Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Tipi di deriva della governance
La deriva della governance, chiamata anche deriva organizzativa OUs SCPs, si verifica quando gli account dei membri vengono modificati o aggiornati. I tipi di deviazione della governance che possono essere rilevati in AWS Control Tower sono i seguenti:
Un altro tipo di deriva è la deriva delle landing zone, che può essere trovata tramite l'account di gestione. La deriva della zona di atterraggio consiste nella deriva dei ruoli IAM o in qualsiasi tipo di deriva organizzativa che influisca in modo specifico sugli account Foundational e condivisi. OUs
Un caso particolare di deriva delle landing zone è la deriva dei ruoli, che viene rilevata quando un ruolo richiesto non è disponibile. Se si verifica questo tipo di deriva, la console visualizza una pagina di avviso e alcune istruzioni su come ripristinare il ruolo. La landing zone non è disponibile finché non viene risolto il problema del ruolo. Per ulteriori informazioni sulla deriva, consulta Non eliminare i ruoli obbligatori nella sezione chiamata. Tipi di deriva da risolvere immediatamente
AWS Control Tower segnala la deriva del controllo per quanto riguarda i controlli implementati con le policy di controllo delle risorse (RCPs) e i controlli che fanno parte dello standard AWS Security Hub gestito dai servizi: AWS Control Tower.
AWS Control Tower non rileva differenze rispetto ad altri servizi che funzionano con l'account di gestione CloudTrail CloudWatch, tra cui IAM Identity Center e così via. AWS CloudFormation AWS Config Negli account per bambini non è disponibile alcun rilevamento delle deviazioni, poiché questi account sono protetti da controlli preventivi obbligatori.
Account membro spostato
Questo tipo di deriva si verifica sull'account anziché sull'unità organizzativa. Questo tipo di deriva può verificarsi quando un account membro di AWS Control Tower, l'account di audit o l'account di archiviazione dei log viene spostato da un'unità organizzativa AWS Control Tower registrata a qualsiasi altra unità organizzativa. Di seguito è riportato un esempio di notifica Amazon SNS quando viene rilevato questo tipo di deriva.
{ "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }
Risoluzioni
Quando si verifica questo tipo di deviazione per un account fornito da Account Factory in un'unità organizzativa con un massimo di 1000 account, è possibile risolverlo nei seguenti modi:
-
Accedere alla pagina Organizzazione nella console AWS Control Tower, selezionare l'account e scegliere Aggiorna account in alto a destra (l'opzione più veloce per i singoli account).
-
Accedere alla pagina Organizzazione nella console AWS Control Tower, quindi scegliere Re-register for the OU che contiene l'account (l'opzione più veloce per più account). Per ulteriori informazioni, consulta Registra un'unità organizzativa esistente con AWS Control Tower.
-
Aggiornamento del prodotto fornito in Account Factory. Per ulteriori informazioni, consulta Aggiorna e sposta gli account factory degli account con AWS Control Tower o con AWS Service Catalog.
Nota
Se hai diversi account individuali da aggiornare, consulta anche questo metodo per effettuare aggiornamenti con uno script:Esegui il provisioning e aggiorna gli account utilizzando l'automazione.
-
Quando si verifica questo tipo di deriva in un'unità organizzativa con più di 1000 account, la risoluzione della deriva può dipendere dal tipo di account spostato, come spiegato nei paragrafi successivi. Per ulteriori informazioni, consulta Aggiorna la tua landing zone.
-
Se un account dotato di Account Factory viene spostato: in un'unità organizzativa con meno di 1000 account, puoi risolvere il problema aggiornando il prodotto di cui hai effettuato il provisioning in Account Factory, registrando nuovamente l'unità organizzativa o aggiornando la landing zone.
In un'unità organizzativa con più di 1000 account, è necessario risolvere il problema aggiornando ogni account spostato, tramite la console AWS Control Tower o il prodotto fornito, poiché Re-register OU non eseguirà l'aggiornamento. Per ulteriori informazioni, consulta Aggiorna e sposta gli account factory degli account con AWS Control Tower o con AWS Service Catalog.
-
Se viene spostato un account condiviso: puoi risolvere il problema derivante dallo spostamento dell'account di controllo o dell'archivio dei log aggiornando la tua landing zone. Per ulteriori informazioni, consulta Aggiorna la tua landing zone.
-
Nome di campo obsoleto
Il nome del campo MasterAccountID è stato modificato in conformità ManagementAccountID alle linee guida. AWS Il vecchio nome è obsoleto. Dal 2022, gli script che contengono il nome di campo obsoleto non funzionano più.
Account membro rimosso
Questo tipo di deriva può verificarsi quando un account membro viene rimosso da un'unità organizzativa AWS Control Tower registrata. L'esempio seguente mostra la notifica di Amazon SNS quando viene rilevato questo tipo di deriva.
{ "Message" : "AWS Control Tower has detected that the member account012345678909has been removed from organizationo-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }
Risoluzione
-
Quando si verifica questo tipo di deviazione in un account membro, puoi risolverla aggiornando l'account nella console AWS Control Tower o in Account Factory. Ad esempio, è possibile aggiungere l'account a un'altra unità organizzativa registrata dalla procedura guidata di aggiornamento di Account Factory. Per ulteriori informazioni, consulta Aggiorna e sposta gli account factory degli account con AWS Control Tower o con AWS Service Catalog.
-
Se un account condiviso viene rimosso da un'unità organizzativa Foundational, devi risolvere il problema reimpostando la landing zone. Fino a quando questa deriva non sarà risolta, non sarà possibile utilizzare la console AWS Control Tower.
-
Per ulteriori informazioni sulla risoluzione di drift per gli account e OUs, consulta. Se gestisci risorse al di fuori di AWS Control Tower
Nota
In Service Catalog, il prodotto fornito da Account Factory che rappresenta l'account non viene aggiornato per rimuovere l'account. Al contrario, il prodotto sottoposto a provisioning viene visualizzato come TAINTED e in uno stato di errore. Per eseguire la pulizia, vai al Service Catalog, scegli il prodotto fornito, quindi scegli Termina.
Aggiornamento non pianificato a SCP gestito
Questo tipo di deriva può verificarsi quando un SCP per un controllo viene aggiornato nella AWS Organizations console o programmaticamente utilizzando o uno degli AWS CLI AWS. SDKs Di seguito è riportato un esempio di notifica Amazon SNS quando viene rilevato questo tipo di deriva.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_UPDATED", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Risoluzione
Quando si verifica questo tipo di deriva in un'unità organizzativa con un massimo di 1000 account, puoi risolverlo nei seguenti modi:
-
Accedere alla pagina Organizzazione nella console AWS Control Tower per registrare nuovamente l'unità organizzativa (opzione più rapida). Per ulteriori informazioni, consulta Registra un'unità organizzativa esistente con AWS Control Tower.
-
Aggiornamento della landing zone (opzione più lenta). Per ulteriori informazioni, consulta Aggiorna la tua landing zone.
Se si verifica questo tipo di deriva in un'unità organizzativa con più di 1000 account, risolvilo aggiornando la landing zone. Per ulteriori informazioni, consulta Aggiorna la tua landing zone.
SCP collegato all'unità organizzativa gestita
Questo tipo di deriva può verificarsi quando un SCP per un controllo è collegato a qualsiasi altra unità organizzativa. Questo evento è particolarmente comune quando si lavora OUs dall'esterno della console AWS Control Tower. Di seguito è riportato un esempio di notifica Amazon SNS quando viene rilevato questo tipo di deriva.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Risoluzione
Quando si verifica questo tipo di deriva in un'unità organizzativa con un massimo di 1000 account, puoi risolverlo nei seguenti modi:
-
Accedere alla pagina Organizzazione nella console AWS Control Tower per registrare nuovamente l'unità organizzativa (opzione più rapida). Per ulteriori informazioni, consulta Registra un'unità organizzativa esistente con AWS Control Tower.
-
Aggiornamento della landing zone (opzione più lenta). Per ulteriori informazioni, consulta Aggiorna la tua landing zone.
Se si verifica questo tipo di deriva in un'unità organizzativa con più di 1000 account, risolvilo aggiornando la landing zone. Per ulteriori informazioni, consulta Aggiorna la tua landing zone.
SCP scollegato dall'unità organizzativa gestita
Questo tipo di deriva può verificarsi quando un SCP per un controllo è stato scollegato da un'unità organizzativa gestita da AWS Control Tower. Questo evento è particolarmente comune quando lavori dall'esterno della console AWS Control Tower. Di seguito è riportato un esempio di notifica Amazon SNS quando viene rilevato questo tipo di deriva.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_DETACHED_FROM_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Risoluzione
Quando si verifica questo tipo di deriva in un'unità organizzativa con un massimo di 1000 account, puoi risolverlo nei seguenti modi:
-
Accedere all'unità organizzativa nella console AWS Control Tower per registrare nuovamente l'unità organizzativa (opzione più rapida). Per ulteriori informazioni, consulta Registra un'unità organizzativa esistente con AWS Control Tower.
-
Aggiornamento della landing zone (opzione più lenta). Se la deriva influisce su un controllo obbligatorio, il processo di aggiornamento crea una nuova policy di controllo del servizio (SCP) e la collega all'unità organizzativa per risolvere la deriva. Per ulteriori informazioni su come aggiornare la landing zone, consultaAggiorna la tua landing zone.
Se si verifica questo tipo di deriva in un'unità organizzativa con più di 1000 account, risolvilo aggiornando la landing zone. Se la deriva influisce su un controllo obbligatorio, il processo di aggiornamento crea una nuova policy di controllo del servizio (SCP) e la collega all'unità organizzativa per risolvere la deriva. Per ulteriori informazioni su come aggiornare la landing zone, consultaAggiorna la tua landing zone.
SCP collegato all'account del membro
Questo tipo di deriva può verificarsi quando un SCP per un controllo è collegato a un account nella console Organizations. Guardrails e i relativi SCPs possono essere abilitati OUs (e quindi applicati a tutti gli account registrati di un'unità organizzativa) tramite la console AWS Control Tower. Di seguito è riportato un esempio di notifica Amazon SNS quando viene rilevato questo tipo di deriva.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_ACCOUNT", "RemediationStep" : "Re-register this organizational unit (OU)", "AccountId" : "012345678909", "PolicyId" : "p-tEXAMPLE" }
Risoluzione
Questo tipo di deriva si verifica sull'account anziché sull'unità organizzativa.
Quando si verifica questo tipo di deriva per gli account di un'unità organizzativa di base, come l'unità organizzativa di sicurezza, la soluzione è aggiornare la landing zone. Per ulteriori informazioni, consulta Aggiorna la tua landing zone.
Quando si verifica questo tipo di deviazione in un'unità organizzativa non di base con un massimo di 1000 account, è possibile risolverlo nei seguenti modi:
-
Scollegare AWS Control Tower SCP dall'account factory dell'account.
-
Accedere all'unità organizzativa nella console AWS Control Tower per registrare nuovamente l'unità organizzativa (opzione più rapida). Per ulteriori informazioni, consulta Registra un'unità organizzativa esistente con AWS Control Tower.
Quando si verifica questo tipo di deviazione in un'unità organizzativa con più di 1000 account, puoi tentare di risolverlo aggiornando la configurazione di fabbrica dell'account. Potrebbe non essere possibile risolverlo correttamente. Per ulteriori informazioni, consulta Aggiorna la tua landing zone.
Foundational OU eliminata
Questo tipo di deriva si applica solo ad AWS Control Tower Foundational OUs, come l'unità organizzativa Security. Può verificarsi se un'unità organizzativa Foundational viene eliminata al di fuori della console AWS Control Tower. Foundational OUs non può essere spostato senza creare questo tipo di deriva, perché spostare un'unità organizzativa equivale a eliminarla e aggiungerla altrove. Quando risolvi la deriva aggiornando la landing zone, AWS Control Tower sostituisce l'unità organizzativa Foundational nella posizione originale. L'esempio seguente mostra una notifica Amazon SNS che potresti ricevere quando viene rilevato questo tipo di deriva.
{ "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ORGANIZATIONAL_UNIT_DELETED", "RemediationStep" : "Delete organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }
Risoluzione
Poiché questa deriva si verifica OUs solo per Foundational, la risoluzione è quella di aggiornare la landing zone. Quando OUs vengono eliminati altri tipi di file, AWS Control Tower viene aggiornato automaticamente.
Per ulteriori informazioni sulla risoluzione di drift per gli account e OUs, consulta. Se gestisci risorse al di fuori di AWS Control Tower
Deriva del controllo del Security Hub
Questo tipo di deriva si verifica quando un controllo che fa parte del AWS Security Hub Service-Managed Standard: AWS Control Tower segnala uno stato di deriva. Il AWS Security Hub servizio stesso non segnala uno stato di deviazione per questi controlli. Il servizio invia invece i risultati ad AWS Control Tower.
La deriva di controllo del Security Hub può essere rilevata anche se AWS Control Tower non riceve un aggiornamento di stato da Security Hub da più di 24 ore. Se tali risultati non vengono ricevuti come previsto, AWS Control Tower verifica che il controllo stia andando alla deriva. L'esempio seguente mostra una notifica Amazon SNS che potresti ricevere quando viene rilevato questo tipo di deriva.
{ "Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard", "MasterAccountId" : "123456789XXX", "ManagementAccountId" : "123456789XXX", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SECURITY_HUB_CONTROL_DISABLED", "RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.", "AccountId" : "7876543219XXX", "ControlId" : "SH.XXXXXXX.1", "ControlName" : "EBS snapshots should not be publicly restorable", "ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>". "Region" : "us-east-1" }
Risoluzione
Per OUs chi ha meno di 1000 account, la soluzione consigliata è chiamare l'ResetEnabledControlAPI per il controllo alla deriva. Nella console, è possibile selezionare Re-register for the OU, che ripristina il controllo allo stato originale. In alternativa, per qualsiasi unità organizzativa, puoi rimuovere e riattivare il controllo tramite la console o AWS Control Tower APIs, che ripristina anche il controllo.
Per ulteriori informazioni sulla risoluzione di drift per gli account e, consulta. OUs Se gestisci risorse al di fuori di AWS Control Tower
Controlla la deriva delle politiche
Questo tipo di deriva si verifica quando un controllo implementato con politiche di controllo delle risorse (RCPs) o politiche dichiarative segnala uno stato di deriva. Restituisce uno stato diCONTROL_INEFFECTIVE, che è possibile visualizzare nella console AWS Control Tower e nel messaggio drift. Il messaggio di deriva per questo tipo di deriva include anche il messaggio EnabledControlIdentifier relativo al controllo interessato.
Questo tipo di deriva non viene segnalato per i controlli basati su SCP.
L'esempio seguente mostra una notifica Amazon SNS che potresti ricevere quando viene rilevato questo tipo di deriva.
{ "Message": "AWS Control Tower detects that a policy it owns was updated unexpectedly. This mismatch indicates that configuration changes were made outside of AWS Control Tower.", "MasterAccountId": "123456789XXX", "ManagementAccountId": "123456789XXX", "OrganizationId": "o-123EXAMPLE", "DriftType": "CONTROL_INEFFECTIVE", "RemediationStep": "To remediate the issue, Reset the DRIFTED enabled control if permitted or Re-register the OU. If the problem persists, contact AWS support.", "TargetIdentifier": "arn:aws:::organizations/o-123456/ou-1234-4567", "ControlId": "CT.XXXXXXX.PV.1", "ControlName": "EBS snapshots should not be publicly restorable", "ApiControlIdentifier": "arn:aws:controlcatalog:::control/<UNIQUE_ID>", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>" }
Risoluzione
La soluzione più semplice per la deriva delle policy di controllo sui controlli RCP, sui controlli delle policy dichiarative e sui controlli Security Hub abilitati in AWS Control Tower consiste nel chiamare l'API. ResetEnabledControl
OUs Con meno di 1000 account, un'altra soluzione della console o dell'API consiste nel registrare nuovamente l'unità organizzativa, che ripristina il controllo allo stato originale.
Per ogni singola unità organizzativa, puoi rimuovere e riattivare il controllo tramite la console o AWS Control Tower APIs, che ripristina anche il controllo.
Per ulteriori informazioni sulla risoluzione di drift per gli account e, consulta. OUs Se gestisci risorse al di fuori di AWS Control Tower
Accesso affidabile disabilitato
Questo tipo di deriva si applica alle zone di atterraggio di AWS Control Tower. Si verifica quando disabiliti l'accesso affidabile ad AWS Control Tower AWS Organizations dopo aver configurato la landing zone di AWS Control Tower.
Quando l'accesso affidabile è disabilitato, AWS Control Tower non riceve più eventi di modifica da AWS Organizations. AWS Control Tower si affida a questi eventi di modifica per rimanere sincronizzato. AWS Organizations Di conseguenza, AWS Control Tower potrebbe non rilevare modifiche organizzative negli account e OUs. Ecco perché è importante registrare nuovamente ogni unità organizzativa ogni volta che si aggiorna la landing zone.
Esempio: notifica Amazon SNS
Di seguito è riportato un esempio della notifica Amazon SNS che ricevi quando si verifica questo tipo di deriva.
{ "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "TRUSTED_ACCESS_DISABLED", "RemediationStep" : "Reset Control Tower landing zone." }
Risoluzione
AWS Control Tower ti avvisa quando si verifica questo tipo di deriva nella console AWS Control Tower. La soluzione è reimpostare la landing zone di AWS Control Tower. Per ulteriori informazioni, consulta Resolving drift.
