移動されたメンバーアカウント削除されたメンバーアカウントマネージドへの予定外の更新 SCP SCP マネージド OU にアタッチ済み SCP Managed OU からデタッチ SCP メンバーアカウントにアタッチ済み削除された基礎 OU Security Hub コントロールドリフト信頼されたアクセスの無効化

ガバナンスドリフトのタイプ

ガバナンスドリフトは、組織ドリフトとも呼ばれ、OUs、SCPs、およびメンバーアカウントが変更または更新されると発生します。AWS Control Tower で検出できるガバナンスドリフトのタイプは次のとおりです。

移動されたメンバーアカウント
削除されたメンバーアカウント
マネージドへの予定外の更新 SCP
SCP メンバーアカウントにアタッチ済み
SCP マネージド OU にアタッチ済み
SCP Managed OU からデタッチ
削除された基礎 OU
Security Hub コントロールドリフト
信頼されたアクセスの無効化

別のタイプのドリフトはランディングゾーンドリフトで、これは管理アカウントを通じて見られます。ランディングゾーンドリフトは、IAMロールドリフト、または基礎アカウントOUsと共有アカウントに特に影響を与えるあらゆる種類の組織ドリフトで構成されます。

ランディングゾーンドリフトの特殊なケースは、ロールドリフトで、必要なロールが利用できない場合に検出されます。このようなドリフトが発生すると、コンソールに警告ページと、ロールを復元する方法に関するいくつかの指示が表示されます。ランディングゾーンは、ロールドリフトが解決されるまで使用できません。ドリフトの詳細については、すぐに解決するドリフトのタイプというセクションの「必要なロールを削除しない」を参照してください。

AWS Control Tower は CloudTrail、、、 CloudWatchIAMアイデンティティセンターなど、管理アカウントで動作する他のサービスに関するドリフトを探しません AWS CloudFormation AWS Config。これらのアカウントは必須の予防コントロールによって保護されているため、子アカウントではドリフト検出は使用できません。

ただし、AWS Security Hub サービスマネージド標準: AWS Control Tower の一部であるコントロールに関するドリフトが報告されます。

移動されたメンバーアカウント

このタイプのドリフトは、OU ではなくアカウントで発生します。このタイプのドリフトは、AWSControl Tower メンバーアカウント、監査アカウント、またはログアーカイブアカウントが登録済みの AWS Control Tower OU から他の OU に移動したときに発生する可能性があります。このタイプのドリフトが検出された場合の Amazon SNS通知の例を次に示します。



{
  "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS",
  "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.",
  "AccountId" : "012345678909",
  "SourceId" : "012345678909",
  "DestinationId" : "ou-3210-1EXAMPLE"
}

解決策

最大 1,000 個のアカウントを持つ OU 内の Account Factory でプロビジョニングされたアカウントでこのタイプのドリフトが発生した場合は、次の方法で解決できます。

AWS Control Tower コンソールの Organization ページに移動し、アカウントを選択し、右上のアカウントの更新 (個々のアカウントで最速のオプション) を選択します。
AWS Control Tower コンソールの Organization ページに移動し、アカウントを含む OU の再登録 (複数のアカウントで最速のオプション) を選択します。詳細については、「既存の組織単位を AWS Control Tower に登録する」を参照してください。
Account Factory でプロビジョニングされた製品を更新する。詳細については、「AWS Control Tower またはでアカウントファクトリーアカウントを更新および移動する AWS Service Catalog」を参照してください。

注記
更新する個々のアカウントが複数ある場合は、スクリプト自動化によるアカウントのプロビジョニングと更新を使用して更新を行う方法も参照してください。
このタイプのドリフトが 1,000 を超えるアカウントを持つ OU で発生する場合、次の段落で説明するように、ドリフト解決は、移動されたアカウントのタイプによって異なる場合があります。詳細については、「ランディングゾーンを更新する」を参照してください。
- Account Factory でプロビジョニングされたアカウントが移動された場合 – アカウント数が 1000 未満の OU では、Account Factory でプロビジョニングされた製品を更新するか、OU を再登録するか、ランディングゾーンを更新することで、アカウントのドリフトを解決できます。
  
  1000 を超えるアカウントを持つ OU では、OU を再登録しても更新が実行されないため、AWSControl Tower コンソールまたはプロビジョニングされた製品を使用して、移動した各アカウントを更新してドリフトを解決する必要があります。詳細については、「AWS Control Tower またはでアカウントファクトリーアカウントを更新および移動する AWS Service Catalog」を参照してください。
- 共有アカウントが移動された場合 — ランディングゾーンを更新することで、監査またはログアーカイブアカウントの移動によるドリフトを解決できます。詳細については、「ランディングゾーンを更新する」を参照してください。

廃止されたフィールド名

フィールド名MasterAccountIDは、 AWS ガイドラインに準拠ManagementAccountIDするようにに変更されました。古い名前は廃止されました。2022 以降、廃止されたフィールド名を含むスクリプトは機能しなくなります。

削除されたメンバーアカウント

このタイプのドリフトは、メンバーアカウントが登録済みの AWS Control Tower 組織単位から削除されたときに発生する可能性があります。次の例は、このタイプのドリフトが検出されたときの Amazon SNS通知を示しています。



{
  "Message" : "AWS Control Tower has detected that the member account 012345678909 has been removed from organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION",
  "RemediationStep" : "Add account to Organization and update Account Factory provisioned product",
  "AccountId" : "012345678909"
}

解決方法

このタイプのドリフトがメンバーアカウントで発生した場合は、AWSControl Tower コンソールまたは Account Factory でアカウントを更新することで、ドリフトを解決できます。例えば、Account Factory の更新ウィザードから、別の登録された OU にアカウントを追加できます。詳細については、「AWS Control Tower またはでアカウントファクトリーアカウントを更新および移動する AWS Service Catalog」を参照してください。
共有アカウントが Foundational OU から削除された場合は、ランディングゾーンをリセットしてドリフトを解決する必要があります。このドリフトが解決されるまで、AWSControl Tower コンソールを使用することはできません。
アカウントとのドリフトの解決の詳細についてはOUs、「」を参照してくださいAWS Control Tower の外部でリソースを管理する場合。

注記

Service Catalog では、Account Factory でプロビジョニングされた製品のうちアカウントを表すものは、アカウントを削除するために更新されません。代わりに、プロビジョニングされた製品は TAINTED として表示され、エラー状態になります。クリーンアップするには、Service Catalog に移動し、プロビジョニングされた製品を選択してから、[Terminate] (終了) を選択します。

マネージドへの予定外の更新 SCP

このタイプのドリフトは、コントロールSCPのが AWS Organizations コンソールで更新されたとき、または AWS CLI または AWS のいずれかを使用してプログラムで更新されたときに発生する可能性がありますSDKs。このタイプのドリフトが検出された場合の Amazon SNS通知の例を次に示します。



{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_UPDATED",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

解決方法

このタイプのドリフトが、最大 1000 個のアカウントを持つ OU で発生する場合は、次の方法で解決できます。

AWS Control Tower コンソールの Organization ページに移動して、OU (最速オプション) を再登録します。詳細については、「既存の組織単位を AWS Control Tower に登録する」を参照してください。
ランディングゾーンを更新する (時間のかかるオプション)。詳細については、「ランディングゾーンを更新する」を参照してください。

このタイプのドリフトが 1000 を超えるアカウントを持つ OU で発生した場合は、ランディングゾーンを更新して解決します。詳細については、「ランディングゾーンを更新する」を参照してください。

SCP マネージド OU にアタッチ済み

このタイプのドリフトは、コントロールSCPのが他の OU にアタッチされている場合に発生する可能性があります。この発生は、AWSControl Tower コンソールの外部OUsからで作業している場合に特に一般的です。このタイプのドリフトが検出された場合の Amazon SNS通知の例を次に示します。



{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

解決方法

このタイプのドリフトが、最大 1000 個のアカウントを持つ OU で発生する場合は、次の方法で解決できます。

AWS Control Tower コンソールの Organization ページに移動して、OU (最速オプション) を再登録します。詳細については、「既存の組織単位を AWS Control Tower に登録する」を参照してください。
ランディングゾーンを更新する (時間のかかるオプション)。詳細については、「ランディングゾーンを更新する」を参照してください。

SCP Managed OU からデタッチ

このタイプのドリフトは、コントロールSCPのが AWS Control Tower によって管理されている OU からデタッチされた場合に発生する可能性があります。この発生は、AWSControl Tower コンソールの外部から作業する場合に特に一般的です。このタイプのドリフトが検出された場合の Amazon SNS通知の例を次に示します。



{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_DETACHED_FROM_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

解決方法

このタイプのドリフトが、最大 1000 個のアカウントを持つ OU で発生する場合は、次の方法で解決できます。

AWS Control Tower コンソールで OU に移動して、OU を再登録します (最速オプション）。詳細については、「既存の組織単位を AWS Control Tower に登録する」を参照してください。
ランディングゾーンを更新する (時間のかかるオプション)。ドリフトが必須コントロールに影響を与えている場合、更新プロセスは新しいサービスコントロールポリシー (SCP) を作成し、それを OU にアタッチしてドリフトを解決します。ランディングゾーンを更新する方法については、「ランディングゾーンを更新する」を参照してください。

このタイプのドリフトが 1000 を超えるアカウントを持つ OU で発生した場合は、ランディングゾーンを更新して解決します。ドリフトが必須コントロールに影響を与えている場合、更新プロセスは新しいサービスコントロールポリシー (SCP) を作成し、それを OU にアタッチしてドリフトを解決します。ランディングゾーンを更新する方法については、「ランディングゾーンを更新する」を参照してください。

SCP メンバーアカウントにアタッチ済み

このタイプのドリフトは、コントロールSCPのが Organizations コンソールのアカウントにアタッチされている場合に発生する可能性があります。ガードレールとそのガードレールは、AWSControl Tower コンソールを介してで有効にできます OUs (したがって、OU のすべての登録済みアカウントに適用SCPsできます）。このタイプのドリフトが検出された場合の Amazon SNS通知の例を次に示します。



{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_ACCOUNT",
  "RemediationStep" : "Re-register this organizational unit (OU)",
  "AccountId" : "012345678909",
  "PolicyId" : "p-tEXAMPLE"
}

解決方法

このタイプのドリフトは、OU ではなくアカウントで発生します。

セキュリティ OU などの基礎 OU のアカウントでこのタイプのドリフトが発生した場合の解決策は、ランディングゾーンを更新することです。詳細については、「ランディングゾーンを更新する」を参照してください。

このタイプのドリフトが、最大 1000 個のアカウントを持つ非基盤 OU で発生する場合は、次の方法で解決できます。

アカウントのファクトリーアカウントSCPから AWS Control Tower をデタッチします。
AWS Control Tower コンソールで OU に移動して、OU を再登録します (最速オプション）。詳細については、「既存の組織単位を AWS Control Tower に登録する」を参照してください。

このタイプのドリフトが 1000 を超えるアカウントを持つ OU で発生した場合は、アカウントのアカウントファクトリ設定を更新して解決を試みることができます。正常には解決できない場合があります。詳細については、「ランディングゾーンを更新する」を参照してください。

削除された基礎 OU

このタイプのドリフトはOUs、セキュリティ OU などの AWS Control Tower Foundational にのみ適用されます。これは、基礎 OU が AWS Control Tower コンソールの外部で削除された場合に発生する可能性があります。OU の移動は削除して別の場所に追加するのと同じであるため、このタイプのドリフトを作成せずに基礎を移動OUsすることはできません。ランディングゾーンを更新してドリフトを解決すると、AWSControl Tower は元の場所の基本 OU を置き換えます。次の例は、このタイプのドリフトが検出されたときに受信できる Amazon SNS通知を示しています。



{
  "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ORGANIZATIONAL_UNIT_DELETED",
  "RemediationStep" : "Delete organizational unit in Control Tower",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE"
}

解決方法

このドリフトは Foundational OUsでのみ発生するため、解決策はランディングゾーンを更新することです。他のタイプのが削除されOUsると、AWSControl Tower は自動的に更新されます。

アカウントとのドリフトの解決の詳細についてはOUs、「」を参照してくださいAWS Control Tower の外部でリソースを管理する場合。

Security Hub コントロールドリフト

このタイプのドリフトは、AWS Security Hub サービス管理標準: AWS Control Tower の一部であるコントロールがドリフトの状態を報告するときに発生します。 AWS Security Hub サービス自体は、これらのコントロールのドリフト状態を報告しません。代わりに、サービスは検出結果を AWS Control Tower に送信します。

Security Hub コントロールドリフトは、AWSControl Tower が Security Hub から 24 時間以上ステータス更新を受信していない場合にも検出できます。これらの検出結果が期待どおりに受信されない場合、AWSControl Tower はコントロールがドリフトしていることを確認します。次の例は、このタイプのドリフトが検出されたときに受信できる Amazon SNS通知を示しています。


{
"Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard",
"MasterAccountId" : "123456789XXX",
"ManagementAccountId" : "123456789XXX",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "SECURITY_HUB_CONTROL_DISABLED",
"RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.",
"AccountId" : "7876543219XXX",
"ControlId" : "PYBETSAGNUZB",
"ControlName" : "EBS snapshots should not be publicly restorable",
"ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB",
"Region" : "us-east-1"
}

解決方法

アカウントOUsが 1000 未満のの場合、解決策は OU を再登録することです。これにより、コントロールが元の状態にリセットされます。どの OU でも、コンソールまたは AWS Control Tower を使用してコントロールを削除および再有効化できます。これによりAPIs、コントロールもリセットされます。

アカウントとのドリフトの解決の詳細についてはOUs、「」を参照してくださいAWS Control Tower の外部でリソースを管理する場合。

信頼されたアクセスの無効化

このタイプのドリフトは、AWSControl Tower ランディングゾーンに適用されます。これは、AWSControl Tower ランディングゾーンを設定 AWS Organizations した後に、で AWS Control Tower への信頼されたアクセスを無効にすると発生します。

信頼されたアクセスが無効になると、AWSControl Tower はから変更イベントを受信しなくなります AWS Organizations。AWS Control Tower は、これらの変更イベントを利用してと同期を維持します AWS Organizations。その結果、AWSControl Tower はアカウントとの組織変更を見逃す可能性がありますOUs。そのため、ランディングゾーンを更新するたびに、各 OU を再登録することが重要です。

例: Amazon SNS通知

以下は、このタイプのドリフトが発生したときに受信する Amazon SNS通知の例です。


{
  "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "TRUSTED_ACCESS_DISABLED",
  "RemediationStep" : "Reset Control Tower landing zone."
}

解決方法

AWS Control Tower コンソールでこのタイプのドリフトが発生すると、AWSControl Tower から通知されます。解決策は、AWSControl Tower ランディングゾーンをリセットすることです。詳細については、「ドリフトの解決」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Drift

AWS Control Tower の外部でリソースを管理する場合