Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

ガバナンスドリフトのタイプ

PDF
RSS
フォーカスモード
ガバナンスドリフトのタイプ - AWS Control Tower
移動したメンバーアカウント削除されたメンバーアカウントマネージド SCP の計画外の更新マネージド OU にアタッチされた SCPマネージド OU からデタッチされた SCPメンバーアカウントにアタッチされた SCP削除された基礎 OUSecurity Hub コントロールドリフトコントロールポリシードリフト信頼されたアクセスの無効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ガバナンスドリフトは組織ドリフトとも呼ばれ、OU、SCP、およびメンバーアカウントが変更または更新されたときに発生します。AWS Control Tower で検出できるガバナンスドリフトのタイプは次のとおりです。

別のタイプのドリフトはランディングゾーンドリフトで、これは管理アカウントを通じて見られます。ランディングゾーンドリフトは、IAM ロールドリフト、または基礎 OU と共有アカウントに特に影響を与えるあらゆるタイプの組織ドリフトで構成されます。

ランディングゾーンドリフトの特殊なケースは、ロールドリフトで、必要なロールが利用できない場合に検出されます。このようなドリフトが発生すると、コンソールに警告ページと、ロールを復元する方法に関するいくつかの指示が表示されます。ロールドリフトが解決されるまで、ランディングゾーンは利用できません。ドリフトの詳細については、すぐに解決すべきドリフトのタイプ というセクションの「必要なロールを削除しない」を参照してください。

AWS Control Tower は、リソースコントロールポリシー (RCP) で実装されたコントロールと、サービスマネージドスタンダード: AWS Control Tower の一部であるコントロールに関するコントロールドリフトを報告します。 RCPs AWS Security Hub

AWS Control Tower は、CloudTrail、CloudWatch、IAM Identity Center など、管理アカウントと連携する他のサービスに関するドリフトを探しません AWS CloudFormation AWS Config。これらのアカウントは必須の予防コントロールによって保護されているため、子アカウントではドリフト検出は使用できません。

移動したメンバーアカウント

このタイプのドリフトは、OU ではなくアカウントで発生します。このタイプのドリフトは、AWS Control Tower メンバーアカウント、監査アカウント、またはログアーカイブアカウントが、登録された AWS Control Tower OU から他の OU に移動されたときに発生する可能性があります。以下に、このタイプのドリフトが検出されたときの Amazon SNS 通知の例を示します。


{
  "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS",
  "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.",
  "AccountId" : "012345678909",
  "SourceId" : "012345678909",
  "DestinationId" : "ou-3210-1EXAMPLE"
}

解決策

最大 1000 のアカウントを持つ OU の、Account Factory でプロビジョニングされたアカウントでこのタイプのドリフトが発生した場合は、次の方法で解決できます。

  • AWS Control Tower コンソールの [Organization] (組織) ページに移動し、アカウントを選択して、右上の [Update account] (アカウントの更新) を選択します (個々のアカウントでは最速のオプション)。

  • AWS Control Tower コンソールの [Organization] (組織) ページに移動して、アカウントを含まれている OU の [Re-register] (再登録) を選択します (複数のアカウントでは最速のオプション)。詳細については、「AWS Control Tower への既存の組織単位の登録」を参照してください。

  • Account Factory でプロビジョニングされた製品を更新する。詳細については、「AWS Control Tower または を使用して Account Factory アカウントを更新および移動する AWS Service Catalog」を参照してください。

    注記

    更新する個々のアカウントが複数ある場合は、スクリプト 自動化によるアカウントのプロビジョニングと更新 を使用して更新を行う方法も参照してください。

  • 1000 を超えるアカウントを持つ OU でこのタイプのドリフトが発生した場合、ドリフトの解決は、次の段落で説明するように、移動されたアカウントのタイプによって異なる場合があります。詳細については、「ランディングゾーンを更新する」を参照してください。

    • Account Factory でプロビジョニングされたアカウントが移動された場合 — アカウントが 1000 未満の OU では、Account Factory でプロビジョニングされた製品を更新するか、OU を再登録するか、ランディングゾーンを更新することで、アカウントドリフトを解決できます。

      1000 を超えるアカウントを持つ OU では、OU の再登録では更新が実行されないため、AWS Control Tower コンソールまたはプロビジョニング済み製品を使用して、移動した各アカウントを更新してドリフトを解決する必要があります。詳細については、「AWS Control Tower または を使用して Account Factory アカウントを更新および移動する AWS Service Catalog」を参照してください。

    • 共有アカウントが移動された場合 — ランディングゾーンを更新することで、監査またはログアーカイブアカウントの移動によるドリフトを解決できます。詳細については、「ランディングゾーンを更新する」を参照してください。

廃止されたフィールド名

ガイドラインに準拠ManagementAccountIDするため、フィールド名MasterAccountIDは に変更されました AWS 。古い名前は廃止されました。2022 年以降、廃止されたフィールド名を含むスクリプトは機能しなくなりました。

削除されたメンバーアカウント

このタイプのドリフトは、登録された AWS Control Tower 組織ユニットからメンバーアカウントが削除されたときに発生する可能性があります。以下に、このタイプのドリフトが検出されたときの Amazon SNS 通知の例を示します。


{
  "Message" : "AWS Control Tower has detected that the member account 012345678909 has been removed from organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION",
  "RemediationStep" : "Add account to Organization and update Account Factory provisioned product",
  "AccountId" : "012345678909"
}

解決方法

  • このタイプのドリフトがメンバーアカウントで発生した場合は、AWS Control Tower コンソールまたは Account Factory でアカウントを更新することによりドリフトを解決できます。例えば、Account Factory の更新ウィザードから、別の登録された OU にアカウントを追加できます。詳細については、「AWS Control Tower または を使用して Account Factory アカウントを更新および移動する AWS Service Catalog」を参照してください。

  • 共有アカウントが基礎 OU から削除された場合、ランディングゾーンをリセットしてドリフトを解決する必要があります。このドリフトが解決されるまで、AWS Control Tower コンソールを使用することはできません。

  • アカウントと OU のドリフトの解決の詳細については、「AWS Control Tower の外部でリソースを管理する場合」を参照してください。

注記

Service Catalog では、Account Factory でプロビジョニングされた製品のうちアカウントを表すものは、アカウントを削除するために更新されません。代わりに、プロビジョニングされた製品は TAINTED として表示され、エラー状態になります。クリーンアップするには、Service Catalog に移動し、プロビジョニングされた製品を選択してから、[Terminate] (終了) を選択します。

マネージド SCP の計画外の更新

このタイプのドリフトは、コントロールの SCP がコンソール AWS Organizations で更新されたとき、または AWS CLI またはいずれかの AWS SDKs を使用してプログラムで更新されたときに発生する可能性があります。以下に、このタイプのドリフトが検出されたときの Amazon SNS 通知の例を示します。


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_UPDATED",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

解決方法

最大 1000 アカウントの OU でこのタイプのドリフトが発生した場合は、次の方法で解決できます。

1000 を超えるアカウントを持つ OU でこのタイプのドリフトが発生した場合は、ランディングゾーンを更新して解決してください。詳細については、「ランディングゾーンを更新する」を参照してください。

マネージド OU にアタッチされた SCP

このタイプのドリフトは、コントロールの SCP が他の OU にアタッチされた場合に発生する可能性があります。AWS Control Tower コンソールの外部から OU で作業している場合に発生するのが特に一般的です。以下に、このタイプのドリフトが検出されたときの Amazon SNS 通知の例を示します。


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

解決方法

最大 1000 アカウントの OU でこのタイプのドリフトが発生した場合は、次の方法で解決できます。

1000 を超えるアカウントを持つ OU でこのタイプのドリフトが発生した場合は、ランディングゾーンを更新して解決してください。詳細については、「ランディングゾーンを更新する」を参照してください。

マネージド OU からデタッチされた SCP

このタイプのドリフトは、AWS Control Tower によって管理される OU からコントロールの SCP がデタッチされた場合に発生する可能性があります。AWS Control Tower コンソールの外部から作業している場合に発生するのが特に一般的です。以下に、このタイプのドリフトが検出されたときの Amazon SNS 通知の例を示します。


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_DETACHED_FROM_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

解決方法

最大 1000 アカウントの OU でこのタイプのドリフトが発生した場合は、次の方法で解決できます。

  • AWS Control Tower コンソールで OU に移動して OU を再登録する (最も時間がかからないオプション)。詳細については、「AWS Control Tower への既存の組織単位の登録」を参照してください。

  • ランディングゾーンを更新する (時間のかかるオプション)。ドリフトが必須コントロールに影響を与えている場合、更新プロセスによって新しいサービスコントロールポリシー (SCP) が作成され、それを OU にアタッチすることでドリフトを解決します。ランディングゾーンを更新する方法については、「ランディングゾーンを更新する」を参照してください。

1000 を超えるアカウントを持つ OU でこのタイプのドリフトが発生した場合は、ランディングゾーンを更新して解決してください。ドリフトが必須コントロールに影響を与えている場合、更新プロセスによって新しいサービスコントロールポリシー (SCP) が作成され、それを OU にアタッチすることでドリフトを解決します。ランディングゾーンを更新する方法については、「ランディングゾーンを更新する」を参照してください。

メンバーアカウントにアタッチされた SCP

このタイプのドリフトは、組織コンソールのアカウントにコントロールの SCP がアタッチされた場合に発生する可能性があります。ガードレールとその SCP は、AWS Control Tower コンソールを使用して OU で有効化することができます (そのため、OU の登録されたアカウントすべてに適用されます)。以下に、このタイプのドリフトが検出されたときの Amazon SNS 通知の例を示します。


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_ACCOUNT",
  "RemediationStep" : "Re-register this organizational unit (OU)",
  "AccountId" : "012345678909",
  "PolicyId" : "p-tEXAMPLE"
}

解像度

このタイプのドリフトは、OU ではなくアカウントで発生します。

セキュリティ OU などの基礎 OU のアカウントでこのタイプのドリフトが発生した場合の解決策は、ランディングゾーンを更新することです。詳細については、「ランディングゾーンを更新する」を参照してください。

最大 1000 アカウントを持つ、基礎以外の OU でこのタイプのドリフトが発生した場合は、次のように解決できます。

  • AWS Control Tower SCP を Account Factory アカウントからデタッチする。

  • AWS Control Tower コンソールで OU に移動して OU を再登録する (最も時間がかからないオプション)。詳細については、「AWS Control Tower への既存の組織単位の登録」を参照してください。

1000 を超えるアカウントを持つ OU でこのタイプのドリフトが発生した場合は、アカウントの Account Factory 設定を更新することで解決を試みることができます。正常には解決できない場合があります。詳細については、「ランディングゾーンを更新する」を参照してください。

削除された基礎 OU

このタイプのドリフトは、セキュリティ OU などの AWS Control Tower の基礎 OU にのみ適用されます。これは、AWS Control Tower コンソールの外部で基礎 OU が削除された場合に発生する可能性があります。このタイプのドリフトを発生させずに基礎 OU を移動することはできません。OU の移動は、OU を削除してから別の場所に追加するのと同じだからです。ランディングゾーンを更新してドリフトを解決すると、AWS Control Tower は元の場所にある基礎 OU を置き換えます。次の例は、このタイプのドリフトが検出されたときに送信される Amazon SNS 通知を示しています。


{
  "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ORGANIZATIONAL_UNIT_DELETED",
  "RemediationStep" : "Delete organizational unit in Control Tower",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE"
}

解像度

このドリフトは基礎 OU に対してのみ発生するため、ランディングゾーンを更新することで解決できます。他のタイプの OU が削除されると、AWS Control Tower は自動的に更新されます。

アカウントと OU のドリフトの解決の詳細については、「AWS Control Tower の外部でリソースを管理する場合」を参照してください。

Security Hub コントロールドリフト

このタイプのドリフトは、AWS Security Hub  サービスマネージドスタンダード: AWS Control Tower に含まれるコントロールがドリフト状態を報告したときに発生します。 AWS Security Hub  サービス自体は、これらのコントロールのドリフト状態を報告しません。代わりに、サービスは検出結果を AWS Control Tower に送信します。

Security Hub のコントロールのドリフトは、AWS Control Tower が Security Hub からステータス更新を受け取っていない時間が 24 時間を超えた場合にも検出されることがあります。検出結果が正常に受信されない場合、AWS Control Tower はコントロールのドリフトが発生していないかどうかを確認します。次の例は、このタイプのドリフトが検出されたときに送信される Amazon SNS 通知を示しています。

{
"Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard",
"MasterAccountId" : "123456789XXX",
"ManagementAccountId" : "123456789XXX",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "SECURITY_HUB_CONTROL_DISABLED",
"RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.",
"AccountId" : "7876543219XXX",
"ControlId" : "SH.XXXXXXX.1",
"ControlName" : "EBS snapshots should not be publicly restorable",
"ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB",
"EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>".
"Region" : "us-east-1"
}

解決方法

アカウント数が 1000 未満の OUs、推奨される解決策は、ドリフトされたコントロールに対して ResetEnabledControl API を呼び出すことです。コンソールで、OU の再登録を選択できます。これにより、コントロールが元の状態にリセットされます。または、どの OU でも、コンソールまたは AWS Control Tower APIs を使用してコントロールを削除および再有効化できます。これにより、コントロールもリセットされます。

アカウントと OU のドリフトの解決の詳細については、「AWS Control Tower の外部でリソースを管理する場合」を参照してください。

コントロールポリシードリフト

このタイプのドリフトは、リソースコントロールポリシー (RCPs) または宣言ポリシーで実装されたコントロールがドリフトの状態をレポートした場合に発生します。これは の状態を返します。CONTROL_INEFFECTIVEAWS Control Tower コンソールとドリフトメッセージで表示できます。このタイプのドリフトのドリフトメッセージには、影響を受けるコントロールEnabledControlIdentifierの も含まれます。

このタイプのドリフトは、SCP ベースのコントロールでは報告されません。

次の例は、このタイプのドリフトが検出されたときに送信される Amazon SNS 通知を示しています。

{
    "Message": "AWS Control Tower detects that a policy it owns was updated unexpectedly. This mismatch indicates that configuration changes were made outside of AWS Control Tower.",
    "MasterAccountId": "123456789XXX",
    "ManagementAccountId": "123456789XXX",
    "OrganizationId": "o-123EXAMPLE",
    "DriftType": "CONTROL_INEFFECTIVE",
    "RemediationStep": "To remediate the issue, Reset the DRIFTED enabled control if permitted or Re-register the OU. If the problem persists, contact AWS support.",
    "TargetIdentifier": "arn:aws:::organizations/o-123456/ou-1234-4567",
    "ControlId": "CT.XXXXXXX.PV.1",
    "ControlName": "EBS snapshots should not be publicly restorable",
    "ApiControlIdentifier": "arn:aws:controlcatalog:::control/<UNIQUE_ID>",
    "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>"
}

解決方法

AWS Control Tower で有効になっている RCP コントロール、宣言型ポリシーコントロール、Security Hub コントロールのコントロールポリシードリフトの最も簡単な解決策は、 ResetEnabledControl API を呼び出すことです。

アカウント数が 1000 未満の OUs、コンソールまたは API からの別の解決策は、OU を再登録することです。これにより、コントロールが元の状態にリセットされます。

個々の OU の場合、コンソールまたは AWS Control Tower APIs を使用してコントロールを削除および再有効化できます。これにより、コントロールもリセットされます。

アカウントと OU のドリフトの解決の詳細については、「AWS Control Tower の外部でリソースを管理する場合」を参照してください。

信頼されたアクセスの無効化

このタイプのドリフトは、AWS Control Tower のランディングゾーンに適用されます。これは、AWS Control Tower ランディングゾーンを設定 AWS Organizations した後に、 で AWS Control Tower への信頼されたアクセスを無効にした場合に発生します。

信頼できるアクセスを無効にすると、AWS Control Tower は AWS Organizationsから変更イベントを受信しなくなります。AWS Control Tower は、これらの変更イベントを使用して同期を維持します AWS Organizations。その結果、AWS Control Tower はアカウントと OU の組織的な変更を見逃す可能性があります。そのため、ランディングゾーンを更新するたびに、各 OU を再登録することが重要です。

例: Amazon SNS 通知

この種のドリフトが発生したときに受信する Amazon SNS 通知の例を、次に示します。

{
  "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "TRUSTED_ACCESS_DISABLED",
  "RemediationStep" : "Reset Control Tower landing zone."
}

解決方法

この種のドリフトが AWS Control Tower コンソールで発生すると、AWS Control Tower から通知されます。解決策は、AWS Control Tower のランディングゾーンをリセットすることです。詳細については、「ドリフトの解決」を参照してください。

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.