Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Événements liés au cycle de vie dans AWS Control Tower
Certains événements enregistrés par AWS Control Tower sont des événements du cycle de vie. L'objectif d'un événement du cycle de vie est de marquer l'achèvement de certaines actions AWS Control Tower qui modifient l'état des ressources. Les événements du cycle de vie s'appliquent aux ressources créées ou gérées par AWS Control Tower, telles que les unités organisationnelles (UO), les comptes et les contrôles.
Caractéristiques des événements liés au cycle de vie d'AWS Control Tower
-
Pour chaque événement du cycle de vie, le journal des événements indique si l'action Control Tower d'origine s'est terminée avec succès ou a échoué.
-
AWS CloudTrail enregistre automatiquement chaque événement du cycle de vie en tant qu'événement de AWS service non lié à l'API. Pour plus d'informations, consultez le guide de AWS CloudTrail l'utilisateur.
-
Chaque événement du cycle de vie est également transmis aux services Amazon EventBridge et Amazon CloudWatch Events.
Les événements du cycle de vie dans AWS Control Tower offrent deux avantages principaux :
-
Étant donné qu'un événement du cycle de vie enregistre la fin d'une action AWS Control Tower, vous pouvez créer une EventBridge règle Amazon ou une règle Amazon CloudWatch Events qui peut déclencher les étapes suivantes de votre flux de travail d'automatisation, en fonction de l'état de l'événement du cycle de vie.
-
Les journaux fournissent des détails supplémentaires pour aider les administrateurs et les auditeurs à examiner certains types d'activités dans vos organisations.
Fonctionnement des événements de cycle de vie
AWS Control Tower s'appuie sur plusieurs services pour mettre en œuvre ses actions. Par conséquent, chaque événement de cycle de vie est enregistré une fois qu'une série d'actions est terminée. Par exemple, lorsque vous activez un contrôle sur une unité d'organisation, AWS Control Tower lance une série de sous-étapes qui mettent en œuvre la demande. Le résultat final de l'ensemble de la série de sous-étapes est enregistré dans le journal comme état de l'événement de cycle de vie.
-
Si chaque sous-étape sous-jacente a abouti, l'état de l'événement de cycle de vie est enregistré comme Succeeded (Réussite).
-
Si l'une des sous-étapes sous-jacentes n'a pas abouti, l'état de l'événement de cycle de vie est enregistré comme Failed (Échec).
Chaque événement du cycle de vie inclut un horodatage enregistré qui indique le moment où l'action AWS Control Tower a été lancée, et un autre horodatage indiquant la fin de l'événement du cycle de vie, marquant le succès ou l'échec.
Afficher les événements du cycle de vie dans Control Tower
Vous pouvez consulter les événements du cycle de vie sur la page Activités de votre tableau de bord AWS Control Tower.
-
Pour accéder à la page Activities (Activités), choisissez Activities (Activités) dans le panneau de navigation de gauche.
-
Pour obtenir de plus amples informations sur un événement spécifique, sélectionnez l'événement, puis cliquez sur le bouton View details (Afficher les détails) en haut à droite.
Pour plus d'informations sur la manière d'intégrer les événements du cycle de vie d'AWS Control Tower dans vos flux de travail, consultez ce billet de blog intitulé Utiliser les événements du cycle de vie pour suivre les actions d'AWS Control Tower et déclencher des flux de travail automatisés
Comportement attendu CreateManagedAccount et événements UpdateManagedAccount du cycle de vie
Lorsque vous créez un compte ou que vous inscrivez un compte dans AWS Control Tower, ces deux actions appellent la même API interne. Si une erreur se produit au cours du processus, elle se produit généralement après la création du compte, mais il n'est pas entièrement provisionné. Lorsque vous essayez à nouveau de créer le compte après l'erreur, ou lorsque vous essayez de mettre à jour le produit mis en service, AWS Control Tower constate que le compte existe déjà.
Comme le compte existe, AWS Control Tower enregistre l'événement du UpdateManagedAccount cycle de vie plutôt que l'événement du CreateManagedAccount cycle de vie à la fin de la demande de nouvelle tentative. Vous vous attendiez peut-être à un autre CreateManagedAccount événement à cause de cette erreur. Cependant, l'événement UpdateManagedAccount du cycle de vie correspond au comportement attendu et souhaité.
Si vous envisagez de créer ou d'inscrire des comptes dans AWS Control Tower à l'aide de méthodes automatisées, programmez la fonction Lambda UpdateManagedAccountpour rechercher les événements du cycle de vie CreateManagedAccountainsi que les événements du cycle de vie.
Noms de l'événement de cycle de vie
Chaque événement du cycle de vie est nommé de manière à correspondre à l'action AWS Control Tower d'origine, qui est également enregistrée par AWS CloudTrail. Ainsi, par exemple, un événement du cycle de vie créé par l'CreateManagedAccount CloudTrail événement AWS Control Tower est nomméCreateManagedAccount.
Chaque nom de la liste qui suit constitue un lien vers un exemple de détail consigné au format JSON. Les informations supplémentaires présentées dans ces exemples sont extraites des journaux d' CloudWatch événements Amazon.
Bien que JSON ne prenne pas en charge les commentaires, certains commentaires ont été ajoutés dans les exemples à des fins explicatives. Les commentaires sont précédés de « // » et apparaissent à droite des exemples.
Dans ces exemples, certains noms de comptes et d'organisations sont masqués. Un accountId est toujours une séquence de 12 chiffres, qui a été remplacée par « xxxxxxxxxxxx » dans les exemples. Un organizationalUnitID est une chaîne unique de lettres et de chiffres. Sa forme est préservée dans les exemples.
-
CreateManagedAccount: Le journal indique si AWS Control Tower a effectué avec succès toutes les actions nécessaires pour créer et approvisionner un nouveau compte à l'aide de Account Factory.
-
UpdateManagedAccount: Le journal indique si AWS Control Tower a effectué avec succès toutes les actions de mise à jour d'un produit provisionné associé à un compte que vous aviez créé précédemment à l'aide de Account Factory.
-
EnableGuardrail: Le journal indique si AWS Control Tower a effectué avec succès toutes les actions nécessaires pour activer un contrôle sur une unité d'organisation créée par AWS Control Tower.
-
DisableGuardrail: Le journal indique si AWS Control Tower a effectué avec succès toutes les actions visant à désactiver un contrôle sur une unité d'organisation créée par AWS Control Tower.
-
SetupLandingZone: Le journal indique si AWS Control Tower a effectué avec succès toutes les actions nécessaires pour configurer une zone de landing zone.
-
UpdateLandingZone: Le journal indique si AWS Control Tower a effectué avec succès toutes les actions nécessaires pour mettre à jour votre zone de landing zone existante.
-
RegisterOrganizationalUnit: Le journal indique si AWS Control Tower a effectué avec succès toutes les actions nécessaires pour activer ses fonctionnalités de gouvernance sur une unité d'organisation.
-
DeregisterOrganizationalUnit: Le journal indique si AWS Control Tower a effectué avec succès toutes les actions visant à désactiver ses fonctionnalités de gouvernance sur une unité d'organisation.
-
PrecheckOrganizationalUnit: Le journal indique si AWS Control Tower a détecté une ressource susceptible d'empêcher le bon déroulement de l'opération de gouvernance Extend.
Les sections suivantes fournissent une liste des événements du cycle de vie d'AWS Control Tower, avec des exemples des détails enregistrés pour chaque type d'événement du cycle de vie.
CreateManagedAccount
Cet événement du cycle de vie indique si AWS Control Tower a correctement créé et provisionné un nouveau compte à l'aide de Account Factory. Cet événement correspond à l'CreateManagedAccount CloudTrail événement AWS Control Tower. Le journal des événements de cycle de vie inclut les éléments accountName et accountId du compte nouvellement créé, ainsi que les éléments organizationalUnitName et organizationalUnitId de l'unité d'organisation dans laquelle le compte a été placé.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "CreateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "createManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"XXXXXXXXXXXX" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully created a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }
UpdateManagedAccount
Cet événement du cycle de vie enregistre si AWS Control Tower a correctement mis à jour le produit provisionné associé à un compte créé précédemment à l'aide de Account Factory. Cet événement correspond à l'UpdateManagedAccount CloudTrailévénement AWS Control Tower. Le journal des événements de cycle de vie inclut les éléments accountName et accountId du compte associé, ainsi que les éléments organizationalUnitName et organizationalUnitId de l'unité d'organisation dans laquelle le compte mis à jour est placé.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // AWS Control Tower organization management account. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"624281831893" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully updated a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }
EnableGuardrail
Cet événement du cycle de vie enregistre si AWS Control Tower a activé avec succès un contrôle sur une unité d'organisation gérée par AWS Control Tower. Cet événement correspond à l'EnableGuardrail CloudTrail événement AWS Control Tower. Le journal des événements du cycle de vie inclut le guardrailId et guardrailBehavior du contrôle, ainsi que le organizationalUnitName et organizationalUnitId de l'unité d'organisation sur laquelle le contrôle est activé.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "EnableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "enableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }
DisableGuardrail
Cet événement du cycle de vie enregistre si AWS Control Tower a correctement désactivé un contrôle sur une unité d'organisation gérée par AWS Control Tower. Cet événement correspond à l'DisableGuardrail CloudTrail événement AWS Control Tower. Le journal des événements du cycle guardrailBehavior de vie inclut le guardrailId et du contrôle et le organizationalUnitName et organizationalUnitId de l'unité d'organisation sur laquelle le contrôle est désactivé.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DisableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "disableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }
SetupLandingZone
Cet événement du cycle de vie enregistre si AWS Control Tower a correctement configuré une zone de landing zone. Cet événement correspond à l'SetupLandingZone CloudTrail événement AWS Control Tower. Le journal des événements du cycle de vie inclut lerootOrganizationalId, qui est l'ID de l'organisation créée par AWS Control Tower à partir du compte de gestion. L'entrée du journal inclut également le organizationalUnitName et organizationalUnitId pour chacune des UO, ainsi que le accountName et accountId pour chaque compte, créés lorsque AWS Control Tower configure la zone de landing zone.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management-account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "SetupLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "setupLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire lifecycle operation. "message": "AWS Control Tower successfully set up a new landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
UpdateLandingZone
Cet événement du cycle de vie enregistre si AWS Control Tower a correctement mis à jour votre zone de landing zone existante. Cet événement correspond à l'UpdateLandingZone CloudTrail événement AWS Control Tower. Le journal des événements du cycle de vie inclut lerootOrganizationalId, qui est l'ID de l'organisation (mise à jour) régie par AWS Control Tower. L'entrée du journal inclut également le organizationalUnitName et organizationalUnitId pour chacune des UO, ainsi que le accountName et accountId pour chaque compte, créé précédemment, lorsque AWS Control Tower a initialement configuré la zone de landing zone.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire operation. "message": "AWS Control Tower successfully updated a landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
RegisterOrganizationalUnit
Cet événement du cycle de vie indique si AWS Control Tower a activé avec succès ses fonctionnalités de gouvernance sur une unité d'organisation. Cet événement correspond à l'RegisterOrganizationalUnit CloudTrail événement AWS Control Tower. Le journal des événements du cycle de vie inclut le organizationalUnitName et organizationalUnitId de l'unité d'organisation qu'AWS Control Tower a placée sous sa gouvernance.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "123456789012", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "RegisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "registerOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully registered an organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", "organizationalUnitId": "ou-adpf-302pk332" } "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
DeregisterOrganizationalUnit
Cet événement du cycle de vie indique si AWS Control Tower a correctement désactivé ses fonctionnalités de gouvernance sur une unité d'organisation. Cet événement correspond à l'DeregisterOrganizationalUnit CloudTrail événement AWS Control Tower. Le journal des événements du cycle de vie inclut le organizationalUnitName et organizationalUnitId de l'unité d'organisation sur laquelle AWS Control Tower a désactivé ses fonctionnalités de gouvernance.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DeregisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "deregisterOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", // Foundational OU name. "organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID. }, "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
PrecheckOrganizationalUnit
Cet événement du cycle de vie enregistre si AWS Control Tower a correctement effectué les prévérifications sur une unité d'organisation. Cet événement correspond à l'PrecheckOrganizationalUnit CloudTrail événement AWS Control Tower. Le journal des événements du cycle de vie contient un champ pour les IdName, et failedPrechecks les valeurs pour chaque ressource sur laquelle AWS Control Tower a effectué des prévérifications lors du processus d'enregistrement de l'unité d'organisation.
Le journal des événements contient également des informations sur les comptes imbriqués sur lesquels les prévérifications ont été effectuées, notamment les accountName champsaccountId, etfailedPrechecks.
Si la failedPrechecks valeur est vide, cela signifie que tous les précontrôles pour cette ressource ont été effectués avec succès.
-
Cet événement n'est émis qu'en cas d'échec de la prévérification.
-
Cet événement n'est pas émis si vous enregistrez une unité d'organisation vide.
Exemple d'événement :
{ "eventVersion": "1.08", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2021-09-20T22:45:43Z", "eventSource": "controltower.amazonaws.com", "eventName": "PrecheckOrganizationalUnit", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "XXXXXXXXXXXX", "serviceEventDetails": { "precheckOrganizationalUnitStatus": { "organizationalUnit": { "organizationalUnitName": "Ou-123", "organizationalUnitId": "ou-abcd-123456", "failedPrechecks": [ "SCP_CONFLICT" ] }, "accounts": [ { "accountName": "Child Account 1", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Child Account 2", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Management Account", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "MISSING_PERMISSIONS_AF_PRODUCT" ] }, { "accountName": "Child Account 3", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [] }, ... ], "state": "FAILED", "message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.", "requestedTimestamp": "2021-09-20T22:44:02+0000", "completedTimestamp": "2021-09-20T22:45:43+0000" } }, "eventCategory": "Management" }
