Jenis Drift Tata Kelola - AWS Control Tower
Akun Anggota yang DipindahkanAkun Anggota yang DihapusPembaruan Tidak Direncanakan ke SCP TerkelolaSCP Terlampir ke OU TerkelolaSCP Terpisah dari OU TerkelolaSCP Terlampir pada Akun AnggotaDihapus Foundational OUDrift kontrol Security HubAkses tepercaya dinonaktifkan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Jenis Drift Tata Kelola

Pergeseran tata kelola, juga disebut penyimpangan organisasi terjadi ketika OU, SCP, dan akun anggota diubah atau diperbarui. Jenis drift tata kelola yang dapat dideteksi di AWS Control Tower adalah sebagai berikut:

Jenis drift lainnya adalah landing zone drift, yang dapat ditemukan melalui akun manajemen. Pergeseran zona pendaratan terdiri dari penyimpangan peran IAM, atau jenis penyimpangan organisasi apa pun yang secara khusus memengaruhi OU Foundational dan akun bersama.

Kasus khusus drift landing zone adalah role drift, yang terdeteksi ketika peran yang diperlukan tidak tersedia. Jika jenis penyimpangan ini terjadi, konsol menampilkan halaman peringatan dan beberapa instruksi tentang cara mengembalikan peran. Landing zone Anda tidak tersedia sampai drift peran diselesaikan. Untuk informasi selengkapnya tentang drift, lihat Jangan menghapus peran yang diperlukan di bagian yang dipanggilJenis drift untuk segera diselesaikan.

AWS Control Tower tidak mencari penyimpangan terkait layanan lain yang bekerja dengan akun manajemen, termasuk CloudTrail CloudWatch, Pusat Identitas IAM,, AWS CloudFormation AWS Config, dan sebagainya. Tidak ada deteksi drift yang tersedia di akun anak, karena akun ini dilindungi oleh kontrol wajib preventif.

Namun, ia melaporkan penyimpangan terkait kontrol yang merupakan bagian dari Standar yang AWS Security Hub dikelola Layanan: AWS Control Tower.

Akun Anggota yang Dipindahkan

Jenis penyimpangan ini terjadi pada akun daripada OU. Jenis drift ini dapat terjadi ketika akun anggota AWS Control Tower, akun audit, atau akun arsip log dipindahkan dari AWS Control Tower OU terdaftar ke OU lainnya. Berikut ini adalah contoh notifikasi Amazon SNS saat jenis drift ini terdeteksi.


{
  "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS",
  "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 300 accounts, you must update the provisioned product in Account Factory.",
  "AccountId" : "012345678909",
  "SourceId" : "012345678909",
  "DestinationId" : "ou-3210-1EXAMPLE"
}

Resolusi

Ketika jenis drift ini terjadi untuk akun yang disediakan Account Factory di OU dengan hingga 300 akun, Anda dapat menyelesaikannya dengan:

  • Menavigasi ke halaman Organisasi di konsol AWS Control Tower, memilih akun, dan memilih Perbarui akun di kanan atas (opsi tercepat untuk akun individual).

  • Menavigasi ke halaman Organisasi di konsol AWS Control Tower, lalu memilih Daftar ulang untuk OU yang berisi akun (opsi tercepat untuk beberapa akun). Untuk informasi selengkapnya, lihat Daftarkan unit organisasi yang ada dengan AWS Control Tower.

  • Memperbarui produk yang disediakan di Account Factory. Untuk informasi selengkapnya, lihat Perbarui dan pindahkan akun pabrik akun dengan AWS Control Tower atau dengan AWS Service Catalog.

    catatan

    Jika Anda memiliki beberapa akun individual untuk diperbarui, lihat juga metode ini untuk membuat pembaruan dengan skrip:Menyediakan dan memperbarui akun menggunakan otomatisasi.

  • Ketika jenis penyimpangan ini terjadi di OU dengan lebih dari 300 akun, resolusi drift mungkin tergantung pada jenis akun mana yang telah dipindahkan, seperti yang dijelaskan dalam paragraf berikutnya. Untuk informasi selengkapnya, lihat Perbarui Zona Pendaratan Anda.

    • Jika akun yang disediakan Account Factory dipindahkan - Di OU dengan kurang dari 300 akun, Anda dapat menyelesaikan penyimpangan akun dengan memperbarui produk yang disediakan di Account Factory, dengan mendaftarkan ulang OU, atau dengan memperbarui landing zone Anda.

      Dalam OU dengan lebih dari 300 akun, Anda harus menyelesaikan penyimpangan dengan membuat pembaruan ke setiap akun yang dipindahkan, baik melalui konsol AWS Control Tower atau produk yang disediakan karena registrasi ulang OU tidak akan melakukan pembaruan. Untuk informasi selengkapnya, lihat Perbarui dan pindahkan akun pabrik akun dengan AWS Control Tower atau dengan AWS Service Catalog.

    • Jika akun bersama dipindahkan — Anda dapat mengatasi penyimpangan dari memindahkan akun audit atau arsip log dengan memperbarui landing zone Anda. Untuk informasi selengkapnya, lihat Perbarui Zona Pendaratan Anda.

Nama bidang yang tidak digunakan lagi

Nama bidang MasterAccountID telah diubah ManagementAccountID untuk mematuhi AWS pedoman. Nama lama sudah usang. Mulai tahun 2022, skrip yang berisi nama bidang yang tidak digunakan lagi tidak akan berfungsi lagi.

Akun Anggota yang Dihapus

Jenis penyimpangan ini dapat terjadi ketika akun anggota dihapus dari unit organisasi AWS Control Tower terdaftar. Contoh berikut menunjukkan notifikasi Amazon SNS saat jenis drift ini terdeteksi.


{
  "Message" : "AWS Control Tower has detected that the member account 012345678909 has been removed from organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION",
  "RemediationStep" : "Add account to Organization and update Account Factory provisioned product",
  "AccountId" : "012345678909"
}

Resolusi

catatan

Di Service Catalog, produk yang disediakan Account Factory yang mewakili akun tidak diperbarui untuk menghapus akun. Sebagai gantinya, produk yang disediakan ditampilkan sebagai TAINTED dan dalam status kesalahan. Untuk membersihkan, buka Service Catalog, pilih produk yang disediakan, lalu pilih Terminate.

Pembaruan Tidak Direncanakan ke SCP Terkelola

Jenis drift ini dapat terjadi ketika SCP untuk kontrol diperbarui di AWS Organizations konsol atau secara terprogram menggunakan AWS CLI atau salah satu AWS SDK. Berikut ini adalah contoh notifikasi Amazon SNS saat jenis drift ini terdeteksi.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_UPDATED",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

Resolusi

Ketika jenis penyimpangan ini terjadi di OU dengan hingga 300 akun, Anda dapat menyelesaikannya dengan:

Ketika jenis drift ini terjadi di OU dengan lebih dari 300 akun, selesaikan dengan memperbarui landing zone Anda. Untuk informasi selengkapnya, lihat Perbarui Zona Pendaratan Anda.

SCP Terlampir ke OU Terkelola

Jenis drift ini dapat terjadi ketika SCP untuk kontrol terpasang ke OU lainnya. Kejadian ini sangat umum terjadi saat Anda mengerjakan OU Anda dari luar konsol AWS Control Tower. Berikut ini adalah contoh notifikasi Amazon SNS saat jenis drift ini terdeteksi.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

Resolusi

Ketika jenis penyimpangan ini terjadi di OU dengan hingga 300 akun, Anda dapat menyelesaikannya dengan:

Ketika jenis drift ini terjadi di OU dengan lebih dari 300 akun, selesaikan dengan memperbarui landing zone Anda. Untuk informasi selengkapnya, lihat Perbarui Zona Pendaratan Anda.

SCP Terpisah dari OU Terkelola

Jenis drift ini dapat terjadi ketika SCP untuk kontrol telah terlepas dari OU yang dikelola oleh AWS Control Tower. Kejadian ini sangat umum terjadi saat Anda bekerja dari luar konsol AWS Control Tower. Berikut ini adalah contoh notifikasi Amazon SNS saat jenis drift ini terdeteksi.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_DETACHED_FROM_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

Resolusi

Ketika jenis penyimpangan ini terjadi di OU dengan hingga 300 akun, Anda dapat menyelesaikannya dengan:

  • Menavigasi ke OU di konsol AWS Control Tower untuk mendaftarkan ulang OU (opsi tercepat). Untuk informasi selengkapnya, lihat Daftarkan unit organisasi yang ada dengan AWS Control Tower.

  • Memperbarui landing zone Anda (opsi lebih lambat). Jika drift memengaruhi kontrol wajib, proses pembaruan membuat kebijakan kontrol layanan baru (SCP) dan menempelkannya ke OU untuk menyelesaikan penyimpangan. Untuk informasi selengkapnya tentang cara memperbarui landing zone Anda, lihatPerbarui Zona Pendaratan Anda.

Ketika jenis drift ini terjadi di OU dengan lebih dari 300 akun, selesaikan dengan memperbarui landing zone Anda. Jika drift memengaruhi kontrol wajib, proses pembaruan membuat kebijakan kontrol layanan baru (SCP) dan menempelkannya ke OU untuk menyelesaikan penyimpangan. Untuk informasi selengkapnya tentang cara memperbarui landing zone Anda, lihatPerbarui Zona Pendaratan Anda.

SCP Terlampir pada Akun Anggota

Jenis drift ini dapat terjadi ketika SCP untuk kontrol dilampirkan ke akun di konsol Organizations. Guardrail dan SCP mereka dapat diaktifkan di OU (dan dengan demikian diterapkan ke semua akun terdaftar OU) melalui konsol AWS Control Tower. Berikut ini adalah contoh notifikasi Amazon SNS saat jenis drift ini terdeteksi.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_ACCOUNT",
  "RemediationStep" : "Re-register this organizational unit (OU)",
  "AccountId" : "012345678909",
  "PolicyId" : "p-tEXAMPLE"
}

Resolusi

Jenis penyimpangan ini terjadi pada akun daripada OU.

Ketika jenis drift ini terjadi untuk akun di Foundational OU, seperti Security OU, resolusinya adalah memperbarui landing zone Anda. Untuk informasi selengkapnya, lihat Perbarui Zona Pendaratan Anda.

Ketika jenis penyimpangan ini terjadi di OU non-dasar dengan hingga 300 akun, Anda dapat menyelesaikannya dengan:

Ketika jenis penyimpangan ini terjadi di OU dengan lebih dari 300 akun, Anda dapat mencoba menyelesaikannya dengan memperbarui konfigurasi pabrik akun untuk akun tersebut. Mungkin tidak mungkin untuk menyelesaikannya dengan sukses. Untuk informasi selengkapnya, lihat Perbarui Zona Pendaratan Anda.

Dihapus Foundational OU

Jenis drift ini hanya berlaku untuk AWS Control Tower Foundational OU, seperti Security OU. Hal ini dapat terjadi jika Foundational OU dihapus di luar konsol AWS Control Tower. Foundational OU tidak dapat dipindahkan tanpa membuat jenis drift ini, karena memindahkan OU sama dengan menghapusnya dan kemudian menambahkannya di tempat lain. Saat Anda menyelesaikan drift dengan memperbarui landing zone, AWS Control Tower menggantikan Foundational OU di lokasi aslinya. Contoh berikut menunjukkan notifikasi Amazon SNS yang mungkin Anda terima saat jenis drift ini terdeteksi.


{
  "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ORGANIZATIONAL_UNIT_DELETED",
  "RemediationStep" : "Delete organizational unit in Control Tower",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE"
}

Resolusi

Karena penyimpangan ini terjadi hanya untuk Foundational OU, resolusinya adalah memperbarui landing zone. Ketika jenis OU lainnya dihapus, AWS Control Tower diperbarui secara otomatis.

Untuk informasi selengkapnya tentang menyelesaikan penyimpangan untuk akun dan OU, lihat. Jika Anda mengelola sumber daya di luar AWS Control Tower

Drift kontrol Security Hub

Jenis drift ini terjadi ketika kontrol yang merupakan bagian dari AWS Security Hub Service-Managed Standard: AWS Control Tower melaporkan keadaan drift. AWS Security Hub Layanan itu sendiri tidak melaporkan keadaan drift untuk kontrol ini. Sebagai gantinya, layanan mengirimkan temuannya ke AWS Control Tower.

Drift kontrol Security Hub juga dapat dideteksi jika AWS Control Tower belum menerima pembaruan status dari Security Hub lebih dari 24 jam. Jika temuan tersebut tidak diterima seperti yang diharapkan, AWS Control Tower memverifikasi bahwa kontrol dalam drift. Contoh berikut menunjukkan notifikasi Amazon SNS yang mungkin Anda terima saat jenis drift ini terdeteksi.

{
"Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard",
"MasterAccountId" : "123456789XXX",
"ManagementAccountId" : "123456789XXX",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "SECURITY_HUB_CONTROL_DISABLED",
"RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.",
"AccountId" : "7876543219XXX",
"ControlId" : "PYBETSAGNUZB",
"ControlName" : "EBS snapshots should not be publicly restorable",
"ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB",
"Region" : "us-east-1"
}

Resolusi

Untuk OU dengan kurang dari 300 akun, resolusinya adalah mendaftarkan ulang OU, yang mengatur ulang kontrol ke keadaan semula. Untuk OU apa pun, Anda dapat menghapus dan mengaktifkan kembali kontrol melalui konsol atau AWS Control Tower API, yang juga mengatur ulang kontrol.

Untuk informasi selengkapnya tentang menyelesaikan penyimpangan untuk akun dan OU, lihat. Jika Anda mengelola sumber daya di luar AWS Control Tower

Akses tepercaya dinonaktifkan

Jenis drift ini berlaku untuk zona pendaratan AWS Control Tower. Ini terjadi ketika Anda menonaktifkan akses tepercaya ke AWS Control Tower AWS Organizations setelah Anda menyiapkan zona landing zone AWS Control Tower.

Ketika akses tepercaya dinonaktifkan, AWS Control Tower tidak lagi menerima peristiwa perubahan dari AWS Organizations. AWS Control Tower mengandalkan peristiwa perubahan ini agar tetap disinkronkan. AWS Organizations Akibatnya, AWS Control Tower mungkin melewatkan perubahan organisasi dalam akun dan OU. Itulah mengapa penting untuk mendaftarkan ulang setiap OU, setiap kali Anda memperbarui landing zone Anda.

Contoh: Pemberitahuan Amazon SNS

Berikut ini adalah contoh notifikasi Amazon SNS yang Anda terima saat jenis drift ini terjadi. 

{
  "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "TRUSTED_ACCESS_DISABLED",
  "RemediationStep" : "Reset Control Tower landing zone."
}

Resolusi

AWS Control Tower memberi tahu Anda saat jenis drift ini terjadi di konsol AWS Control Tower. Resolusinya adalah mengatur ulang landing zone AWS Control Tower Anda. Untuk informasi selengkapnya, lihat Menyelesaikan penyimpangan.