Types de dérive de gouvernance - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Types de dérive de gouvernance

La dérive de la gouvernance, également appeléeDérive organisationnellese produit lorsque des unités d'organisation, des points de service et des comptes membres sont modifiés ou mis à jour. Les différents types de dérive de gouvernance qui peuvent être détectés dans AWS Control Tower sont les suivants :

Un autre type de dérive estdérive de landing zone, qui peut être trouvé via le compte de gestion. La dérive de zone d'atterrissage consiste en une dérive des rôles IAM, ou tout type de dérive organisationnelle qui affecte spécifiquement les unités d'organisation fondamentales et les comptes partagés.

Un cas particulier de dérive de la landing zone estDérive, qui est détecté lorsqu'un rôle requis n'est pas disponible. Si ce type de dérive se produit, la console affiche une page d'avertissement et quelques instructions sur la façon de restaurer le rôle. Votre landing zone n'est pas disponible tant que la dérive des rôles n'est pas réparée Pour plus d'informations sur la dérive, consultez.Ne pas supprimer les rôles requisdans la section appeléeTypes de dérives à réparer immédiatement.

AWS Control Tower ne recherche pas de dérives concernant les autres services qui fonctionnent avec le compte de gestion, y compris CloudTrail, CloudWatch, IAM Identity Center,AWS CloudFormation,AWS Configetc. Aucune détection de dérive n'est disponible dans les comptes enfants, car ces comptes sont protégés par des garde-fous obligatoires préventifs.

Déplacement du compte membre

Ce type de dérive se produit sur le compte plutôt que sur l'UO. Ce type de dérive peut se produire lorsqu'un compte membre AWS Control Tower, le compte d'audit ou le compte d'archivage des journaux est déplacé d'une UO AWS Control Tower enregistrée vers une UO. Voici un exemple de notification Amazon SNS quand ce type de dérive est détecté.

{ "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 300 accounts, you must update the provisioned product in Account Factory.", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }

Résolutions

Lorsque ce type de dérive se produit pour un compte provisionné Account Factory dans une unité d'organisation comptant jusqu'à 300 comptes, vous pouvez le résoudre en :

  • Navigation vers leOrganisationdans la console AWS Control Tower, en sélectionnant le compte, puis en choisissantMettre à jour leen haut à droite (option la plus rapide pour les comptes individuels).

  • Navigation vers leOrganisationdans la console AWS Control Tower, puis en choisissantRéinscrivez-vouspour l'unité d'organisation qui contient le compte (option la plus rapide pour plusieurs comptes). Pour plus d'informations, consultez Enregistrer une unité organisationnelle existante auprès d'AWS Control Tower.

  • Mise à jour du produit provisionné dans Account Factory. Pour plus d'informations, consultez Mettez à jour et déplacez les comptes d'usine avec AWS Control Tower ou avecAWS Service Catalog.

  • Mise à jour de votre landing zone (option plus lente). Pour plus d'informations, consultez Mettre à jour votre zone de destination.

    Note

    Si vous avez plusieurs comptes individuels à mettre à jour, consultez également cette méthode pour effectuer des mises à jour à l'aide d'un script :Approvisionnez et mettez à jour vos comptes grâce.

  • Lorsque ce type de dérive se produit dans une UO de plus de 300 comptes, la résolution de la dérive peut dépendre du type de compte qui a été déplacé, comme expliqué dans les paragraphes suivants. Pour plus d'informations, consultez Mettre à jour votre zone de destination.

    • Si un compte provisionné Account Factory est déplacé— Dans une unité d'organisation comptant moins de 300 comptes, vous pouvez résoudre la dérive de compte en mettant à jour le produit provisionné dans Account Factory, en réenregistrant l'UO ou en mettant à jour votre landing zone.

      Dans une unité d'organisation comptant plus de 300 comptes, vousdoitrésolvez cette dérive en effectuant une mise à jour de chaque compte déplacé, soit via la console AWS Control Tower, soit via le produit provisionné, car le réenregistrement de l'unité d'organisation n'effectuera pas la mise à jour. Pour plus d'informations, consultez Mettez à jour et déplacez les comptes d'usine avec AWS Control Tower ou avecAWS Service Catalog.

    • Si un compte partagé est déplacé— Vous pouvez empêcher le déplacement du compte d'audit ou d'archivage des journaux en mettant à jour votre landing zone. Pour plus d'informations, consultez Mettre à jour votre zone de destination.

Nom de champ déconseillé

Nom de champMasterAccountIDa été remplacé parManagementAccountIDpour se conformer aux directives AWS. L'ancien nom estdéprécié. À compter de 2022, les scripts contenant le nom de champ obsolète ne fonctionneront plus.

Ajout de compte membre

L'ajout d'un compte n'est pas une dérive technique. Cependant, AWS Control Tower vous alerte lorsqu'un compte AWS Control Tower est ajouté à votre organisation AWS Control Tower. Par exemple, un compte peut être ajouté à votre organisation AWS Control Tower dans le cadre du processus de correction de la dérive si un compte partagé, tel que le compte d'audit ou le compte d'archivage des journaux, a été supprimé et doit être remplacé. L'exemple suivant montre une notification Amazon SNS que vous pouvez recevoir lorsque ce type d'événement est détecté.

{ "Message" : "AWS Control Tower has detected that the account 'account-email@amazon.com (012345678909)' has been added to organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/add-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "AccountAddedToOrganization", "RemediationStep" : "Update Account Factory Provisioned Product", "AccountId" : "012345678909" }

Résolution

Aucune résolution n'est requise, car l'ajout d'un compte membre à une UO ou l'inscription d'un compte Account Factory ne provoque pas de dérive. Si un compte partagé a été supprimé puis ajouté à nouveau, il s'agit d'un cas particulier, et vous devrez peut-être mettre à jour ce compte partagé ou l'unité d'organisation de sécurité. Pour plus d'informations sur la mise à jour des comptes Account FactoryMettez à jour et déplacez les comptes d'usine avec AWS Control Tower ou avecAWS Service Catalog.

Suppression de compte membre

Ce type de dérive peut se produire lorsqu'un compte membre est supprimé d'une unité d'organisation AWS Control Tower enregistrée. L'exemple suivant montre la notification Amazon SNS quand ce type de dérive est détecté.

{ "Message" : "AWS Control Tower has detected that the member account 012345678909 has been removed from organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }

Résolution

  • Lorsque ce type de dérive se produit dans un compte de membre, vous pouvez résoudre la dérive en mettant à jour le compte dans la console AWS Control Tower ou dans Account Factory. Par exemple, vous pouvez ajouter le compte à une autre unité d'organisation enregistrée à partir de l'assistant de mise à jour de Account Factory. Pour plus d'informations, consultez Mettez à jour et déplacez les comptes d'usine avec AWS Control Tower ou avecAWS Service Catalog.

  • Si un compte partagé est supprimé d'une unité d'organisation fondamentale, vous devez résoudre la dérive en réparant votre landing zone. Tant que cette dérive n'est pas résolue, vous ne pourrez pas utiliser la console AWS Control Tower.

  • Pour de plus amples informations sur la résolution de la dérive pour les comptes et les UO, veuillez consulter Si vous gérez des ressources en dehors d'AWS Control Tower.

Note

DansAWS Service Catalog, le produit provisionné par Account Factory qui représente le compte n'est pas mis à jour pour supprimer le compte. Au lieu de cela, le produit provisionné est affiché en tant que TAINTED et il est dans un état d'erreur. Pour nettoyer, rendez-vous sur la pageAWS Service Catalog, sélectionnez le produit provisionné, puis sélectionnezTerminer.

Mise à jour non planifiée de la stratégie de contrôle de service gérée

Ce type de dérive peut se produire lorsqu'une stratégie de contrôle de service pour une barrière de sécurité est mise à jour dans laAWS Organizationsou par programme à l'aide de laAWS CLIou l'un des kits de développement logiciel AWS. Voici un exemple de notification Amazon SNS quand ce type de dérive est détecté.

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ServiceControlPolicyUpdated", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }

Résolution

Lorsque ce type de dérive se produit dans une unité d'organisation comptant jusqu'à 300 comptes, vous pouvez le résoudre en :

Lorsque ce type de dérive se produit dans une unité d'organisation comptant plus de 300 comptes, résolvez-le en mettant à jour votre landing zone. Pour plus d'informations, consultez Mettre à jour votre zone de destination.

Stratégie de contrôle de service attachée à l'unité d'organisation gérée

Ce type de dérive peut se produire lorsqu'une stratégie de contrôle de service pour une barrière de sécurité est attachée à une autre unité d'organisation. Ce cas est particulièrement fréquent lorsque vous travaillez sur vos unités d'organisation en dehors de la console AWS Control Tower. Voici un exemple de notification Amazon SNS quand ce type de dérive est détecté.

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }

Résolution

Lorsque ce type de dérive se produit dans une unité d'organisation comptant jusqu'à 300 comptes, vous pouvez le résoudre en :

Lorsque ce type de dérive se produit dans une unité d'organisation comptant plus de 300 comptes, résolvez-le en mettant à jour votre landing zone. Pour plus d'informations, consultez Mettre à jour votre zone de destination.

Stratégie de contrôle de service détachée de l'unité d'organisation gérée

Ce type de dérive peut se produire lorsqu'une stratégie de contrôle de service pour une barrière de sécurité a été détachée d'une unité d'organisation gérée par AWS Control Tower. Ce type de situation est particulièrement fréquent lorsque vous travaillez en dehors de la console AWS Control Tower. Voici un exemple de notification Amazon SNS quand ce type de dérive est détecté.

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_DETACHED_FROM_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }

Résolution

Lorsque ce type de dérive se produit dans une unité d'organisation comptant jusqu'à 300 comptes, vous pouvez le résoudre en :

  • Accédez à l'unité d'organisation dans la console AWS Control Tower pour réenregistrer l'UO (option la plus rapide). Pour plus d'informations, consultez Enregistrer une unité organisationnelle existante auprès d'AWS Control Tower.

  • Mise à jour de votre landing zone (option plus lente). Si la dérive affecte un garde-corps obligatoire, le processus de mise à jour crée une nouvelle stratégie de contrôle des services (SCP) et l'attache à l'unité d'organisation pour réparer la dérive. Pour plus d'informations sur la mise à jour de votre landing zone, consultezMettre à jour votre zone de destination.

Lorsque ce type de dérive se produit dans une unité d'organisation comptant plus de 300 comptes, résolvez-le en mettant à jour votre landing zone. Si la dérive affecte un garde-corps obligatoire, le processus de mise à jour crée une nouvelle stratégie de contrôle des services (SCP) et l'attache à l'unité d'organisation pour réparer la dérive. Pour plus d'informations sur la mise à jour de votre landing zone, consultezMettre à jour votre zone de destination.

Stratégie de contrôle de service attachée au compte membre

Ce type de dérive peut se produire lorsqu'une stratégie de contrôle de service pour une barrière de sécurité de sécurité est attachée à un compte dans la console Organizations. Les barrières de sécurité et leurs stratégies de contrôle de service peuvent être activées sur les unités d'organisation (et donc appliquées à tous les comptes inscrits d'une unité d'organisation) via la console AWS Control Tower. Voici un exemple de notification Amazon SNS quand ce type de dérive est détecté.

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ServiceControlPolicyAttachedToAccount", "RemediationStep" : "Re-register this organizational unit (OU)", "AccountId" : "012345678909", "PolicyId" : "p-tEXAMPLE" }

Résolution

Ce type de dérive se produit sur le compte plutôt que sur l'UO.

Lorsque ce type de dérive se produit pour les comptes d'une unité d'organisation fondamentale, telle que l'unité d'organisation de sécurité, la résolution consiste à mettre à jour votre landing zone. Pour plus d'informations, consultez Mettre à jour votre zone de destination.

Lorsque ce type de dérive se produit dans une unité d'organisation non fondamentale comptant jusqu'à 300 comptes, vous pouvez le résoudre en :

Lorsque ce type de dérive se produit dans une unité d'organisation comptant plus de 300 comptes, vous pouvez tenter de le résoudre en mettant à jour la configuration d'usine du compte pour le compte. Il se peut qu'il ne soit pas possible de le résoudre correctement. Pour plus d'informations, consultez Mettre à jour votre zone de destination.

Unité d'organisation fondamentale supprimée

Ce type de dérive s'applique uniquement aux unités d'organisation fondamentales d'AWS Control Tower, telles que l'unité d'organisation de sécurité. Cela peut se produire si une unité d'organisation de base est supprimée en dehors de la console AWS Control Tower. Les unités d'organisation fondamentales ne peuvent pas être déplacées sans créer ce type de dérive, car déplacer une unité d'organisation revient à la supprimer puis à l'ajouter ailleurs. Lorsque vous résolvez la dérive en mettant à jour votre landing zone, AWS Control Tower remplace l'unité d'organisation fondamentale à l'emplacement d'origine. L'exemple suivant montre une notification Amazon SNS que vous pouvez recevoir lorsque ce type de dérive est détecté.

{ "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "OrganizationalUnitDeleted", "RemediationStep" : "Delete organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }

Résolution

Comme cette dérive se produit uniquement pour les unités d'organisation fondamentales, la résolution consiste à mettre à jour la landing zone. Lorsque d'autres types d'unités d'organisation sont supprimés, AWS Control Tower est automatiquement mis à jour.

Pour de plus amples informations sur la résolution de la dérive pour les comptes et les UO, veuillez consulter Si vous gérez des ressources en dehors d'AWS Control Tower.