Types de dérive de gouvernance - AWS Control Tower
Déplacement du compte membreSuppression de compte membreMise à jour imprévue vers Managed SCPSCPRattaché à l'unité d'organisation géréeSCPDétaché de l'unité d'exploitation géréeSCPAttaché au compte du membreUO de base suppriméeSecurity Hub contrôle la dériveAccès sécurisé désactivé

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Types de dérive de gouvernance

La dérive de la gouvernance, également appelée dérive organisationnelle, se produit lorsque OUsSCPs, et les comptes des membres sont modifiés ou mis à jour. Les types de dérive de gouvernance qui peuvent être détectés dans AWS Control Tower sont les suivants :

Un autre type de dérive est la dérive de la zone d'atterrissage, qui peut être détectée via le compte de gestion. La dérive de la zone d'atterrissage correspond à la dérive des IAM rôles, ou à tout type de dérive organisationnelle qui affecte spécifiquement les comptes fondamentaux OUs et partagés.

Un cas particulier de dérive de la zone d'atterrissage est la dérive des rôles, qui est détectée lorsqu'un rôle requis n'est pas disponible. Si ce type de dérive se produit, la console affiche une page d'avertissement ainsi que des instructions sur la façon de restaurer le rôle. Votre zone d'atterrissage n'est pas disponible tant que la dérive des rôles n'est pas résolue. Pour plus d'informations sur le drift, voir Ne pas supprimer les rôles obligatoires dans la section intituléeTypes de dérive à résoudre immédiatement.

AWSControl Tower ne recherche aucune dérive en ce qui concerne les autres services qui fonctionnent avec le compte de gestion CloudTrail CloudWatch, notamment IAM Identity Center AWS CloudFormation AWS Config,,, etc. Aucune détection de dérive n'est disponible dans les comptes enfants, car ces comptes sont protégés par des contrôles obligatoires préventifs.

Cependant, il signale une dérive concernant les contrôles qui font partie du AWS Security Hub Service-managed Standard : AWS Control Tower.

Déplacement du compte membre

Ce type de dérive se produit sur le compte plutôt que sur l'unité d'organisation. Ce type de dérive peut se produire lorsqu'un compte membre de AWS Control Tower, le compte d'audit ou le compte d'archivage des journaux est déplacé d'une unité d'organisation AWS Control Tower enregistrée vers une autre unité d'organisation. Voici un exemple de SNS notification Amazon lorsque ce type de dérive est détecté.


{
  "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS",
  "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.",
  "AccountId" : "012345678909",
  "SourceId" : "012345678909",
  "DestinationId" : "ou-3210-1EXAMPLE"
}

Résolutions

Lorsque ce type de dérive se produit pour un compte provisionné par Account Factory dans une unité d'organisation comptant jusqu'à 1 000 comptes, vous pouvez y remédier en :

  • Accédez à la page Organisation de la console AWS Control Tower, sélectionnez le compte, puis choisissez Mettre à jour le compte en haut à droite (option la plus rapide pour les comptes individuels).

  • Accédez à la page Organisation de la console AWS Control Tower, puis sélectionnez Ré-enregistrer pour l'unité d'organisation contenant le compte (option la plus rapide pour plusieurs comptes). Pour de plus amples informations, veuillez consulter Enregistrer une unité organisationnelle existante auprès AWS de Control Tower.

  • Mettre à jour le produit approvisionné dans Account Factory. Pour de plus amples informations, veuillez consulter Mettez à jour et déplacez les comptes Account Factory avec AWS Control Tower ou avec AWS Service Catalog.

    Note

    Si vous avez plusieurs comptes individuels à mettre à jour, consultez également cette méthode pour effectuer des mises à jour avec un script :Fournir et mettre à jour des comptes à l'aide de l'automatisation.

  • Lorsque ce type de dérive se produit dans une unité d'organisation comportant plus de 1 000 comptes, la résolution de la dérive peut dépendre du type de compte qui a été déplacé, comme expliqué dans les paragraphes suivants. Pour de plus amples informations, veuillez consulter Mettez à jour votre zone de landing zone.

    • Si un compte approvisionné par Account Factory est déplacé : dans une unité d'organisation comptant moins de 1 000 comptes, vous pouvez résoudre le problème de dérive du compte en mettant à jour le produit approvisionné dans Account Factory, en réenregistrant l'unité d'organisation ou en mettant à jour votre zone de destination.

      Dans une unité d'organisation comptant plus de 1 000 comptes, vous devez résoudre le problème en mettant à jour chaque compte déplacé, soit par le biais de la console AWS Control Tower, soit par le biais du produit provisionné, car le fait de réenregistrer l'unité d'organisation n'effectuera pas la mise à jour. Pour de plus amples informations, veuillez consulter Mettez à jour et déplacez les comptes Account Factory avec AWS Control Tower ou avec AWS Service Catalog.

    • Si un compte partagé est déplacé : vous pouvez résoudre le problème lié au déplacement du compte d'audit ou d'archivage des journaux en mettant à jour votre zone de landing zone. Pour de plus amples informations, veuillez consulter Mettez à jour votre zone de landing zone.

Nom de champ obsolète

Le nom du champ MasterAccountID a été modifié conformément aux AWS directives. ManagementAccountID L'ancien nom est obsolète. À partir de 2022, les scripts contenant le nom de champ obsolète ne fonctionneront plus.

Suppression de compte membre

Ce type de dérive peut se produire lorsqu'un compte membre est supprimé d'une unité organisationnelle enregistrée de AWS Control Tower. L'exemple suivant montre la SNS notification Amazon lorsque ce type de dérive est détecté.


{
  "Message" : "AWS Control Tower has detected that the member account 012345678909 has been removed from organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION",
  "RemediationStep" : "Add account to Organization and update Account Factory provisioned product",
  "AccountId" : "012345678909"
}

Résolution

  • Lorsque ce type de dérive se produit dans un compte membre, vous pouvez y remédier en mettant à jour le compte dans la console AWS Control Tower ou dans Account Factory. Par exemple, vous pouvez ajouter le compte à une autre unité d'organisation enregistrée à l'aide de l'assistant de mise à jour d'Account Factory. Pour de plus amples informations, veuillez consulter Mettez à jour et déplacez les comptes Account Factory avec AWS Control Tower ou avec AWS Service Catalog.

  • Si un compte partagé est supprimé d'une UO de base, vous devez résoudre le problème en réinitialisant votre zone de landing zone. Tant que cette dérive n'est pas résolue, vous ne pourrez pas utiliser la console AWS Control Tower.

  • Pour plus d'informations sur la résolution de la dérive pour les comptesOUs, voirSi vous gérez des ressources en dehors d'AWS Control Tower.

Note

Dans Service Catalog, le produit approvisionné par Account Factory qui représente le compte n'est pas mis à jour pour supprimer le compte. Au lieu de cela, le produit provisionné est affiché en tant que TAINTED et il est dans un état d'erreur. Pour effectuer le nettoyage, accédez au Service Catalog, choisissez le produit approvisionné, puis choisissez Terminate.

Mise à jour imprévue vers Managed SCP

Ce type de dérive peut se produire lorsqu'un SCP contrôle est mis à jour dans la AWS Organizations console ou par programmation à l'aide du AWS CLI ou de l'un des. AWS SDKs Voici un exemple de SNS notification Amazon lorsque ce type de dérive est détecté.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_UPDATED",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

Résolution

Lorsque ce type de dérive se produit dans une unité d'organisation comportant jusqu'à 1 000 comptes, vous pouvez y remédier en :

Lorsque ce type de dérive se produit dans une unité d'organisation comportant plus de 1 000 comptes, corrigez-le en mettant à jour votre zone de landing zone. Pour de plus amples informations, veuillez consulter Mettez à jour votre zone de landing zone.

SCPRattaché à l'unité d'organisation gérée

Ce type de dérive peut se produire lorsqu'un SCP contrôle est attaché à une autre unité d'organisation. Ce problème est particulièrement fréquent lorsque vous travaillez sur votre console OUs depuis l'extérieur de la console AWS Control Tower. Voici un exemple de SNS notification Amazon lorsque ce type de dérive est détecté.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

Résolution

Lorsque ce type de dérive se produit dans une unité d'organisation comportant jusqu'à 1 000 comptes, vous pouvez y remédier en :

Lorsque ce type de dérive se produit dans une unité d'organisation comportant plus de 1 000 comptes, corrigez-le en mettant à jour votre zone de landing zone. Pour de plus amples informations, veuillez consulter Mettez à jour votre zone de landing zone.

SCPDétaché de l'unité d'exploitation gérée

Ce type de dérive peut se produire lorsqu'un SCP contrôle a été détaché d'une UO gérée par AWS Control Tower. Ce problème est particulièrement fréquent lorsque vous travaillez en dehors de la console AWS Control Tower. Voici un exemple de SNS notification Amazon lorsque ce type de dérive est détecté.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_DETACHED_FROM_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

Résolution

Lorsque ce type de dérive se produit dans une unité d'organisation comportant jusqu'à 1 000 comptes, vous pouvez y remédier en :

  • Accédez à l'unité d'organisation dans la console AWS Control Tower pour réenregistrer l'unité d'organisation (option la plus rapide). Pour de plus amples informations, veuillez consulter Enregistrer une unité organisationnelle existante auprès AWS de Control Tower.

  • Mise à jour de votre zone d'atterrissage (option plus lente). Si la dérive affecte un contrôle obligatoire, le processus de mise à jour crée une nouvelle politique de contrôle des services (SCP) et l'attache à l'unité d'organisation pour résoudre la dérive. Pour plus d'informations sur la mise à jour de votre zone d'atterrissage, consultezMettez à jour votre zone de landing zone.

Lorsque ce type de dérive se produit dans une unité d'organisation comportant plus de 1 000 comptes, corrigez-le en mettant à jour votre zone de landing zone. Si la dérive affecte un contrôle obligatoire, le processus de mise à jour crée une nouvelle politique de contrôle des services (SCP) et l'attache à l'unité d'organisation pour résoudre la dérive. Pour plus d'informations sur la mise à jour de votre zone d'atterrissage, consultezMettez à jour votre zone de landing zone.

SCPAttaché au compte du membre

Ce type de dérive peut se produire lorsqu'un SCP contrôle est associé à un compte dans la console Organizations. Les garde-corps et leurs accessoires SCPs peuvent être activés OUs (et donc appliqués à tous les comptes inscrits d'une unité d'organisation) via la console AWS Control Tower. Voici un exemple de SNS notification Amazon lorsque ce type de dérive est détecté.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_ACCOUNT",
  "RemediationStep" : "Re-register this organizational unit (OU)",
  "AccountId" : "012345678909",
  "PolicyId" : "p-tEXAMPLE"
}

Résolution

Ce type de dérive se produit sur le compte plutôt que sur l'unité d'organisation.

Lorsque ce type de dérive se produit pour les comptes d'une unité d'organisation de base, telle que l'unité d'organisation de sécurité, la solution consiste à mettre à jour votre zone d'atterrissage. Pour de plus amples informations, veuillez consulter Mettez à jour votre zone de landing zone.

Lorsque ce type de dérive se produit dans une unité d'organisation non fondamentale comptant jusqu'à 1 000 comptes, vous pouvez y remédier en :

Lorsque ce type de dérive se produit dans une unité d'organisation comportant plus de 1 000 comptes, vous pouvez tenter de le résoudre en mettant à jour la configuration d'usine du compte. Il se peut qu'il ne soit pas possible de le résoudre correctement. Pour de plus amples informations, veuillez consulter Mettez à jour votre zone de landing zone.

UO de base supprimée

Ce type de dérive s'applique uniquement à AWS Control Tower FoundationalOUs, tel que l'unité d'organisation Security. Cela peut se produire si une UO de base est supprimée en dehors de la console AWS Control Tower. Il est OUs impossible de déplacer Foundational sans créer ce type de dérive, car déplacer une UO revient à la supprimer puis à l'ajouter ailleurs. Lorsque vous corrigez la dérive en mettant à jour votre zone d'atterrissage, AWS Control Tower remplace l'unité d'organisation de base à son emplacement d'origine. L'exemple suivant montre une SNS notification Amazon que vous pouvez recevoir lorsque ce type de dérive est détecté.


{
  "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ORGANIZATIONAL_UNIT_DELETED",
  "RemediationStep" : "Delete organizational unit in Control Tower",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE"
}

Résolution

Comme cette dérive ne se produit OUs que pour Foundational, la résolution est de mettre à jour la zone d'atterrissage. Lorsque d'autres types de OUs fichiers sont supprimés, AWS Control Tower est automatiquement mis à jour.

Pour plus d'informations sur la résolution de la dérive pour les comptesOUs, voirSi vous gérez des ressources en dehors d'AWS Control Tower.

Security Hub contrôle la dérive

Ce type de dérive se produit lorsqu'un contrôle faisant partie du AWS Security Hub Service-Managed Standard : AWS Control Tower signale un état de dérive. Le AWS Security Hub service lui-même ne signale aucun état de dérive pour ces commandes. Au lieu de cela, le service envoie ses résultats à AWS Control Tower.

Une dérive du contrôle du Security Hub peut également être détectée si AWS Control Tower n'a pas reçu de mise à jour de statut de la part de Security Hub depuis plus de 24 heures. Si ces résultats ne sont pas reçus comme prévu, AWS Control Tower vérifie que la commande est en dérive. L'exemple suivant montre une SNS notification Amazon que vous pouvez recevoir lorsque ce type de dérive est détecté.

{
"Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard",
"MasterAccountId" : "123456789XXX",
"ManagementAccountId" : "123456789XXX",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "SECURITY_HUB_CONTROL_DISABLED",
"RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.",
"AccountId" : "7876543219XXX",
"ControlId" : "PYBETSAGNUZB",
"ControlName" : "EBS snapshots should not be publicly restorable",
"ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB",
"Region" : "us-east-1"
}

Résolution

Dans le OUs cas de moins de 1 000 comptes, la solution consiste à réenregistrer l'unité d'organisation, ce qui rétablit le contrôle à son état d'origine. Pour n'importe quelle unité d'organisation, vous pouvez supprimer et réactiver le contrôle par le biais de la console ou de la AWS Control TowerAPIs, qui réinitialise également le contrôle.

Pour plus d'informations sur la résolution de la dérive pour les comptesOUs, voirSi vous gérez des ressources en dehors d'AWS Control Tower.

Accès sécurisé désactivé

Ce type de dérive s'applique aux zones d'atterrissage AWS de la Control Tower. Cela se produit lorsque vous désactivez l'accès sécurisé à AWS Control Tower AWS Organizations après avoir configuré la zone d'atterrissage AWS de votre Control Tower.

Lorsque l'accès sécurisé est désactivé, AWS Control Tower ne reçoit plus d'événements de modification de la part de AWS Organizations. AWSControl Tower s'appuie sur ces événements de changement pour rester synchronisée AWS Organizations. Par conséquent, AWS Control Tower risque de ne pas apporter de modifications organisationnelles aux comptes etOUs. C'est pourquoi il est important de réenregistrer chaque UO chaque fois que vous mettez à jour votre zone de landing zone.

Exemple : SNS notification Amazon

Voici un exemple de la SNS notification Amazon que vous recevez lorsque ce type de dérive se produit. 

{
  "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "TRUSTED_ACCESS_DISABLED",
  "RemediationStep" : "Reset Control Tower landing zone."
}

Résolution

AWSControl Tower vous avertit lorsque ce type de dérive se produit dans la console AWS Control Tower. La solution consiste à réinitialiser la zone d'atterrissage AWS de votre Control Tower. Pour plus d'informations, consultez la section Résolution de la dérive.