Rileva e risolvi la deriva in AWS Control Tower - AWS Control Tower
Rilevamento della derivaRisolvere la derivaConsiderazioni sulla deriva e sulle scansioni SCPTipi di deriva da risolvere immediatamenteModifiche riparabili alle risorseDrift e fornitura di nuovi account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Rileva e risolvi la deriva in AWS Control Tower

Identificare e risolvere la deriva è un'attività operativa regolare per gli amministratori degli account di gestione di AWS Control Tower. Risolvere la deriva aiuta a garantire la conformità ai requisiti di governance.

Quando crei la landing zone, la landing zone e tutte le unità organizzative (OUs), gli account e le risorse sono conformi alle regole di governance applicate dai controlli scelti. Man mano che tu e i membri della tua organizzazione utilizzate la landing zone, potrebbero verificarsi cambiamenti in questo stato di conformità. Alcune modifiche potrebbero essere accidentali mentre altre potrebbero essere apportate intenzionalmente per rispondere a eventi operativi prioritari.

Il rilevamento della deviazione aiuta a identificare le risorse che richiedono modifiche o aggiornamenti di configurazione per risolvere la deviazione.

Rilevamento della deriva

AWS Control Tower rileva automaticamente la deriva. Per rilevare eventuali deviazioni, il AWSControlTowerAdmin ruolo richiede un accesso persistente all'account di gestione in modo che AWS Control Tower possa effettuare chiamate API di sola lettura verso. AWS Organizations Queste chiamate API vengono visualizzate come eventi. AWS CloudTrail

Drift viene visualizzato nelle notifiche di Amazon Simple Notification Service (Amazon SNS) aggregate nell'account di controllo. Le notifiche in ogni account membro inviano avvisi a un argomento locale di Amazon SNS e a una funzione Lambda.

Per i controlli che fanno parte del AWS Security Hub Service-Managed Standard: AWS Control Tower, la deriva viene mostrata nelle pagine dei dettagli dell'account e dell'account nella console AWS Control Tower, nonché tramite una notifica Amazon SNS.

Gli amministratori degli account membri possono (e, come best practice, devono) sottoscrivere le notifiche di deriva SNS per account specifici. Ad esempio, l'argomento aws-controltower-AggregateSecurityNotifications SNS fornisce notifiche di deviazione. La console AWS Control Tower indica agli amministratori degli account di gestione quando si è verificata una deriva. Per ulteriori informazioni sugli argomenti SNS relativi al rilevamento e alla notifica delle deviazioni, consulta Prevenzione e notifica delle deviazioni.

Deduplicazione delle notifiche Drift

Se lo stesso tipo di deriva si verifica più volte sullo stesso set di risorse, AWS Control Tower invia una notifica SNS solo per l'istanza iniziale di drift. Se AWS Control Tower rileva che questa istanza di deriva è stata risolta, invia un'altra notifica solo se la deriva si ripresenta per quelle risorse identiche.

Esempi: la deriva dell'account e la deriva da SCP vengono gestite nel modo seguente

  • Se modifichi lo stesso SCP gestito più volte, ricevi una notifica per la prima volta che lo modifichi.

  • Se modifichi un SCP gestito, quindi correggi una deriva e poi lo modifichi nuovamente, riceverai due notifiche.

  • Se un account viene spostato tra la stessa origine e la stessa destinazione OUs più volte, senza prima correggere la deriva, viene inviata una sola notifica, anche se l'account è stato spostato da una destinazione all'altra più di una volta. OUs

Tipi di deviazione dell'account

  • Account trasferito tra OUs

  • Account rimosso dall'organizzazione

Nota

Quando si sposta un account da un'unità organizzativa all'altra, i controlli dell'unità organizzativa precedente non vengono rimossi. Se si abilita un nuovo controllo basato su hook sull'unità organizzativa di destinazione, il vecchio il controllo basato su hook viene rimosso dall'account e il nuovo controllo lo sostituisce. I controlli SCPs e AWS Config le regole implementati con devono sempre essere rimossi manualmente quando un account cambia. OUs

Tipi di deviazione delle politiche

  • SCP aggiornato

  • SCP collegato a OU

  • SCP staccato da OU

  • SCP collegato all'account

Per ulteriori informazioni, vedere Types of Governance Drift.

Risolvere la deriva

Sebbene il rilevamento sia automatico, i passaggi per risolvere la deriva devono essere eseguiti manualmente tramite la console o, per i controlli, chiamando l'API. ResetEnabledControl

  • Molti tipi di deriva possono essere risolti tramite la pagina delle impostazioni della zona di atterraggio. Puoi scegliere il pulsante Ripristina nella sezione Versioni per risolvere questi tipi di deriva.

  • Se l'unità organizzativa dispone di meno di 1000 account, è possibile risolvere il problema relativo agli account forniti da Account Factory, o alla deriva da SCP, selezionando Registra nuovamente l'unità organizzativa nella pagina Organizzazione o nella pagina dei dettagli dell'unità organizzativa.

  • Potresti riuscire a risolvere il problema della deviazione dell'account, ad esempio aggiornando un singolo Account membro spostato account. Per ulteriori informazioni, consulta Aggiorna l'account nella console.

  • Per quanto riguarda i controlli, è possibile risolvere molti tipi di deviazioni chiamando l'ResetEnabledControlAPI.

Quando si interviene per risolvere la deriva in una versione con landing zone, sono possibili due comportamenti.

  • Se utilizzi la versione più recente della landing zone, quando scegli Reset e poi scegli Confirm, le risorse della tua drifted landing zone vengono ripristinate alla configurazione AWS Control Tower salvata. La versione landing zone rimane la stessa.

  • Se non utilizzi la versione più recente, devi scegliere Aggiorna. La landing zone viene aggiornata alla versione più recente della landing zone. La deriva viene risolta come parte di questo processo.

Considerazioni sulla deriva e sulle scansioni SCP

AWS Control Tower esegue SCPs quotidianamente una scansione dei dati gestiti per verificare che i controlli corrispondenti siano applicati correttamente e che non abbiano subito variazioni. Per recuperarli SCPs ed eseguirne i controlli, AWS Control Tower li chiama per tuo AWS Organizations conto, utilizzando un ruolo nel tuo account di gestione.

Se una scansione di AWS Control Tower rileva una deriva, riceverai una notifica. AWS Control Tower invia una sola notifica per problema di deriva, quindi se la tua landing zone è già in stato di deriva, non riceverai notifiche aggiuntive a meno che non venga trovato un nuovo elemento di drift.

AWS Organizations limita la frequenza con cui ciascuno di essi APIs può essere chiamato. Questo limite è espresso in transazioni al secondo (TPS) ed è noto come limite TPS, velocità di limitazione o frequenza di richiesta API. Quando AWS Control Tower verifica un utente SCPs tramite chiamata AWS Organizations, le chiamate API effettuate da AWS Control Tower vengono conteggiate ai fini del limite TPS, poiché AWS Control Tower utilizza l'account di gestione per effettuare le chiamate.

In rare situazioni, questo limite può essere raggiunto chiamando lo stesso numero APIs più volte, tramite una soluzione di terze parti o uno script personalizzato scritto da te. Ad esempio, se tu e AWS Control Tower effettuate la stessa chiamata nello stesso momento (entro 1 secondo) e vengono raggiunti i limiti TPS, le chiamate successive vengono limitate. AWS Organizations APIs Cioè, queste chiamate restituiscono un errore del tipo. Rate exceeded

Se viene superata la frequenza di una richiesta API

  • Se AWS Control Tower raggiunge il limite e viene rallentato, sospendiamo l'esecuzione dell'audit e la riprendiamo in un secondo momento.

  • Se il carico di lavoro raggiunge il limite e viene limitato, il risultato può variare da una leggera latenza fino a un errore fatale nel carico di lavoro, a seconda di come è configurato il carico di lavoro. Questo caso limite è qualcosa di cui essere consapevoli.

Una scansione SCP giornaliera è composta da

  1. Recupero dei dati attivi di recente. OUs

  2. Per ogni unità organizzativa registrata, recupera tutto ciò che SCPs è gestito da AWS Control Tower e collegato all'unità organizzativa. SCPs I Managed hanno identificatori che iniziano con. aws-guardrails

  3. Per ogni controllo preventivo abilitato sull'unità organizzativa, verifica che la dichiarazione sulla politica del controllo sia presente nell'unità organizzativa gestita dall'unità organizzativa. SCPs

Un'unità organizzativa può averne una o più gestite SCPs.

Tipi di deriva da risolvere immediatamente

La maggior parte dei tipi di deviazione può essere risolta dagli amministratori. Alcuni tipi di deriva devono essere risolti immediatamente, inclusa la cancellazione di un'unità organizzativa richiesta dalla landing zone di AWS Control Tower. Ecco alcuni esempi di deriva grave che potresti voler evitare:

  • Non eliminare l'unità organizzativa di sicurezza: l'unità organizzativa originariamente denominata Security durante la configurazione della landing zone da parte di AWS Control Tower non deve essere eliminata. Se la elimini, vedrai un messaggio di errore che ti chiede di reimpostare immediatamente la landing zone. Non potrai intraprendere altre azioni in AWS Control Tower fino al completamento del ripristino.

  • Non eliminare i ruoli richiesti: AWS Control Tower verifica determinati ruoli AWS Identity and Access Management (IAM) quando accedi alla console per rilevare eventuali variazioni dei ruoli IAM. Se questi ruoli sono mancanti o inaccessibili, vedrai una pagina di errore che ti chiederà di reimpostare la landing zone. Questi ruoli sono. AWSControlTowerAdmin AWSControlTowerCloudTrailRole AWSControlTowerStackSetRole

    Per ulteriori informazioni su questi ruoli, vedereAutorizzazioni necessarie per utilizzare la console AWS Control Tower.

  • Non eliminare tutte le informazioni aggiuntive OUs: se elimini l'unità organizzativa originariamente denominata Sandbox durante la configurazione della landing zone da parte di AWS Control Tower, la tua landing zone si troverà in uno stato di deriva, ma potrai comunque utilizzare AWS Control Tower. È necessaria almeno un'unità organizzativa aggiuntiva per il funzionamento di AWS Control Tower, ma non deve essere necessariamente l'unità organizzativa Sandbox.

  • Non rimuovere gli account condivisi: se rimuovi gli account condivisi da Foundational OUs, ad esempio rimuovendo l'account di registrazione dalla Security OU, la tua landing zone sarà in uno stato di deriva. La landing zone deve essere ripristinata prima di poter continuare a utilizzare la console AWS Control Tower.

Modifiche riparabili alle risorse

Di seguito è riportato un elenco di modifiche alle risorse AWS Control Tower consentite, sebbene creino una deriva risolvibile. I risultati di queste operazioni consentite sono visualizzabili nella console AWS Control Tower, sebbene possa essere necessario un aggiornamento.

Per ulteriori informazioni su come risolvere la deriva risultante, consulta Managing Resources Outside of AWS Control Tower.

Modifiche consentite al di fuori della console AWS Control Tower

  • Cambia il nome di un'unità organizzativa registrata.

  • Modificare il nome dell'unità organizzativa di sicurezza.

  • Cambia il nome degli account dei membri in Non-Foundational OUs.

  • Cambia il nome degli account condivisi di AWS Control Tower nell'unità organizzativa di sicurezza.

  • Elimina un'unità organizzativa non fondamentale.

  • Eliminare un account registrato da un'unità organizzativa non fondamentale.

  • Modifica l'indirizzo e-mail di un account condiviso nell'unità organizzativa di sicurezza.

  • Modifica l'indirizzo e-mail di un account membro in un'unità organizzativa registrata.

Nota

Lo spostamento di account da OUs un account all'altro è considerato una deriva e deve essere risolto.

Drift e fornitura di nuovi account

Se la tua landing zone è in uno stato di deriva, la funzionalità di registrazione dell'account in AWS Control Tower non funzionerà. In tal caso, è necessario effettuare il provisioning dei nuovi account tramite AWS Service Catalog. Per istruzioni, consulta Fornire account con AWS Service Catalog Account Factory .

In particolare, se hai apportato alcune modifiche ai tuoi account tramite Service Catalog, come cambiare il nome del tuo portafoglio, la funzione di registrazione dell'account non funzionerà.