Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Eventi del ciclo di vita in AWS Control Tower
Alcuni eventi registrati da AWS Control Tower sono eventi del ciclo di vita. Lo scopo di un evento del ciclo di vita è contrassegnare il completamento di determinate azioni di AWS Control Tower che modificano lo stato delle risorse. Gli eventi del ciclo di vita si applicano alle risorse create o gestite da AWS Control Tower, come unità organizzative (OU), account e controlli.
Caratteristiche degli eventi del ciclo di vita di AWS Control Tower
-
Per ogni evento del ciclo di vita, il log eventi mostra se l'operazione originaria di Control Tower è stata completata correttamente o non è riuscita.
-
AWS CloudTrail registra automaticamente ogni evento del ciclo di vita come evento di servizio non API. AWS Per ulteriori informazioni, consulta la Guida per l' AWS CloudTrail utente.
-
Ogni evento del ciclo di vita viene inoltre fornito ai servizi Amazon e EventBridge Amazon CloudWatch Events.
Gli eventi del ciclo di vita in AWS Control Tower offrono due vantaggi principali:
-
Poiché un evento del ciclo di vita registra il completamento di un'azione AWS Control Tower, puoi creare una regola Amazon EventBridge o una regola Amazon CloudWatch Events in grado di attivare i passaggi successivi del tuo flusso di lavoro di automazione, in base allo stato dell'evento del ciclo di vita.
-
I log forniscono ulteriori dettagli per aiutare amministratori e revisori nell'esame di determinati tipi di attività nelle organizzazioni.
Come funzionano gli eventi del ciclo di vita
AWS Control Tower si affida a più servizi per implementare le proprie azioni. Pertanto, ogni evento del ciclo di vita viene registrato solo dopo il completamento di una serie di operazioni. Ad esempio, quando abiliti un controllo su un'unità organizzativa, AWS Control Tower avvia una serie di passaggi secondari che implementano la richiesta. Il risultato finale dell'intera serie di fasi secondarie viene registrato nel log come stato dell'evento del ciclo di vita.
-
Se ogni fase secondaria sottostante è stata completata correttamente, lo stato dell'evento del ciclo di vita viene registrato come Succeeded (Riuscito).
-
Se una delle fasi secondarie sottostanti non è stata completata correttamente, lo stato dell'evento del ciclo di vita viene registrato come Failed (Non riuscito).
Ogni evento del ciclo di vita include un timestamp registrato che mostra quando è stata avviata l'azione AWS Control Tower e un altro timestamp che mostra quando l'evento del ciclo di vita è completato, indicando il successo o il fallimento.
Visualizzazione degli eventi del ciclo di vita in Control Tower
Puoi visualizzare gli eventi del ciclo di vita dalla pagina Attività nella dashboard di AWS Control Tower.
-
Per passare alla pagina Activities (Attività) selezionare Activities (Attività) dal riquadro di navigazione a sinistra.
-
Per ottenere ulteriori dettagli su un evento specifico, selezionare l'evento e quindi scegliere il pulsante View details (Visualizza dettagli) in alto a destra.
Per ulteriori informazioni su come integrare gli eventi del ciclo di vita di AWS Control Tower nei flussi di lavoro, consulta questo post del blog, Utilizzo degli eventi del ciclo di vita per tracciare le azioni di AWS Control Tower e attivare flussi di lavoro automatizzati
Comportamento previsto e ciclo di vita degli eventi CreateManagedAccount UpdateManagedAccount
Quando crei un account o registri un account in AWS Control Tower, queste due azioni richiamano la stessa API interna. Se si verifica un errore durante il processo, di solito si verifica dopo la creazione dell'account, ma il provisioning non è completo. Quando si tenta di creare nuovamente l'account dopo l'errore o quando si tenta di aggiornare il prodotto fornito, AWS Control Tower rileva che l'account esiste già.
Poiché l'account esiste, AWS Control Tower registra l'evento del UpdateManagedAccount ciclo di vita anziché l'evento del CreateManagedAccount ciclo di vita alla fine della richiesta di nuovo tentativo. Potresti aspettarti di vedere un altro CreateManagedAccount evento a causa dell'errore. Tuttavia, l'evento del UpdateManagedAccount ciclo di vita è il comportamento previsto e desiderato.
Se prevedi di creare o registrare account in AWS Control Tower utilizzando metodi automatizzati, programma la funzione Lambda UpdateManagedAccountper cercare gli eventi del ciclo di vita e gli eventi del ciclo di vita. CreateManagedAccount
Nomi dell'evento del ciclo di vita
Ogni evento del ciclo di vita è denominato in modo che corrisponda all'azione AWS Control Tower di origine, anch'essa registrata da AWS. CloudTrail Pertanto, ad esempio, viene denominato un evento del ciclo di vita originato dall'evento AWS Control Tower CreateManagedAccount CloudTrail . CreateManagedAccount
Ogni nome nell'elenco che segue è un collegamento a un esempio dei dettagli registrati in formato JSON. I dettagli aggiuntivi mostrati in questi esempi sono tratti dai registri degli CloudWatch eventi di Amazon.
Anche se JSON non supporta i commenti, alcuni commenti sono stati aggiunti negli esempi a scopo esplicativo. I commenti sono preceduti da "//" e appaiono sul lato destro degli esempi.
In questi esempi, alcuni nomi di account e nomi di organizzazione vengono oscurati. accountId è sempre una sequenza di 12 numeri, che negli esempi è stata sostituita con "xxxxxxxxxxxx". organizationalUnitID è una stringa univoca di lettere e numeri. Il formato viene mantenuto negli esempi.
-
CreateManagedAccount: Il registro registra se AWS Control Tower ha completato con successo ogni azione per creare e fornire un nuovo account utilizzando account factory.
-
UpdateManagedAccount: Il registro registra se AWS Control Tower ha completato con successo ogni azione di aggiornamento di un prodotto fornito associato a un account creato in precedenza utilizzando account factory.
-
EnableGuardrail: Il log registra se AWS Control Tower ha completato con successo ogni azione per abilitare il controllo su un'unità organizzativa creata da AWS Control Tower.
-
DisableGuardrail: Il registro registra se AWS Control Tower ha completato con successo ogni azione per disabilitare un controllo su un'unità organizzativa creata da AWS Control Tower.
-
SetupLandingZone: Il registro registra se AWS Control Tower ha completato con successo ogni azione per configurare una landing zone.
-
UpdateLandingZone: Il registro registra se AWS Control Tower ha completato con successo ogni azione di aggiornamento della landing zone esistente.
-
RegisterOrganizationalUnit: Il registro registra se AWS Control Tower ha completato con successo ogni azione per abilitare le sue funzionalità di governance su un'unità organizzativa.
-
DeregisterOrganizationalUnit: Il registro registra se AWS Control Tower ha completato con successo ogni azione per disabilitare le sue funzionalità di governance su un'unità organizzativa.
-
PrecheckOrganizationalUnit: Il registro registra se AWS Control Tower ha rilevato risorse che potrebbero impedire il corretto completamento dell'operazione di governance di Extend.
Le seguenti sezioni forniscono un elenco di eventi del ciclo di vita di AWS Control Tower, con esempi dei dettagli registrati per ogni tipo di evento del ciclo di vita.
CreateManagedAccount
Questo evento del ciclo di vita registra se AWS Control Tower ha creato e fornito correttamente un nuovo account utilizzando account factory. Questo evento corrisponde all'evento AWS Control Tower CreateManagedAccount CloudTrail . Il log eventi del ciclo di vita include accountName e accountId dell'account appena creato e organizationalUnitName e organizationalUnitId dell'unità organizzativa in cui è stato inserito l'account.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "CreateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "createManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"XXXXXXXXXXXX" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully created a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }
UpdateManagedAccount
Questo evento del ciclo di vita registra se AWS Control Tower ha aggiornato correttamente il prodotto fornito associato a un account creato in precedenza utilizzando account factory. Questo evento corrisponde all'evento AWS Control Tower UpdateManagedAccount CloudTrail. Il log eventi del ciclo di vita include accountName e accountId dell'account associato e organizationalUnitName e organizationalUnitId dell'unità organizzativa in cui è stato inserito l'account aggiornato.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // AWS Control Tower organization management account. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"624281831893" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully updated a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }
EnableGuardrail
Questo evento del ciclo di vita registra se AWS Control Tower ha abilitato con successo un controllo su un'unità organizzativa gestita da AWS Control Tower. Questo evento corrisponde all'evento AWS Control Tower EnableGuardrail CloudTrail . Il registro degli eventi del ciclo di vita include l'guardrailIdand guardrailBehavior del controllo e l'organizationalUnitNamee organizationalUnitId dell'unità organizzativa su cui è abilitato il controllo.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "EnableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "enableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }
DisableGuardrail
Questo evento del ciclo di vita registra se AWS Control Tower ha disabilitato con successo un controllo su un'unità organizzativa gestita da AWS Control Tower. Questo evento corrisponde all'evento AWS Control Tower DisableGuardrail CloudTrail . Il registro degli eventi del ciclo di vita include l'guardrailIdand guardrailBehavior del controllo e l'organizationalUnitNamee organizationalUnitId dell'unità organizzativa su cui il controllo è disabilitato.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DisableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "disableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }
SetupLandingZone
Questo evento del ciclo di vita registra se AWS Control Tower ha configurato correttamente una landing zone. Questo evento corrisponde all'evento AWS Control Tower SetupLandingZone CloudTrail . Il registro degli eventi del ciclo di vita includerootOrganizationalId, che è l'ID dell'organizzazione che AWS Control Tower crea dall'account di gestione. La voce di registro include anche l'organizationalUnitNamee organizationalUnitId per ciascuna delle unità organizzative e l'accountNamee accountId per ogni account che vengono creati quando AWS Control Tower configura la landing zone.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management-account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "SetupLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "setupLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire lifecycle operation. "message": "AWS Control Tower successfully set up a new landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
UpdateLandingZone
Questo evento del ciclo di vita registra se AWS Control Tower ha aggiornato con successo la landing zone esistente. Questo evento corrisponde all'evento AWS Control Tower UpdateLandingZone CloudTrail . Il registro degli eventi del ciclo di vita includerootOrganizationalId, che è l'ID dell'organizzazione (aggiornata) governata da AWS Control Tower. La voce di registro include anche l'organizationalUnitNamee organizationalUnitId per ciascuna delle unità organizzative e l'accountNamee accountId per ogni account, creati in precedenza, quando AWS Control Tower aveva originariamente impostato la landing zone.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire operation. "message": "AWS Control Tower successfully updated a landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
RegisterOrganizationalUnit
Questo evento del ciclo di vita registra se AWS Control Tower ha abilitato con successo le sue funzionalità di governance su un'unità organizzativa. Questo evento corrisponde all'evento AWS Control Tower RegisterOrganizationalUnit CloudTrail . Il registro degli eventi del ciclo di vita include la fine organizationalUnitName organizationalUnitId dell'unità organizzativa che AWS Control Tower ha sottoposto alla sua governance.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "123456789012", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "RegisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "registerOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully registered an organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", "organizationalUnitId": "ou-adpf-302pk332" } "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
DeregisterOrganizationalUnit
Questo evento del ciclo di vita registra se AWS Control Tower ha disabilitato con successo le sue funzionalità di governance su un'unità organizzativa. Questo evento corrisponde all'evento AWS Control Tower DeregisterOrganizationalUnit CloudTrail . Il registro degli eventi del ciclo di vita include la organizationalUnitName fine organizationalUnitId dell'unità organizzativa su cui AWS Control Tower ha disabilitato le funzionalità di governance.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DeregisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "deregisterOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", // Foundational OU name. "organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID. }, "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
PrecheckOrganizationalUnit
Questo evento del ciclo di vita registra se AWS Control Tower ha eseguito correttamente i precontrolli su un'unità organizzativa. Questo evento corrisponde all'evento AWS Control Tower PrecheckOrganizationalUnit CloudTrail . Il log degli eventi del ciclo di vita contiene un campo per i Id failedPrechecks valori e per ogni risorsa su cui AWS Control Tower ha eseguito i controlli preliminari durante il processo di registrazione dell'unità organizzativa. Name
Il registro degli eventi contiene anche informazioni sugli account annidati su cui sono stati eseguiti i precontrolli, inclusi i accountName campi e. accountId failedPrechecks
Se il failedPrechecks valore è vuoto, significa che tutti i precontrolli per quella risorsa sono stati superati correttamente.
-
Questo evento viene emesso solo se si verifica un errore di precontrollo.
-
Questo evento non viene emesso se si registra un'unità organizzativa vuota.
Esempio di evento:
{ "eventVersion": "1.08", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2021-09-20T22:45:43Z", "eventSource": "controltower.amazonaws.com", "eventName": "PrecheckOrganizationalUnit", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "XXXXXXXXXXXX", "serviceEventDetails": { "precheckOrganizationalUnitStatus": { "organizationalUnit": { "organizationalUnitName": "Ou-123", "organizationalUnitId": "ou-abcd-123456", "failedPrechecks": [ "SCP_CONFLICT" ] }, "accounts": [ { "accountName": "Child Account 1", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Child Account 2", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Management Account", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "MISSING_PERMISSIONS_AF_PRODUCT" ] }, { "accountName": "Child Account 3", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [] }, ... ], "state": "FAILED", "message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.", "requestedTimestamp": "2021-09-20T22:44:02+0000", "completedTimestamp": "2021-09-20T22:45:43+0000" } }, "eventCategory": "Management" }
