Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Types de dérive de gouvernance
La dérive de la gouvernance, également appelée dérive organisationnelle, se produit lorsque les UO, les SCP et les comptes des membres sont modifiés ou mis à jour. Les types de dérive en matière de gouvernance qui peuvent être détectés dans AWS Control Tower sont les suivants :
Un autre type de dérive est la dérive de la zone d'atterrissage, qui peut être détectée via le compte de gestion. La dérive de la zone d'atterrissage correspond à la dérive des rôles IAM, ou à tout type de dérive organisationnelle qui affecte spécifiquement les unités d'organisation fondamentales et les comptes partagés.
Un cas particulier de dérive de la zone d'atterrissage est la dérive des rôles, qui est détectée lorsqu'un rôle requis n'est pas disponible. Si ce type de dérive se produit, la console affiche une page d'avertissement et des instructions sur la façon de restaurer le rôle. Votre zone d'atterrissage n'est pas disponible tant que la dérive des rôles n'est pas résolue. Pour plus d'informations sur le drift, voir Ne pas supprimer les rôles obligatoires dans la section intituléeTypes de dérive à résoudre immédiatement.
AWS Control Tower ne recherche aucune dérive en ce qui concerne les autres services qui fonctionnent avec le compte de gestion CloudTrail CloudWatch, notamment IAM Identity Center AWS CloudFormation AWS Config,,, etc. Aucune détection de dérive n'est disponible dans les comptes enfants, car ces comptes sont protégés par des contrôles obligatoires préventifs.
Cependant, il signale une dérive concernant les contrôles qui font partie de la norme de AWS Security Hub gestion des services : AWS Control Tower.
Déplacement du compte membre
Ce type de dérive se produit sur le compte plutôt que sur l'unité d'organisation. Ce type de dérive peut se produire lorsqu'un compte membre d'AWS Control Tower, le compte d'audit ou le compte d'archivage des journaux est déplacé d'une unité d'organisation AWS Control Tower enregistrée vers une autre unité d'organisation. Voici un exemple de notification Amazon SNS lorsque ce type de dérive est détecté.
{ "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 300 accounts, you must update the provisioned product in Account Factory.", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }
Résolutions
Lorsque ce type de dérive se produit pour un compte provisionné par Account Factory dans une unité d'organisation comptant jusqu'à 300 comptes, vous pouvez y remédier en :
-
Accédez à la page Organisation dans la console AWS Control Tower, sélectionnez le compte, puis choisissez Mettre à jour le compte en haut à droite (option la plus rapide pour les comptes individuels).
-
Accédez à la page Organisation dans la console AWS Control Tower, puis sélectionnez Ré-enregistrer pour l'unité d'organisation contenant le compte (option la plus rapide pour plusieurs comptes). Pour plus d’informations, consultez Enregistrer une unité organisationnelle existante auprès d'AWS Control Tower.
-
Mettre à jour le produit approvisionné dans Account Factory. Pour plus d’informations, consultez Mettez à jour et déplacez les comptes Account Factory avec AWS Control Tower ou avec AWS Service Catalog.
Note
Si vous avez plusieurs comptes individuels à mettre à jour, consultez également cette méthode pour effectuer des mises à jour avec un script :Fournir et mettre à jour des comptes à l'aide de l'automatisation.
-
Lorsque ce type de dérive se produit dans une unité d'organisation comportant plus de 300 comptes, la résolution de la dérive peut dépendre du type de compte qui a été déplacé, comme expliqué dans les paragraphes suivants. Pour plus d’informations, consultez Mettre à jour votre zone de destination.
-
Si un compte approvisionné par Account Factory est déplacé : dans une unité d'organisation comptant moins de 300 comptes, vous pouvez résoudre le problème de dérive du compte en mettant à jour le produit approvisionné dans Account Factory, en réenregistrant l'unité d'organisation ou en mettant à jour votre zone de destination.
Dans une unité d'organisation comptant plus de 300 comptes, vous devez résoudre le problème en mettant à jour chaque compte déplacé, soit via la console AWS Control Tower, soit via le produit provisionné, car le fait de réenregistrer l'unité d'organisation n'effectuera pas la mise à jour. Pour plus d’informations, consultez Mettez à jour et déplacez les comptes Account Factory avec AWS Control Tower ou avec AWS Service Catalog.
-
Si un compte partagé est déplacé : vous pouvez résoudre le problème lié au déplacement du compte d'audit ou d'archivage des journaux en mettant à jour votre zone de landing zone. Pour plus d’informations, consultez Mettre à jour votre zone de destination.
-
Nom de champ obsolète
Le nom du champ MasterAccountID a été modifié conformément aux AWS directives. ManagementAccountID L'ancien nom est obsolète. À partir de 2022, les scripts contenant le nom de champ obsolète ne fonctionneront plus.
Suppression de compte membre
Ce type de dérive peut se produire lorsqu'un compte membre est supprimé d'une unité organisationnelle enregistrée dans AWS Control Tower. L'exemple suivant montre la notification Amazon SNS lorsque ce type de dérive est détecté.
{ "Message" : "AWS Control Tower has detected that the member account012345678909has been removed from organizationo-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }
Résolution
-
Lorsque ce type de dérive se produit dans un compte membre, vous pouvez y remédier en mettant à jour le compte dans la console AWS Control Tower ou dans Account Factory. Par exemple, vous pouvez ajouter le compte à une autre unité d'organisation enregistrée à l'aide de l'assistant de mise à jour d'Account Factory. Pour plus d’informations, consultez Mettez à jour et déplacez les comptes Account Factory avec AWS Control Tower ou avec AWS Service Catalog.
-
Si un compte partagé est supprimé d'une UO de base, vous devez résoudre le problème en réinitialisant votre zone de landing zone. Tant que cette dérive n'est pas résolue, vous ne pourrez pas utiliser la console AWS Control Tower.
-
Pour de plus amples informations sur la résolution de la dérive pour les comptes et les UO, veuillez consulter Si vous gérez des ressources en dehors d'AWS Control Tower.
Note
Dans Service Catalog, le produit approvisionné par Account Factory qui représente le compte n'est pas mis à jour pour supprimer le compte. Au lieu de cela, le produit provisionné est affiché en tant que TAINTED et il est dans un état d'erreur. Pour effectuer le nettoyage, accédez au Service Catalog, choisissez le produit approvisionné, puis choisissez Terminate.
Mise à jour non planifiée de la stratégie de contrôle de service gérée
Ce type de dérive peut se produire lorsqu'un SCP pour un contrôle est mis à jour dans la AWS Organizations console ou par programmation à l'aide du AWS CLI ou de l'un des kits SDK AWS. Voici un exemple de notification Amazon SNS lorsque ce type de dérive est détecté.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_UPDATED", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Résolution
Lorsque ce type de dérive se produit dans une unité d'organisation comptant jusqu'à 300 comptes, vous pouvez y remédier en :
-
Accédez à la page Organisation de la console AWS Control Tower pour réenregistrer l'unité d'organisation (option la plus rapide). Pour plus d’informations, consultez Enregistrer une unité organisationnelle existante auprès d'AWS Control Tower.
-
Mise à jour de votre zone d'atterrissage (option plus lente). Pour plus d’informations, consultez Mettre à jour votre zone de destination.
Lorsque ce type de dérive se produit dans une unité d'organisation comptant plus de 300 comptes, corrigez-le en mettant à jour votre zone de landing zone. Pour plus d’informations, consultez Mettre à jour votre zone de destination.
Stratégie de contrôle de service attachée à l'unité d'organisation gérée
Ce type de dérive peut se produire lorsqu'un SCP pour un contrôle est connecté à une autre unité d'organisation. Cela se produit particulièrement souvent lorsque vous travaillez sur vos unités d'organisation en dehors de la console AWS Control Tower. Voici un exemple de notification Amazon SNS lorsque ce type de dérive est détecté.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Résolution
Lorsque ce type de dérive se produit dans une unité d'organisation comptant jusqu'à 300 comptes, vous pouvez y remédier en :
-
Accédez à la page Organisation de la console AWS Control Tower pour réenregistrer l'unité d'organisation (option la plus rapide). Pour plus d’informations, consultez Enregistrer une unité organisationnelle existante auprès d'AWS Control Tower.
-
Mise à jour de votre zone d'atterrissage (option plus lente). Pour plus d’informations, consultez Mettre à jour votre zone de destination.
Lorsque ce type de dérive se produit dans une unité d'organisation comptant plus de 300 comptes, corrigez-le en mettant à jour votre zone de landing zone. Pour plus d’informations, consultez Mettre à jour votre zone de destination.
Stratégie de contrôle de service détachée de l'unité d'organisation gérée
Ce type de dérive peut se produire lorsqu'un SCP d'un contrôle a été détaché d'une UO gérée par AWS Control Tower. Ce phénomène est particulièrement fréquent lorsque vous travaillez en dehors de la console AWS Control Tower. Voici un exemple de notification Amazon SNS lorsque ce type de dérive est détecté.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_DETACHED_FROM_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Résolution
Lorsque ce type de dérive se produit dans une unité d'organisation comptant jusqu'à 300 comptes, vous pouvez y remédier en :
-
Accédez à l'unité d'organisation dans la console AWS Control Tower pour réenregistrer l'unité d'organisation (option la plus rapide). Pour plus d’informations, consultez Enregistrer une unité organisationnelle existante auprès d'AWS Control Tower.
-
Mise à jour de votre zone d'atterrissage (option plus lente). Si la dérive affecte un contrôle obligatoire, le processus de mise à jour crée une nouvelle politique de contrôle des services (SCP) et l'attache à l'unité d'organisation pour résoudre la dérive. Pour plus d'informations sur la mise à jour de votre zone d'atterrissage, consultezMettre à jour votre zone de destination.
Lorsque ce type de dérive se produit dans une unité d'organisation comptant plus de 300 comptes, corrigez-le en mettant à jour votre zone de landing zone. Si la dérive affecte un contrôle obligatoire, le processus de mise à jour crée une nouvelle politique de contrôle des services (SCP) et l'attache à l'unité d'organisation pour résoudre la dérive. Pour plus d'informations sur la mise à jour de votre zone d'atterrissage, consultezMettre à jour votre zone de destination.
Stratégie de contrôle de service attachée au compte membre
Ce type de dérive peut se produire lorsqu'un SCP pour un contrôle est associé à un compte dans la console Organizations. Les barrières de sécurité et leurs SCP peuvent être activés sur les unités d'organisation (et donc appliqués à tous les comptes inscrits d'une unité d'organisation) via la console AWS Control Tower. Voici un exemple de notification Amazon SNS lorsque ce type de dérive est détecté.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_ACCOUNT", "RemediationStep" : "Re-register this organizational unit (OU)", "AccountId" : "012345678909", "PolicyId" : "p-tEXAMPLE" }
Résolution
Ce type de dérive se produit sur le compte plutôt que sur l'unité d'organisation.
Lorsque ce type de dérive se produit pour les comptes d'une unité d'organisation de base, telle que l'unité d'organisation de sécurité, la solution consiste à mettre à jour votre zone d'atterrissage. Pour plus d’informations, consultez Mettre à jour votre zone de destination.
Lorsque ce type de dérive se produit dans une unité d'organisation non fondamentale comptant jusqu'à 300 comptes, vous pouvez y remédier en :
-
Détacher le SCP AWS Control Tower du compte Account Factory.
-
Accédez à l'unité d'organisation dans la console AWS Control Tower pour réenregistrer l'unité d'organisation (option la plus rapide). Pour plus d’informations, consultez Enregistrer une unité organisationnelle existante auprès d'AWS Control Tower.
Lorsque ce type de dérive se produit dans une unité d'organisation comportant plus de 300 comptes, vous pouvez tenter de le résoudre en mettant à jour la configuration d'usine du compte. Il se peut qu'il ne soit pas possible de le résoudre correctement. Pour plus d’informations, consultez Mettre à jour votre zone de destination.
UO de base supprimée
Ce type de dérive s'applique uniquement aux unités d'organisation AWS Control Tower Foundational, telles que l'unité d'organisation de sécurité. Cela peut se produire si une UO de base est supprimée en dehors de la console AWS Control Tower. Les UO de base ne peuvent pas être déplacées sans créer ce type de dérive, car déplacer une UO revient à la supprimer puis à l'ajouter à un autre endroit. Lorsque vous corrigez le problème en mettant à jour votre zone de landing zone, AWS Control Tower remplace l'unité d'organisation de base à son emplacement d'origine. L'exemple suivant montre une notification Amazon SNS que vous pouvez recevoir lorsque ce type de dérive est détecté.
{ "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ORGANIZATIONAL_UNIT_DELETED", "RemediationStep" : "Delete organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }
Résolution
Comme cette dérive ne se produit que pour les UO de base, la solution consiste à mettre à jour la zone d'atterrissage. Lorsque d'autres types d'UO sont supprimés, AWS Control Tower est automatiquement mis à jour.
Pour de plus amples informations sur la résolution de la dérive pour les comptes et les UO, veuillez consulter Si vous gérez des ressources en dehors d'AWS Control Tower.
Security Hub contrôle la dérive
Ce type de dérive se produit lorsqu'un contrôle faisant partie de la norme de AWS Security Hub gestion des services : AWS Control Tower signale un état de dérive. Le AWS Security Hub service lui-même ne signale aucun état de dérive pour ces commandes. Le service envoie plutôt ses résultats à AWS Control Tower.
Une dérive du contrôle de Security Hub peut également être détectée si AWS Control Tower n'a pas reçu de mise à jour de statut de la part de Security Hub depuis plus de 24 heures. Si ces résultats ne sont pas reçus comme prévu, AWS Control Tower vérifie que le contrôle est en dérive. L'exemple suivant montre une notification Amazon SNS que vous pouvez recevoir lorsque ce type de dérive est détecté.
{ "Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard", "MasterAccountId" : "123456789XXX", "ManagementAccountId" : "123456789XXX", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SECURITY_HUB_CONTROL_DISABLED", "RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.", "AccountId" : "7876543219XXX", "ControlId" : "PYBETSAGNUZB", "ControlName" : "EBS snapshots should not be publicly restorable", "ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB", "Region" : "us-east-1" }
Résolution
Pour les unités d'organisation comptant moins de 300 comptes, la solution consiste à réenregistrer l'unité d'organisation, ce qui rétablit le contrôle à son état d'origine. Pour n'importe quelle unité d'organisation, vous pouvez supprimer et réactiver le contrôle via la console ou les API AWS Control Tower, qui réinitialisent également le contrôle.
Pour de plus amples informations sur la résolution de la dérive pour les comptes et les UO, veuillez consulter Si vous gérez des ressources en dehors d'AWS Control Tower.
Accès sécurisé désactivé
Ce type de dérive s'applique aux zones d'atterrissage d'AWS Control Tower. Cela se produit lorsque vous désactivez l'accès sécurisé à AWS Control Tower AWS Organizations après avoir configuré votre zone de landing zone AWS Control Tower.
Lorsque l'accès sécurisé est désactivé, AWS Control Tower ne reçoit plus d'événements de modification de la part de AWS Organizations. AWS Control Tower s'appuie sur ces événements de changement pour rester synchronisée AWS Organizations. Par conséquent, AWS Control Tower risque de ne pas apporter de modifications organisationnelles aux comptes et aux unités d'organisation. C'est pourquoi il est important de réenregistrer chaque UO chaque fois que vous mettez à jour votre zone de landing zone.
Exemple : notification Amazon SNS
Voici un exemple de notification Amazon SNS que vous recevez lorsque ce type de dérive se produit.
{ "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "TRUSTED_ACCESS_DISABLED", "RemediationStep" : "Reset Control Tower landing zone." }
Résolution
AWS Control Tower vous avertit lorsque ce type de dérive se produit dans la console AWS Control Tower. La solution consiste à réinitialiser la zone d'atterrissage de votre AWS Control Tower. Pour plus d'informations, consultez la section Résolution de la dérive.
