ガバナンスドリフトのタイプ - AWS Control Tower

ガバナンスドリフトのタイプ

ガバナンスドリフトは組織ドリフトとも呼ばれ、OU、SCP、およびメンバーアカウントが変更または更新されたときに発生します。AWS Control Tower で検出できるガバナンスドリフトのタイプは次のとおりです。

別のタイプのドリフトはランディングゾーンドリフトで、これは管理アカウントを通じて見られます。ランディングゾーンドリフトは、IAM ロールドリフト、または基礎 OU と共有アカウントに特に影響を与えるあらゆるタイプの組織ドリフトで構成されます。

ランディングゾーンドリフトの特殊なケースは、ロールドリフトで、必要なロールが利用できない場合に検出されます。このようなドリフトが発生すると、コンソールに警告ページと、ロールを復元する方法に関するいくつかの指示が表示されます。ロールドリフトが修復されるまで、ランディングゾーンは利用できません。ドリフトの詳細については、すぐに修復すべきドリフトのタイプ というセクションの「必要なロールを削除しない」を参照してください。

AWS Control Tower は、CloudTrail、CloudWatch、IAM Identity Center、AWS CloudFormation、AWS Config など、管理アカウントで動作する他のサービスに関するドリフトを探しません。これらのアカウントは必須の予防ガードレールによって保護されているため、子アカウントではドリフト検出は使用できません。

移動されたメンバーアカウント

このタイプのドリフトは、OU ではなくアカウントで発生します。このタイプのドリフトは、AWS Control Tower メンバーアカウント、監査アカウント、またはログアーカイブアカウントが、登録された AWS Control Tower OU から他の OU に移動されたときに発生する可能性があります。以下に、このタイプのドリフトが検出されたときの Amazon SNS 通知の例を示します。

{ "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 300 accounts, you must update the provisioned product in Account Factory.", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }

解決策

最大 300 のアカウントを持つ OU の、Account Factory でプロビジョニングされたアカウントでこのタイプのドリフトが発生した場合は、次の方法で解決できます。

  • AWS Control Tower コンソールの [Organization] (組織) ページに移動し、アカウントを選択して、右上の [Update account] (アカウントの更新) を選択します (個々のアカウントでは最速のオプション)。

  • AWS Control Tower コンソールの [Organization] (組織) ページに移動して、アカウントを含まれている OU の [Re-register] (再登録) を選択します (複数のアカウントでは最速のオプション)。詳細については、「AWS Control Tower への既存の組織単位の登録」を参照してください。

  • Account Factory でプロビジョニングされた製品を更新する。詳細については、「AWS Control Tower または AWS Service Catalog で Account Factory アカウントを更新して移動する」を参照してください。

  • ランディングゾーンを更新する (時間のかかるオプション)。詳細については、「ランディングゾーンを更新する」を参照してください。

    注記

    更新する個々のアカウントが複数ある場合は、スクリプト 自動化によるアカウントのプロビジョニングと更新 を使用して更新を行う方法も参照してください。

  • 300 を超えるアカウントを持つ OU でこのタイプのドリフトが発生した場合、ドリフトの解決は、次の段落で説明するように、移動されたアカウントのタイプによって異なる場合があります。詳細については、「ランディングゾーンを更新する」を参照してください。

    • Account Factory でプロビジョニングされたアカウントが移動された場合 — アカウントが 300 未満の OU では、Account Factory でプロビジョニングされた製品を更新するか、OU を再登録するか、ランディングゾーンを更新することで、アカウントドリフトを解決できます。

      300 を超えるアカウントを持つ OU では、OU を再登録しても更新が実行されないため、AWS Control Tower コンソールまたはプロビジョニングされた製品のいずれかを使用して、移動した各アカウントを更新することによりドリフトを解決する必要があります。詳細については、「AWS Control Tower または AWS Service Catalog で Account Factory アカウントを更新して移動する」を参照してください。

    • 共有アカウントが移動された場合 — ランディングゾーンを更新することで、監査またはログアーカイブアカウントの移動によるドリフトを解決できます。詳細については、「ランディングゾーンを更新する」を参照してください。

廃止されたフィールド名

AWS ガイドラインに準拠するため、フィールド名 MasterAccountIDManagementAccountID に変更されました。古い名前は廃止されました。2022 以降、廃止されたフィールド名を含むスクリプトは機能しなくなります。

追加されたメンバーアカウント

アカウントを追加することは、厳密にはドリフトではありません。ただし、AWS Control Tower アカウントが AWS Control Tower の組織に追加されると、AWS Control Tower から警告が表示されます。例えば、監査アカウントやログアーカイブアカウントなどの共有アカウントが削除され、置き換える必要がある場合は、ドリフト修復プロセスの一環として AWS Control Tower 組織にアカウントが追加されることがあります。次の例は、このタイプのイベントが検出されたときに送信される Amazon SNS 通知を示しています。

{ "Message" : "AWS Control Tower has detected that the account 'account-email@amazon.com (012345678909)' has been added to organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/add-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "AccountAddedToOrganization", "RemediationStep" : "Update Account Factory Provisioned Product", "AccountId" : "012345678909" }

解決策

メンバーアカウントを OU に追加したり、Account Factory アカウントを登録しても、ドリフトの原因とはならないため、解決は必要ありません。共有アカウントが削除されて再び追加された場合は、特殊なケースであり、その共有アカウントまたはセキュリティ OU を更新する必要がある場合があります。Account Factory アカウントを更新する方法については、「AWS Control Tower または AWS Service Catalog で Account Factory アカウントを更新して移動する」を参照してください。

削除されたメンバーアカウント

このタイプのドリフトは、登録された AWS Control Tower 組織ユニットからメンバーアカウントが削除されたときに発生する可能性があります。以下に、このタイプのドリフトが検出されたときの Amazon SNS 通知の例を示します。

{ "Message" : "AWS Control Tower has detected that the member account 012345678909 has been removed from organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }

解決策

  • このタイプのドリフトがメンバーアカウントで発生した場合は、AWS Control Tower コンソールまたは Account Factory でアカウントを更新することによりドリフトを解決できます。例えば、Account Factory の更新ウィザードから、別の登録された OU にアカウントを追加できます。詳細については、「AWS Control Tower または AWS Service Catalog で Account Factory アカウントを更新して移動する」を参照してください。

  • 共有アカウントが基礎 OU から削除された場合、ランディングゾーンを修復してドリフトを解決する必要があります。このドリフトが解決されるまで、AWS Control Tower コンソールを使用することはできません。

  • アカウントと OU のドリフトの解決の詳細については、「AWS Control Tower の外部でリソースを管理する場合」を参照してください。

注記

Service Catalog では、Account Factory でプロビジョニングされた製品のうちアカウントを表すものは、削除対象として更新されません。代わりに、プロビジョニングされた製品は TAINTED として表示され、エラー状態になります。クリーンアップするには、Service Catalog に移動し、プロビジョニングされた製品を選択してから、[Terminate] (削除) を選択します。

計画外のマネージド SCP の更新

このタイプのドリフトは、AWS CLI または AWS SDK の 1 つを使用して AWS Organizations コンソールまたはプログラムでガードレールの SCP が更新されたときに発生する可能性があります。以下に、このタイプのドリフトが検出されたときの Amazon SNS 通知の例を示します。

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ServiceControlPolicyUpdated", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }

解決策

最大 300 アカウントの OU でこのタイプのドリフトが発生した場合は、次の方法で解決できます。

300 を超えるアカウントを持つ OU でこのタイプのドリフトが発生した場合は、ランディングゾーンを更新して解決してください。詳細については、「ランディングゾーンを更新する」を参照してください。

マネージド OU にアタッチされた SCP

このタイプのドリフトは、ガードレールの SCP が他の OU にアタッチされた場合に発生する可能性があります。AWS Control Tower コンソールの外部から OU で作業している場合に発生するのが特に一般的です。以下に、このタイプのドリフトが検出されたときの Amazon SNS 通知の例を示します。

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }

解決策

最大 300 アカウントの OU でこのタイプのドリフトが発生した場合は、次の方法で解決できます。

300 を超えるアカウントを持つ OU でこのタイプのドリフトが発生した場合は、ランディングゾーンを更新して解決してください。詳細については、「ランディングゾーンを更新する」を参照してください。

マネージド OU からデタッチされた SCP

このタイプのドリフトは、AWS Control Tower によって管理される OU からガードレールの SCP がデタッチされた場合に発生する可能性があります。AWS Control Tower コンソールの外部から作業している場合に発生するのが特に一般的です。以下に、このタイプのドリフトが検出されたときの Amazon SNS 通知の例を示します。

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_DETACHED_FROM_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }

解決策

最大 300 アカウントの OU でこのタイプのドリフトが発生した場合は、次の方法で解決できます。

  • AWS Control Tower コンソールで OU に移動して OU を再登録する (最も時間がかからないオプション)。詳細については、「AWS Control Tower への既存の組織単位の登録」を参照してください。

  • ランディングゾーンを更新する (時間のかかるオプション)。ドリフトが必須ガードレールに影響を与えている場合、更新プロセスによって新しいサービスコントロールポリシー (SCP) が作成され、それを OU にアタッチすることでドリフトを修復します。ランディングゾーンを更新する方法については、「ランディングゾーンを更新する」を参照してください。

300 を超えるアカウントを持つ OU でこのタイプのドリフトが発生した場合は、ランディングゾーンを更新して解決してください。ドリフトが必須ガードレールに影響を与えている場合、更新プロセスによって新しいサービスコントロールポリシー (SCP) が作成され、それを OU にアタッチすることでドリフトを修復します。ランディングゾーンを更新する方法については、「ランディングゾーンを更新する」を参照してください。

メンバーアカウントにアタッチされた SCP

このタイプのドリフトは、組織コンソールのアカウントにガードレールの SCP がアタッチされた場合に発生する可能性があります。ガードレールとその SCP は、AWS Control Tower コンソールを使用して OU で有効化することができます (そのため、OU の登録されたアカウントすべてに適用されます)。以下に、このタイプのドリフトが検出されたときの Amazon SNS 通知の例を示します。

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ServiceControlPolicyAttachedToAccount", "RemediationStep" : "Re-register this organizational unit (OU)", "AccountId" : "012345678909", "PolicyId" : "p-tEXAMPLE" }

解決策

このタイプのドリフトは、OU ではなくアカウントで発生します。

セキュリティ OU などの基礎 OU のアカウントでこのタイプのドリフトが発生した場合の解決策は、ランディングゾーンを更新することです。詳細については、「ランディングゾーンを更新する」を参照してください。

最大 300 アカウントを持つ、基礎以外の OU でこのタイプのドリフトが発生した場合は、次のように解決できます。

  • AWS Control Tower SCP を Account Factory アカウントからデタッチする。

  • AWS Control Tower コンソールで OU に移動して OU を再登録する (最も時間がかからないオプション)。詳細については、「AWS Control Tower への既存の組織単位の登録」を参照してください。

300 を超えるアカウントを持つ OU でこのタイプのドリフトが発生した場合は、アカウントの Account Factory 構成を更新することで解決を試みることができます。正常には解決できない場合があります。詳細については、「ランディングゾーンを更新する」を参照してください。

削除された基礎 OU

このタイプのドリフトは、セキュリティ OU などの AWS Control Tower の基礎 OU にのみ適用されます。これは、AWS Control Tower コンソールの外部で基礎 OU が削除された場合に発生する可能性があります。このタイプのドリフトを発生させずに基礎 OU を移動することはできません。OU の移動は、OU を削除してから別の場所に追加するのと同じだからです。ランディングゾーンを更新してドリフトを解決すると、AWS Control Tower は元の場所にある基礎 OU を置き換えます。次の例は、このタイプのドリフトが検出されたときに送信される Amazon SNS 通知を示しています。

{ "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "OrganizationalUnitDeleted", "RemediationStep" : "Delete organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }

解決策

このドリフトは基礎 OU に対してのみ発生するため、ランディングゾーンを更新することで解決できます。他のタイプの OU が削除されると、AWS Control Tower は自動的に更新されます。

アカウントと OU のドリフトの解決の詳細については、「AWS Control Tower の外部でリソースを管理する場合」を参照してください。