Événements du cycle de vie dans AWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Événements du cycle de vie dans AWS Control Tower

Certains événements consignés par AWS Control Tower sontEvènements du. L'objectif d'un événement de cycle de vie est de marquerréalisationde certaines actions AWS Control Tower qui modifient l'état des ressources. Les événements du cycle de vie s'appliquent aux ressources créées ou gérées par AWS Control Tower, telles que les unités d'organisation, les comptes et les barrières de sécurité.

Caractéristiques des événements du cycle de vie d'AWS Control Tower

  • Pour chaque événement de cycle de vie, le journal des événements indique si l'action AWS Control Tower d'origine s'est terminée correctement ou si elle a échoué.

  • AWS CloudTrailenregistre automatiquement chaque événement de cycle de vie en tant queNon-APIAWSévénement de service. Pour de plus amples informations, veuillez consulterleAWS CloudTrail Guide de l'utilisateur .

  • Chaque événement de cycle de vie est également livré à Amazon EventBridge et Amazon CloudWatch Services d'événements.

Les événements du cycle de vie dans AWS Control Tower offrent deux avantages principaux :

  • Étant donné qu'un événement de cycle de vie enregistre la fin d'une action de la AWS Control Tower, vous pouvez créer un Amazon EventBridge règle ou Amazon CloudWatch Règle d'événements qui peut déclencher les étapes suivantes de votre flux de travail d'automatisation, en fonction de l'état de l'événement de cycle de vie.

  • Les journaux fournissent des détails supplémentaires pour aider les administrateurs et les auditeurs à examiner certains types d'activités dans vos organisations.

Fonctionnement des événements de cycle de vie

AWS Control Tower s'appuie sur plusieurs services pour mettre en œuvre ses actions. Par conséquent, chaque événement de cycle de vie est enregistré une fois qu'une série d'actions est terminée. Par exemple, lorsque vous activez une barrière de sécurité sur une unité d'organisation, AWS Control Tower lance une série de sous-étapes qui implémentent la demande. Le résultat final de l'ensemble de la série de sous-étapes est enregistré dans le journal comme état de l'événement de cycle de vie.

  • Si chaque sous-étape sous-jacente a abouti, l'état de l'événement de cycle de vie est enregistré comme Succeeded (Réussite).

  • Si l'une des sous-étapes sous-jacentes n'a pas abouti, l'état de l'événement de cycle de vie est enregistré comme Failed (Échec).

Chaque événement de cycle de vie comprend un horodatage enregistré qui indique quand l'action de la AWS Control Tower a été lancée, et un autre horodatage qui indique quand l'événement de cycle de vie s'est terminé, ainsi qu'une indication de la réussite ou de

Affichage des événements de cycle de vie dans AWS Control Tower

Vous pouvez consulter les événements du cycle de vie dans leActivitésdans votre tableau de bord AWS Control Tower.

  • Pour accéder à la page Activities (Activités), choisissez Activities (Activités) dans le panneau de navigation de gauche.

  • Pour obtenir de plus amples informations sur un événement spécifique, sélectionnez l'événement, puis cliquez sur le bouton View details (Afficher les détails) en haut à droite.

Pour plus d'informations sur l'intégration des événements du cycle de vie AWS Control Tower dans vos workflows, consultez cet article de blog intituléUtilisation des événements du cycle de vie pour suivre les actions d'AWS Control Tower et déclencher des flux de.

Comportement attendu de CreateManagedAccount et UpdateManagedAccountEvènements du

Lorsque vous créez un compte ou que vous inscrivez un compte dans AWS Control Tower, ces deux actions appellent la même API interne. S'il y a une erreur au cours du processus, elle se produit généralement après la création du compte mais n'est pas entièrement provisionné. Lorsque vous réessayez de créer le compte après l'erreur, ou lorsque vous essayez de mettre à jour le produit provisionné, AWS Control Tower constate que le compte existe déjà.

Comme le compte existe, AWS Control Tower enregistre leUpdateManagedAccountévénement du cycle de vie au lieu deCreateManagedAccountévénement de cycle de vie à la fin de la demande de nouvelle tentative. Vous vous attendiez peut-être à voir un autreCreateManagedAccounten raison de l'erreur. Cependant, leUpdateManagedAccountL'événement du cycle de vie est le comportement attendu et souhaité.

Si vous envisagez de créer ou d'inscrire des comptes dans AWS Control Tower à l'aide de méthodes automatisées, programmez la fonction Lambda pour rechercherUpdateManagedAccountles événements du cycle de vie ainsi queCreateManagedAccountévénements du cycle de vie

Noms de l'événement de cycle de vie

Chaque événement de cycle de vie est nommé de manière à correspondre à l'action AWS Control Tower d'origine, qui est également enregistrée par AWS Control Tower, qui est également enregistrée par CloudTrail. Ainsi, par exemple, un événement de cycle de vie créé par AWS Control TowerCreateManagedAccount CloudTrail l'événement est nomméCreateManagedAccount.

Chaque nom de la liste qui suit constitue un lien vers un exemple de détail consigné au format JSON. Les détails supplémentaires présentés dans ces exemples proviennent du service Amazon CloudWatch Journaux d'événements.

Bien que JSON ne prenne pas en charge les commentaires, certains commentaires ont été ajoutés dans les exemples à des fins explicatives. Les commentaires sont précédés de « // » et apparaissent à droite des exemples.

Dans ces exemples, certains noms de comptes et d'organisations sont masqués. Un accountId est toujours une séquence de 12 chiffres, qui a été remplacée par « xxxxxxxxxxxx » dans les exemples. Un organizationalUnitID est une chaîne unique de lettres et de chiffres. Sa forme est préservée dans les exemples.

  • CreateManagedAccount: le journal indique si a exécuté avec succès chaque action visant à créer et provisionner un nouveau compte à l'aide du service account factory.

  • UpdateManagedAccount: le journal enregistre si AWS Control Tower toutes les actions de mise à jour d'un produit alloué associé à un compte que vous avez créé précédemment à l'aide du service account factory.

  • EnableGuardrail: le journal indique si a exécuté avec succès chaque action visant à activer une barrière de sécurité sur une unité d'organisation créée par AWS Control Tower.

  • DisableGuardrail: le journal indique si a exécuté avec succès chaque action visant à désactiver une barrière de sécurité sur une unité d'organisation créée par AWS Control Tower.

  • SetupLandingZone: le journal indique si AWS Control Tower succès chaque action visant à configurer une landing zone.

  • UpdateLandingZone: le journal indique si AWS Control Tower chaque action visant à mettre à jour votre landing zone existante.

  • RegisterOrganizationalUnit: le journal indique si AWS Control Tower chaque action visant à activer ses fonctions de gouvernance sur une unité d'organisation.

  • DeregisterOrganizationalUnit: le journal indique si AWS Control Tower chaque action visant à désactiver ses fonctions de gouvernance sur une unité d'organisation.

  • PrecheckOrganizationalUnit: le journal enregistre si AWS Control Tower a détecté une ressource susceptible d'empêcher leÉtendre la gouvernancel'opération a exécuté avec succès.

Les sections suivantes fournissent une liste des événements du cycle de vie AWS Control Tower, avec des exemples de détails consignés pour chaque type d'événement du cycle de vie.

CreateManagedAccount

Cet événement de cycle de vie enregistre AWS Control Tower et provisionné avec succès un nouveau compte à l'aide du service account factory. Cet événement correspond à l'AWS Control TowerCreateManagedAccount CloudTrail event. Le journal des événements de cycle de vie inclut les éléments accountName et accountId du compte nouvellement créé, ainsi que les éléments organizationalUnitName et organizationalUnitId de l'unité d'organisation dans laquelle le compte a été placé.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "CreateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "createManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"XXXXXXXXXXXX" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully created a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }

UpdateManagedAccount

Cet événement de cycle de vie enregistre si AWS Control Tower à jour avec succès le produit alloué associé à un compte qui a été créé précédemment à l'aide du service account factory. Cet événement correspond à l'AWS Control TowerUpdateManagedAccount CloudTrailevent. Le journal des événements de cycle de vie inclut les éléments accountName et accountId du compte associé, ainsi que les éléments organizationalUnitName et organizationalUnitId de l'unité d'organisation dans laquelle le compte mis à jour est placé.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // AWS Control Tower organization management account. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"624281831893" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully updated a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }

EnableGuardrail

Cet événement de cycle de vie enregistre si a activé avec succès une barrière de sécurité sur une unité d'organisation gérée par AWS Control Tower. Cet événement correspond à l'AWS Control TowerEnableGuardrail CloudTrail event. Le journal des événements de cycle de vie inclut les éléments guardrailId et guardrailBehavior de la barrière de sécurité, et les éléments organizationalUnitName et organizationalUnitId de l'unité d'organisation sur laquelle la barrière de sécurité est activée.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "EnableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "enableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }

DisableGuardrail

Cet événement de cycle de vie enregistre si a désactivé avec succès une barrière de sécurité sur une unité d'organisation gérée par AWS Control Tower. Cet événement correspond à l'AWS Control TowerDisableGuardrail CloudTrail event. Le journal des événements de cycle de vie inclut les éléments guardrailId et guardrailBehavior de la barrière de sécurité, et les éléments organizationalUnitName et organizationalUnitId de l'unité d'organisation sur laquelle la barrière de sécurité est désactivée.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DisableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "disableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }

SetupLandingZone

Cet événement de cycle de vie AWS Control Tower configuré avec succès une landing zone. Cet événement correspond à l'AWS Control TowerSetupLandingZone CloudTrail event. Le journal des événements du cycle de vie inclut lerootOrganizationalId, qui est l'ID de l'organisation créée par AWS Control Tower à partir du compte de gestion. L'entrée du journal inclut également leorganizationalUnitNameetorganizationalUnitIdpour chacune des unités d'organisation, et leaccountNameetaccountIdpour chaque compte, qui sont créés lorsque AWS Control Tower configure la landing zone.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management-account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "SetupLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "setupLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire lifecycle operation. "message": "AWS Control Tower successfully set up a new landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

UpdateLandingZone

Cet événement de cycle de vie AWS Control Tower à jour votre landing zone existante. Cet événement correspond à l'AWS Control TowerUpdateLandingZone CloudTrail event. Le journal des événements du cycle de vie inclut lerootOrganizationalId, qui est l'ID de l'organisation (mise à jour) régie par AWS Control Tower. L'entrée du journal inclut également leorganizationalUnitNameetorganizationalUnitIdpour chacune des unités d'organisation, et leaccountNameetaccountIdpour chaque compte, qui a été créé précédemment, lorsque AWS Control Tower a configuré initialement la landing zone.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire operation. "message": "AWS Control Tower successfully updated a landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

RegisterOrganizationalUnit

Cet événement de cycle de vie enregistre AWS Control Tower avec succès ses fonctions de gouvernance sur une unité d'organisation. Cet événement correspond à l'AWS Control TowerRegisterOrganizationalUnit CloudTrail event. Le journal des événements du cycle de vie inclut leorganizationalUnitNameetorganizationalUnitIdde l'unité d'organisation qu'AWS Control Tower a mis sous sa gouvernance.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "123456789012", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "RegisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "registerOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully registered an organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", "organizationalUnitId": "ou-adpf-302pk332" } "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

DeregisterOrganizationalUnit

Cet événement de cycle de vie enregistre AWS Control Tower avec succès ses fonctions de gouvernance sur une unité d'organisation. Cet événement correspond à l'AWS Control TowerDeregisterOrganizationalUnit CloudTrail event. Le journal des événements du cycle de vie inclut leorganizationalUnitNameetorganizationalUnitIdde l'unité d'organisation sur laquelle AWS Control Tower a désactivé ses fonctions de gouvernance.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DeregisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "deregisterOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", // Foundational OU name. "organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID. }, "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

PrecheckOrganizationalUnit

Cet événement de cycle de vie enregistre AWS Control Tower avec succès les contrôles préalables sur une unité d'organisation. Cet événement correspond à l'AWS Control TowerPrecheckOrganizationalUnit CloudTrail event. Le journal des événements du cycle de vie contient un champ pourId,Name, etfailedPrechecksvaleurs, pour chaque ressource sur laquelle AWS Control Tower a effectué des pré-vérifications pendant le processus d'enregistrement de l'unité d'organisation.

Le journal des événements contient également des informations sur les comptes imbriqués sur lesquels les pré-vérifications ont été effectuées, y compris leaccountName,accountId, etfailedPrechecks.

Si l'icônefailedPrechecksvalue est vide, cela signifie que toutes les vérifications préalables pour cette ressource ont réussi.

  • Cet événement n'est émis qu'en cas d'échec de la pré-vérification.

  • Cet événement n'est pas émis si vous enregistrez une unité d'organisation vide.

Exemple d'événement :

{ "eventVersion": "1.08", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2021-09-20T22:45:43Z", "eventSource": "controltower.amazonaws.com", "eventName": "PrecheckOrganizationalUnit", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "XXXXXXXXXXXX", "serviceEventDetails": { "precheckOrganizationalUnitStatus": { "organizationalUnit": { "organizationalUnitName": "Ou-123", "organizationalUnitId": "ou-abcd-123456", "failedPrechecks": [ "SCP_CONFLICT" ] }, "accounts": [ { "accountName": "Child Account 1", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Child Account 2", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Management Account", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "MISSING_PERMISSIONS_AF_PRODUCT" ] }, { "accountName": "Child Account 3", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [] }, ... ], "state": "FAILED", "message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.", "requestedTimestamp": "2021-09-20T22:44:02+0000", "completedTimestamp": "2021-09-20T22:45:43+0000" } }, "eventCategory": "Management" }