérifier que les garde-corps correspondants sont correctement appliqués et qu'ils n'ont pas dérivé. Pour récupérer les points de connexion de service et effectuer des vérifications sur eux, AWS Control Tower appelleAWS Organizationsen votre nom, en utilisant un rôle dans votre compte de gestion.

Si une analyse AWS Control Tower découvre une dérive, vous recevrez une notification. AWS Control Tower n'envoie qu'une seule notification par problème de dérive. Ainsi, si votre landing zone est déjà dans un état de dérive, vous ne recevrez aucune notification supplémentaire à moins qu'un nouvel élément de dérive ne soit trouvé.

AWS Organizationslimite la fréquence à laquelle chacune de ses API peut être appelée. Cette limite est exprimée en transactions par seconde (TPS), et est connue sous le nom deLimites TPS,taux d'Limitation, ouTaux de demande d'API. Quand AWS Control Tower vérifie vos points de connexion de service en appelantAWS Organizations, les appels d'API effectués par AWS Control Tower sont pris en compte dans votre limite de TPS, car AWS Control Tower utilise le compte de gestion pour effectuer les appels.

Dans de rares cas, cette limite peut être atteinte lorsque vous appelez les mêmes API de manière répétée, que ce soit par le biais d'une solution tierce ou d'un script personnalisé que vous avez écrit. Par exemple, si vous et AWS Control Tower appelez le mêmeAWS OrganizationsAPI au même moment (moins d'une seconde), et si les limites TPS sont atteintes, les appels suivants sont limités. En d'autres termes, ces appels renvoient une erreur telle queRate exceeded.

En cas de dépassement d'un taux de demande d'API

  • Si AWS Control Tower atteint la limite et est limitée, nous interrompons l'exécution de l'audit et le reprenons ultérieurement.

  • Si votre charge de travail atteint la limite et est limitée, le résultat peut aller d'une légère latence à une erreur fatale dans la charge de travail, selon la façon dont la charge de travail est configurée. Ce cas de pointe est quelque chose dont il faut être conscient.

Un scan SCP quotidien consiste à :

  1. Récupération de toutes vos unités d'organisation.

  2. Pour chaque unité d'organisation enregistrée, récupération de tous les points de service gérés par AWS Control Tower qui sont attachés à l'unité d'organisation. Les SCP gérés ont des identifiants qui commencent paraws-guardrails.

  3. Pour chaque garde-corps préventif activé sur l'UO, vérifier que la déclaration de stratégie du garde-corps est présente dans les SCP gérés de l'UO.

Les analyses quotidiennes utilisent le TPS pour les éléments suivantsAWS OrganizationsAPI :

listOrganizationalUnits

8 rafales, 5 soutenues

1 par landing zone

listPoliciesForTarget

8 rafales, 5 soutenues

1 par unité d'organisation enregistrée

describePolicy

2 TPS

1 par SCP géré

Une unité d'organisation peut avoir un ou plusieurs points de service gérés.

Types de dérives à réparer immédiatement

La plupart des types de dérive peuvent être résolus par les administrateurs. Certains types de dérive doivent être réparés immédiatement, y compris la suppression d'une unité d'organisation requise par la landing zone AWS Control Tower. Voici quelques exemples de dérive majeure que vous pouvez vouloir éviter :

  • Ne supprimez pas l'unité d'organisation de sécurité : L'unité organisationnelle initialement nomméeSécuritélors de la configuration de la landing zone par AWS Control Tower ne doit pas être supprimée. Si vous la supprimez, vous verrez un message d'erreur vous demandant de réparer immédiatement la zone de destination. Vous ne pourrez pas effectuer d'autres actions dans AWS Control Tower tant que la réparation n'est pas terminée.

  • Ne pas supprimer les rôles requis : AWS Control Tower vérifie certainsAWS Identity and Access Management(IAM) lorsque vous vous connectez à la console pourDérive des rôles IAM. Si ces rôles sont manquants ou inaccessibles, une page d'erreur vous indique de réparer votre zone d’atterrissage s'affiche. Ces rôles sontAWSControlTowerAdmin AWSControlTowerCloudTrailRole AWSControlTowerStackSetRole.

    Pour plus d'informations sur ces rôles, consultez.Autorisations requises pour utiliser la AWS Control Tower Console.

  • Ne supprimez pas toutes les unités d'organisation supplémentaires : Si vous supprimez l'unité organisationnelle initialement nomméeSandboxlors de la configuration de la landing zone de destination par AWS Control Tower, votre zone de destination sera dans un état de dérive, mais vous pouvez toujours utiliser AWS Control Tower. Au moins une unité d'organisation supplémentaire est requise pour que AWS Control Tower fonctionne, mais il n'est pas nécessaire que ce soit laSandboxOU.

  • Ne supprimez pas les comptes partagés : Si vous supprimez des comptes partagés des unités d'organisation fondamentales, par exemple si vous supprimez le compte de journalisation de l'unité d'organisation de sécurité, votre landing zone sera dans un état de dérive et devra être réparée avant que vous puissiez continuer à utiliser la console AWS Control Tower.

Changements réparables des ressources

Voici une liste des modifications apportées aux ressources AWS Control Tower qui sont autorisées, mais qui créent une dérive réparable. Les résultats de ces opérations autorisées sont visibles dans la console AWS Control Tower, mais une actualisation peut être nécessaire.

Pour plus d'informations sur la résolution de la dérive résultante, consultez.Gestion des ressources en dehors d'AWS Control Tower.

Modifications autorisées en dehors de la console AWS Control Tower

  • Modifiez le nom d'une unité d'organisation enregistrée.

  • Modifiez le nom de l'unité d'organisation de sécurité.

  • Modifiez le nom des comptes membres dans les unités d'organisation non fondamentales.

  • Changez le nom des comptes partagés AWS Control Tower dans l'unité d'organisation de sécurité.

  • Supprimez une unité d'organisation non centrale.

  • Supprimez un compte inscrit d'une unité d'organisation non fondamentale.

  • Modifiez l'adresse e-mail d'un compte partagé dans l'unité d'organisation de sécurité.

  • Modifiez l'adresse e-mail d'un compte membre dans une unité d'organisation enregistrée.

Note

Le déplacement de comptes entre les UO est considéré comme une dérive, et il doit être réparé.

Dérive et provisionnement de compte

Si votre landing zone est à l'état de dérive,Inscrire un comptedans AWS Control Tower ne fonctionnera pas. Dans ce cas, vous devez provisionner les nouveaux comptes via AWS Service Catalog. Pour des instructions, consultez Provisionner des Account Factory avecAWS Service Catalog.

Plus particulièrement, si vous avez apporté des modifications à vos comptes à l'aide deAWS Service Catalog, par exemple en changeant le nom de votre portefeuille,Inscrire un comptene fonctionnera pas.