ガバナンスドリフトのタイプ - AWS Control Tower
移動されたメンバーアカウント削除されたメンバーアカウント計画外のマネージド SCP の更新マネージド OU にアタッチされた SCPマネージド OU からデタッチされた SCPメンバーアカウントにアタッチされた SCP削除された基礎 OUSecurity Hub コントロールドリフト信頼されたアクセスの無効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ガバナンスドリフトのタイプ

ガバナンスドリフトは組織ドリフトとも呼ばれ、OU、SCP、およびメンバーアカウントが変更または更新されたときに発生します。AWS Control Tower で検出できるガバナンスドリフトのタイプは次のとおりです。

別のタイプのドリフトはランディングゾーンドリフトで、これは管理アカウントを通じて見られます。ランディングゾーンドリフトは、IAM ロールドリフト、または基礎 OU と共有アカウントに特に影響を与えるあらゆるタイプの組織ドリフトで構成されます。

ランディングゾーンドリフトの特殊なケースは、ロールドリフトで、必要なロールが利用できない場合に検出されます。このようなドリフトが発生すると、コンソールに警告ページと、ロールを復元する方法に関するいくつかの指示が表示されます。ロールドリフトが修復されるまで、ランディングゾーンは利用できません。ドリフトの詳細については、すぐに修復すべきドリフトのタイプ というセクションの「必要なロールを削除しない」を参照してください。

AWS Control Tower は CloudTrail、、、IAM Identity Center など CloudWatch、管理アカウントと連携する他のサービスに関するドリフトを探しません AWS CloudFormation AWS Config。これらのアカウントは必須の予防コントロールによって保護されているため、子アカウントではドリフト検出は使用できません。

ただし、AWS Security Hub  サービスマネージドスタンダード: AWS Control Tower の一部であるコントロールに関するドリフトが報告されます。

移動されたメンバーアカウント

このタイプのドリフトは、OU ではなくアカウントで発生します。このタイプのドリフトは、AWS Control Tower メンバーアカウント、監査アカウント、またはログアーカイブアカウントが、登録された AWS Control Tower OU から他の OU に移動されたときに発生する可能性があります。以下に、このタイプのドリフトが検出されたときの Amazon SNS 通知の例を示します。


{
  "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS",
  "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 300 accounts, you must update the provisioned product in Account Factory.",
  "AccountId" : "012345678909",
  "SourceId" : "012345678909",
  "DestinationId" : "ou-3210-1EXAMPLE"
}

解決策

最大 300 のアカウントを持つ OU の、Account Factory でプロビジョニングされたアカウントでこのタイプのドリフトが発生した場合は、次の方法で解決できます。

  • AWS Control Tower コンソールの [Organization] (組織) ページに移動し、アカウントを選択して、右上の [Update account] (アカウントの更新) を選択します (個々のアカウントでは最速のオプション)。

  • AWS Control Tower コンソールの [Organization] (組織) ページに移動して、アカウントを含まれている OU の [Re-register] (再登録) を選択します (複数のアカウントでは最速のオプション)。詳細については、「AWS Control Tower への既存の組織単位の登録」を参照してください。

  • Account Factory でプロビジョニングされた製品を更新する。詳細については、「AWS Control Tower または で Account Factory アカウントを更新して移動する AWS Service Catalog」を参照してください。

    注記

    更新する個々のアカウントが複数ある場合は、スクリプト 自動化によるアカウントのプロビジョニングと更新 を使用して更新を行う方法も参照してください。

  • 300 を超えるアカウントを持つ OU でこのタイプのドリフトが発生した場合、ドリフトの解決は、次の段落で説明するように、移動されたアカウントのタイプによって異なる場合があります。詳細については、「ランディングゾーンを更新する」を参照してください。

    • Account Factory でプロビジョニングされたアカウントが移動された場合 — アカウントが 300 未満の OU では、Account Factory でプロビジョニングされた製品を更新するか、OU を再登録するか、ランディングゾーンを更新することで、アカウントドリフトを解決できます。

      300 を超えるアカウントを持つ OU では、OU を再登録しても更新が実行されないため、AWS Control Tower コンソールまたはプロビジョニングされた製品のいずれかを使用して、移動した各アカウントを更新することによりドリフトを解決する必要があります。詳細については、「AWS Control Tower または で Account Factory アカウントを更新して移動する AWS Service Catalog」を参照してください。

    • 共有アカウントが移動された場合 — ランディングゾーンを更新することで、監査またはログアーカイブアカウントの移動によるドリフトを解決できます。詳細については、「ランディングゾーンを更新する」を参照してください。

廃止されたフィールド名

AWS ガイドラインに準拠ManagementAccountIDするために、フィールド名が に変更MasterAccountIDされました。古い名前は廃止されました。2022 以降、廃止されたフィールド名を含むスクリプトは機能しなくなります。

削除されたメンバーアカウント

このタイプのドリフトは、登録された AWS Control Tower 組織ユニットからメンバーアカウントが削除されたときに発生する可能性があります。以下に、このタイプのドリフトが検出されたときの Amazon SNS 通知の例を示します。


{
  "Message" : "AWS Control Tower has detected that the member account 012345678909 has been removed from organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION",
  "RemediationStep" : "Add account to Organization and update Account Factory provisioned product",
  "AccountId" : "012345678909"
}

解決方法

  • このタイプのドリフトがメンバーアカウントで発生した場合は、AWS Control Tower コンソールまたは Account Factory でアカウントを更新することによりドリフトを解決できます。例えば、Account Factory の更新ウィザードから、別の登録された OU にアカウントを追加できます。詳細については、「AWS Control Tower または で Account Factory アカウントを更新して移動する AWS Service Catalog」を参照してください。

  • 共有アカウントが基礎 OU から削除された場合、ランディングゾーンを修復してドリフトを解決する必要があります。このドリフトが解決されるまで、AWS Control Tower コンソールを使用することはできません。

  • アカウントと OU のドリフトの解決の詳細については、「AWS Control Tower の外部でリソースを管理する場合」を参照してください。

注記

Service Catalog では、Account Factory でプロビジョニングされた製品のうちアカウントを表すものは、アカウントを削除するために更新されません。代わりに、プロビジョニングされた製品は TAINTED として表示され、エラー状態になります。クリーンアップするには、Service Catalog に移動し、プロビジョニングされた製品を選択してから、[Terminate] (終了) を選択します。

計画外のマネージド SCP の更新

このタイプのドリフトは、 AWS Organizations またはいずれかの AWS SDKs を使用して、コンソールまたはプログラムでコントロール AWS CLI の SCP が更新されたときに発生する可能性があります。以下に、このタイプのドリフトが検出されたときの Amazon SNS 通知の例を示します。


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_UPDATED",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

解像度

最大 300 アカウントの OU でこのタイプのドリフトが発生した場合は、次の方法で解決できます。

300 を超えるアカウントを持つ OU でこのタイプのドリフトが発生した場合は、ランディングゾーンを更新して解決してください。詳細については、「ランディングゾーンを更新する」を参照してください。

マネージド OU にアタッチされた SCP

このタイプのドリフトは、コントロールの SCP が他の OU にアタッチされた場合に発生する可能性があります。AWS Control Tower コンソールの外部から OU で作業している場合に発生するのが特に一般的です。以下に、このタイプのドリフトが検出されたときの Amazon SNS 通知の例を示します。


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

解像度

最大 300 アカウントの OU でこのタイプのドリフトが発生した場合は、次の方法で解決できます。

300 を超えるアカウントを持つ OU でこのタイプのドリフトが発生した場合は、ランディングゾーンを更新して解決してください。詳細については、「ランディングゾーンを更新する」を参照してください。

マネージド OU からデタッチされた SCP

このタイプのドリフトは、AWS Control Tower によって管理される OU からコントロールの SCP がデタッチされた場合に発生する可能性があります。AWS Control Tower コンソールの外部から作業している場合に発生するのが特に一般的です。以下に、このタイプのドリフトが検出されたときの Amazon SNS 通知の例を示します。


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_DETACHED_FROM_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

解像度

最大 300 アカウントの OU でこのタイプのドリフトが発生した場合は、次の方法で解決できます。

  • AWS Control Tower コンソールで OU に移動して OU を再登録する (最も時間がかからないオプション)。詳細については、「AWS Control Tower への既存の組織単位の登録」を参照してください。

  • ランディングゾーンを更新する (時間のかかるオプション)。ドリフトが必須コントロールに影響を与えている場合、更新プロセスによって新しいサービスコントロールポリシー (SCP) が作成され、それを OU にアタッチすることでドリフトを修復します。ランディングゾーンを更新する方法については、「ランディングゾーンを更新する」を参照してください。

300 を超えるアカウントを持つ OU でこのタイプのドリフトが発生した場合は、ランディングゾーンを更新して解決してください。ドリフトが必須コントロールに影響を与えている場合、更新プロセスによって新しいサービスコントロールポリシー (SCP) が作成され、それを OU にアタッチすることでドリフトを修復します。ランディングゾーンを更新する方法については、「ランディングゾーンを更新する」を参照してください。

メンバーアカウントにアタッチされた SCP

このタイプのドリフトは、組織コンソールのアカウントにコントロールの SCP がアタッチされた場合に発生する可能性があります。ガードレールとその SCP は、AWS Control Tower コンソールを使用して OU で有効化することができます (そのため、OU の登録されたアカウントすべてに適用されます)。以下に、このタイプのドリフトが検出されたときの Amazon SNS 通知の例を示します。


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_ACCOUNT",
  "RemediationStep" : "Re-register this organizational unit (OU)",
  "AccountId" : "012345678909",
  "PolicyId" : "p-tEXAMPLE"
}

解像度

このタイプのドリフトは、OU ではなくアカウントで発生します。

セキュリティ OU などの基礎 OU のアカウントでこのタイプのドリフトが発生した場合の解決策は、ランディングゾーンを更新することです。詳細については、「ランディングゾーンを更新する」を参照してください。

最大 300 アカウントを持つ、基礎以外の OU でこのタイプのドリフトが発生した場合は、次のように解決できます。

  • AWS Control Tower SCP を Account Factory アカウントからデタッチする。

  • AWS Control Tower コンソールで OU に移動して OU を再登録する (最も時間がかからないオプション)。詳細については、「AWS Control Tower への既存の組織単位の登録」を参照してください。

300 を超えるアカウントを持つ OU でこのタイプのドリフトが発生した場合は、アカウントの Account Factory 構成を更新することで解決を試みることができます。正常には解決できない場合があります。詳細については、「ランディングゾーンを更新する」を参照してください。

削除された基礎 OU

このタイプのドリフトは、セキュリティ OU などの AWS Control Tower の基礎 OU にのみ適用されます。これは、AWS Control Tower コンソールの外部で基礎 OU が削除された場合に発生する可能性があります。このタイプのドリフトを発生させずに基礎 OU を移動することはできません。OU の移動は、OU を削除してから別の場所に追加するのと同じだからです。ランディングゾーンを更新してドリフトを解決すると、AWS Control Tower は元の場所にある基礎 OU を置き換えます。次の例は、このタイプのドリフトが検出されたときに送信される Amazon SNS 通知を示しています。


{
  "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ORGANIZATIONAL_UNIT_DELETED",
  "RemediationStep" : "Delete organizational unit in Control Tower",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE"
}

解像度

このドリフトは基礎 OU に対してのみ発生するため、ランディングゾーンを更新することで解決できます。他のタイプの OU が削除されると、AWS Control Tower は自動的に更新されます。

アカウントと OU のドリフトの解決の詳細については、「AWS Control Tower の外部でリソースを管理する場合」を参照してください。

Security Hub コントロールドリフト

このタイプのドリフトは、AWS Security Hub  サービスマネージドスタンダード: AWS Control Tower に含まれるコントロールがドリフト状態を報告したときに発生します。 AWS Security Hub  サービス自体は、これらのコントロールのドリフト状態を報告しません。代わりに、サービスは検出結果を AWS Control Tower に送信します。

Security Hub のコントロールのドリフトは、AWS Control Tower が Security Hub からステータス更新を受け取っていない時間が 24 時間を超えた場合にも検出されることがあります。検出結果が正常に受信されない場合、AWS Control Tower はコントロールのドリフトが発生していないかどうかを確認します。次の例は、このタイプのドリフトが検出されたときに送信される Amazon SNS 通知を示しています。

{
"Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard",
"MasterAccountId" : "123456789XXX",
"ManagementAccountId" : "123456789XXX",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "SECURITY_HUB_CONTROL_DISABLED",
"RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.",
"AccountId" : "7876543219XXX",
"ControlId" : "PYBETSAGNUZB",
"ControlName" : "EBS snapshots should not be publicly restorable",
"ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB",
"Region" : "us-east-1"
}

解決方法

アカウント数が 300 未満の OU の場合、解決策は OU を再登録することです。これにより、コントロールは元の状態にリセットされます。どの OU でも、コンソールまたは AWS Control Tower API を使用して、コントロールを削除して再度有効にすることができます。これにより、コントロールもリセットされます。

アカウントと OU のドリフトの解決の詳細については、「AWS Control Tower の外部でリソースを管理する場合」を参照してください。

信頼されたアクセスの無効化

このタイプのドリフトは、AWS Control Tower のランディングゾーンに適用されます。これは、AWS Control Tower ランディングゾーンを設定 AWS Organizations した後、 で AWS Control Tower への信頼されたアクセスを無効にしたときに発生します。

信頼されたアクセスを無効にすると、AWS Control Tower は から変更イベントを受信しなくなります AWS Organizations。AWS Control Tower は、これらの変更イベントを利用して、 との同期を維持します AWS Organizations。その結果、AWS Control Tower はアカウントと OU の組織的な変更を見逃す可能性があります。そのため、ランディングゾーンを更新するたびに、各 OU を再登録することが重要です。

例: Amazon SNS 通知

この種のドリフトが発生したときに受信する Amazon SNS 通知の例を、次に示します。

{
  "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "TRUSTED_ACCESS_DISABLED",
  "RemediationStep" : "Repair Control Tower landing zone."
}

解決方法

この種のドリフトが AWS Control Tower コンソールで発生すると、AWS Control Tower から通知されます。解決策は、AWS Control Tower のランディングゾーンを修復することです。詳細については、「ドリフトの解決」を参照してください。