Mendeteksi dan mengatasi penyimpangan di AWS Control Tower - AWS Control Tower
Mendeteksi driftMenyelesaikan driftPertimbangan tentang pemindaian drift dan SCPJenis drift untuk segera diselesaikanPerubahan sumber daya yang dapat diperbaikiDrift dan Penyediaan Akun Baru

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mendeteksi dan mengatasi penyimpangan di AWS Control Tower

Mengidentifikasi dan menyelesaikan drift adalah tugas operasi reguler untuk administrator akun manajemen AWS Control Tower. Menyelesaikan drift membantu memastikan kepatuhan Anda terhadap persyaratan tata kelola.

Saat Anda membuat landing zone, landing zone dan semua unit organisasi (OU), akun, dan sumber daya sesuai dengan aturan tata kelola yang diberlakukan oleh kontrol yang Anda pilih. Saat Anda dan anggota organisasi Anda menggunakan landing zone, perubahan status kepatuhan ini dapat terjadi. Beberapa perubahan mungkin tidak disengaja, dan beberapa mungkin dibuat dengan sengaja untuk menanggapi peristiwa operasional yang sensitif terhadap waktu.

Deteksi drift membantu Anda dalam mengidentifikasi sumber daya yang memerlukan perubahan atau pembaruan konfigurasi untuk menyelesaikan penyimpangan.

Mendeteksi drift

AWS Control Tower mendeteksi drift secara otomatis. Untuk mendeteksi drift, AWSControlTowerAdmin peran tersebut memerlukan akses terus-menerus ke akun manajemen Anda sehingga AWS Control Tower dapat melakukan panggilan API hanya-baca. AWS Organizations Panggilan API ini muncul sebagai AWS CloudTrail peristiwa.

Drift muncul di notifikasi Amazon Simple Notification Service (Amazon SNS) yang digabungkan dalam akun audit. Pemberitahuan di setiap akun anggota mengirim peringatan ke topik Amazon SNS lokal, dan ke fungsi Lambda.

Untuk kontrol yang merupakan bagian dari Standar AWS Security Hub yang Dikelola Layanan: AWS Control Tower, drift ditampilkan di halaman detail Akun dan Akun di konsol AWS Control Tower, serta melalui notifikasi Amazon SNS.

Administrator akun anggota dapat (dan sebagai praktik terbaik, mereka harus) berlangganan pemberitahuan drift SNS untuk akun tertentu. Misalnya, topik aws-controltower-AggregateSecurityNotifications SNS menyediakan notifikasi drift. Konsol AWS Control Tower menunjukkan kepada administrator akun manajemen kapan drift telah terjadi. Untuk informasi selengkapnya tentang topik SNS untuk deteksi dan notifikasi drift, lihat Pencegahan dan pemberitahuan drift.

De-duplikasi pemberitahuan drift

Jika jenis drift yang sama terjadi pada kumpulan sumber daya yang sama beberapa kali, AWS Control Tower mengirimkan notifikasi SNS hanya untuk instance awal drift. Jika AWS Control Tower mendeteksi bahwa instance drift ini telah diperbaiki, AWS akan mengirimkan pemberitahuan lain hanya jika drift terjadi kembali untuk sumber daya yang identik tersebut.

Contoh: Penyimpangan akun dan drift SCP ditangani dengan cara berikut

  • Jika Anda memodifikasi SCP terkelola yang sama beberapa kali, Anda menerima pemberitahuan untuk pertama kalinya Anda memodifikasinya.

  • Jika Anda memodifikasi SCP terkelola, lalu memulihkan drift, lalu memodifikasinya lagi, Anda akan menerima dua notifikasi.

  • Jika akun dipindahkan antara sumber dan tujuan yang sama OU beberapa kali, tanpa memperbaiki drift terlebih dahulu, satu notifikasi dikirim, meskipun akun tersebut berpindah di antara OU tersebut lebih dari satu kali.

Jenis penyimpangan akun

  • Akun dipindahkan antara OU

  • Akun dihapus dari organisasi

catatan

Ketika Anda memindahkan akun dari satu OU ke yang lain, kontrol dari OU sebelumnya tidak dihapus. Jika Anda mengaktifkan kontrol berbasis kait baru di OU tujuan, yang lama Kontrol berbasis kait dihapus dari akun, dan kontrol baru menggantikannya. Kontrol yang diterapkan dengan SCP dan AWS Config aturan selalu harus dihapus secara manual saat akun mengubah OU.

Jenis penyimpangan kebijakan

  • SCP diperbarui

  • SCP melekat pada OU

  • SCP terlepas dari OU

  • SCP dilampirkan ke akun

Untuk informasi selengkapnya, lihat Tipe of Governance Drift.

Menyelesaikan drift

Meskipun deteksi otomatis, langkah-langkah untuk menyelesaikan penyimpangan harus dilakukan melalui konsol.

  • Banyak jenis drift dapat diselesaikan melalui halaman pengaturan zona pendaratan. Anda dapat memilih tombol Reset di bagian Versi untuk mengatasi jenis penyimpangan ini.

  • Jika OU Anda memiliki kurang dari 300 akun, Anda dapat menyelesaikan penyimpangan di akun yang disediakan Account Factory, atau drift SCP, dengan memilih Registrasi ulang OU di halaman Organisasi atau halaman detail OU.

  • Anda mungkin dapat mengatasi penyimpangan akun, sepertiAkun Anggota yang Dipindahkan, dengan memperbarui akun individual. Untuk informasi selengkapnya, lihat Perbarui akun di konsol.

Saat Anda mengambil tindakan untuk mengatasi drift pada versi landing zone, dua perilaku dimungkinkan.

  • Jika Anda menggunakan versi landing zone terbaru, ketika Anda memilih Reset dan kemudian memilih Konfirmasi, sumber daya zona pendaratan drifted Anda diatur ulang ke konfigurasi AWS Control Tower yang disimpan. Versi landing zone tetap sama.

  • Jika Anda tidak menggunakan versi terbaru, Anda harus memilih Perbarui. Landing zone ditingkatkan ke versi landing zone terbaru. Drift diselesaikan sebagai bagian dari proses ini.

Pertimbangan tentang pemindaian drift dan SCP

AWS Control Tower memindai SCP terkelola Anda setiap hari untuk memverifikasi bahwa kontrol yang sesuai diterapkan dengan benar dan tidak hanyut. Untuk mengambil SCP dan menjalankan pemeriksaan, AWS Control Tower memanggil AWS Organizations atas nama Anda, menggunakan peran di akun manajemen Anda.

Jika pemindaian AWS Control Tower menemukan drift, Anda akan menerima pemberitahuan. AWS Control Tower hanya mengirimkan satu notifikasi per masalah drift, jadi jika landing zone Anda sudah dalam keadaan drift, Anda tidak akan menerima notifikasi tambahan kecuali item drift baru ditemukan.

AWS Organizations membatasi seberapa sering masing-masing API-nya dapat dipanggil. Batas ini dinyatakan dalam transaksi per detik (TPS), dan dikenal sebagai batas TPS, laju pembatasan, atau tingkat permintaan API. Saat AWS Control Tower mengaudit SCP Anda dengan menelepon AWS Organizations, panggilan API yang dibuat AWS Control Tower dihitung terhadap batas TPS Anda, karena AWS Control Tower menggunakan akun manajemen untuk melakukan panggilan.

Dalam situasi yang jarang terjadi, batas ini dapat dicapai ketika Anda memanggil API yang sama berulang kali, baik melalui solusi pihak ketiga atau skrip khusus yang Anda tulis. Misalnya, jika Anda dan AWS Control Tower memanggil AWS Organizations API yang sama pada saat yang sama (dalam 1 detik), dan batas TPS tercapai, panggilan berikutnya akan dibatasi. Artinya, panggilan ini mengembalikan kesalahan sepertiRate exceeded.

Jika tingkat permintaan API terlampaui

  • Jika AWS Control Tower mencapai batas dan dibatasi, kami menjeda eksekusi audit dan melanjutkannya di lain waktu.

  • Jika beban kerja Anda mencapai batas dan dibatasi, hasilnya dapat berkisar dari sedikit latensi hingga kesalahan fatal dalam beban kerja, tergantung pada bagaimana beban kerja dikonfigurasi. Kasus tepi ini adalah sesuatu yang harus diperhatikan.

Pemindaian SCP harian terdiri dari

  1. Mengambil OU Anda yang baru saja aktif.

  2. Untuk setiap OU yang terdaftar, ambil semua SCP yang dikelola oleh AWS Control Tower yang dilampirkan ke OU. SCP terkelola memiliki pengidentifikasi yang dimulai dengan. aws-guardrails

  3. Untuk setiap kontrol preventif yang diaktifkan pada OU, memverifikasi bahwa pernyataan kebijakan kontrol hadir dalam SCP yang dikelola OU.

OU mungkin memiliki satu atau lebih SCP terkelola.

Jenis drift untuk segera diselesaikan

Sebagian besar jenis drift dapat diselesaikan oleh administrator. Beberapa jenis drift harus segera diselesaikan, termasuk penghapusan unit organisasi yang diperlukan oleh zona landing zone AWS Control Tower. Berikut adalah beberapa contoh penyimpangan utama yang mungkin ingin Anda hindari:

  • Jangan hapus OU Keamanan: Unit organisasi yang awalnya bernama Security selama penyiapan landing zone oleh AWS Control Tower tidak boleh dihapus. Jika Anda menghapusnya, Anda akan melihat pesan kesalahan yang menginstruksikan Anda untuk segera mengatur ulang landing zone. Anda tidak akan dapat mengambil tindakan lain di AWS Control Tower hingga reset selesai.

  • Jangan hapus peran yang diperlukan: AWS Control Tower memeriksa peran AWS Identity and Access Management (IAM) tertentu saat Anda masuk ke konsol untuk penyimpangan peran IAM. Jika peran ini hilang atau tidak dapat diakses, Anda akan melihat halaman kesalahan yang menginstruksikan Anda untuk mengatur ulang landing zone Anda. Peran ini adalah AWSControlTowerAdmin AWSControlTowerCloudTrailRoleAWSControlTowerStackSetRole.

    Untuk informasi lebih lanjut tentang peran ini, lihatIzin yang Diperlukan untuk Menggunakan AWS Control Tower Console.

  • Jangan hapus semua OU Tambahan: Jika Anda menghapus unit organisasi yang awalnya bernama Sandbox selama penyiapan landing zone oleh AWS Control Tower, landing zone Anda akan berada dalam keadaan drift, tetapi Anda masih dapat menggunakan AWS Control Tower. Setidaknya satu OU Tambahan diperlukan agar AWS Control Tower dapat beroperasi, tetapi tidak harus berupa Sandbox OU.

  • Jangan hapus akun bersama: Jika Anda menghapus akun bersama dari Foundational OU, seperti menghapus akun logging dari Security OU, landing zone Anda akan berada dalam keadaan drift. Landing zone harus disetel ulang sebelum Anda dapat melanjutkan menggunakan konsol AWS Control Tower.

Perubahan sumber daya yang dapat diperbaiki

Berikut adalah daftar perubahan pada sumber daya AWS Control Tower yang diizinkan, meskipun mereka menciptakan penyimpangan yang dapat diselesaikan. Hasil operasi yang diizinkan ini dapat dilihat di konsol AWS Control Tower, meskipun penyegaran mungkin diperlukan.

Untuk informasi selengkapnya tentang cara mengatasi penyimpangan yang dihasilkan, lihat Mengelola Sumber Daya Di Luar AWS Control Tower.

Perubahan yang Diizinkan di Luar AWS Control Tower Console

  • Ubah nama OU terdaftar.

  • Ubah nama Security OU.

  • Ubah nama akun anggota di OU non-dasar.

  • Ubah nama akun bersama AWS Control Tower di OU Keamanan.

  • Hapus OU Non-Foundational.

  • Hapus akun terdaftar dari OU non-dasar.

  • Ubah alamat email akun bersama di Security OU.

  • Ubah alamat email akun anggota di OU terdaftar.

catatan

Memindahkan akun antara OU dianggap drift, dan itu harus diselesaikan.

Drift dan Penyediaan Akun Baru

Jika landing zone Anda dalam keadaan drift, fitur akun Daftar di AWS Control Tower tidak akan berfungsi. Dalam hal ini, Anda harus menyediakan akun baru melalui AWS Service Catalog. Untuk petunjuk, lihat Menyediakan akun dengan AWS Service Catalog Account Factory .

Khususnya, jika Anda telah membuat perubahan tertentu pada akun Anda melalui Service Catalog, seperti mengubah nama portofolio Anda, fitur akun Daftar tidak akan berfungsi.