드리프트 감지 및 해결 AWS Control Tower - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

드리프트 감지 및 해결 AWS Control Tower

드리프트 식별 및 해결은 AWS Control Tower 관리 계정 관리자.

을(를) 만들 때 랜딩 존, 랜딩 존 그리고 모든 OUs, 계정 및 리소스는 선택한 가드레일에서 시행하는 거버넌스 규칙을 준수합니다. 사용자 및 사용자 조직의 멤버가 랜딩 존을 사용할 때 이 규정 준수 상태가 변경될 수 있습니다. 일부 변경 사항은 실수일 수 있으며, 일부는 시간에 민감한 작업 이벤트에 의도적으로 응답하는 것일 수 있습니다.

변경 사항은 규정 준수 스토리를 복잡하게 만들 수 있습니다. 드리프트 감지로 드리프트를 해결하기 위해 변경 또는 구성 업데이트가 필요한 리소스를 식별할 수 있습니다. 드리프트를 해결하면 거버넌스 규정 준수를 보장할 수 있습니다.

드리프트 감지

드리프트는 AWS Control Tower에 의해 자동으로 감지됩니다. 감사 계정에 집계되는 Amazon SNS 알림에 표시됩니다. 각 멤버 계정의 알림은 로컬 Amazon SNS 주제 및 Lambda 함수에 경고를 보냅니다.

멤버 계정 관리자는 특정 계정에 대한 SNS 드리프트 알림을 구독할 수 있습니다(모범 사례로서 권장됨). 예를 들어, aws-controltower-AggregateSecurityNotifications SNS 항목은 드리프트 알림을 제공합니다. 더 AWS Control Tower 콘솔은 다음을 나타냅니다. 관리 계정 관리자가 드리프트가 발생했을 때.

드리프트 해결

감지는 자동으로 수행되지만 드리프트를 해결하는 단계는 콘솔을 통해 수행해야 합니다. 다양한 유형의 드리프트는 설정 페이지를 통해 해결할 수 있습니다. 만약 수리 버튼을 눌러 버전 선택이 가능하며, 수리 일부 드리프트 유형을 복구합니다. 드리프트가 발생하지 않으면 복구 버튼이 회색으로 표시됩니다.

대부분의 드리프트 유형은 관리자가 해결할 수 있습니다. AWS Control Tower 랜딩 영역에 필요한 조직 단위의 삭제를 포함하여 몇 가지 드리프트 유형은 즉시 복구해야 합니다. 다음은 주요 드리프트의 몇 가지 예입니다.

  • AWS Control Tower에 의한 랜딩 영역 설정 시 기존의 코어라는 조직 단위는 삭제하면 안 됩니다. 삭제하면 랜딩 영역을 즉시 복구하라는 오류 메시지가 표시됩니다. 복구가 완료될 때까지 AWS Control Tower에서 다른 작업을 수행할 수 없습니다.

  • AWS Control Tower는 IAM 역할 드리프트를 위해 콘솔에 로그인할 때 특정 IAM 역할을 확인합니다. 이러한 역할이 없거나 액세스할 수 없는 경우, 랜딩 영역을 복구하라는 오류 페이지가 표시됩니다. 이러한 역할은AWSControlTowerAdmin, AWSControlTowerCloudTrailRoleAWSControlTowerStackSetRole입니다.

  • AWS Control Tower에서 랜딩 영역을 설정하는 동안 기존의 사용자 지정이라는 조직 단위를 삭제하면 랜딩 영역은 드리프트 상태가 되나 계속 AWS Control Tower를 사용할 수 있습니다. AWS Control Tower를 작동하려면 비핵심 OU가 1개 이상 필요하지만 사용자 지정 OU일 필요는 없습니다.

리소스에 대한 복구 가능한 변경

다음은 복구 가능한 드리프트를 생성하지만 AWS Control Tower 리소스에 대해 허용되는 변경 목록입니다. 이러한 허용된 작업의 결과는 AWS Control Tower 콘솔에서 볼 수 있지만 새로 고침이 필요할 수 있습니다.

생성되는 드리프트를 해결하는 방법에 대한 자세한 내용은 AWS Control Tower 외부 리소스 관리를 참조하십시오.

AWS Control Tower 콘솔 외부에서 허용되는 변경

  • 비 코어 OU의 이름 변경

  • 코어 OU의 이름 변경

  • 비 코어 (멤버) 계정의 이름 변경

  • 코어 (공유) 계정의 이름 변경

  • 비 코어 OU 삭제

  • 비 코어 OU (멤버) 계정 삭제

  • 코어 (공유) 계정의 이메일 주소 변경

  • 비 코어 (멤버) 계정의 이메일 주소 변경

참고

계정 이동 OUs 드리프트로 간주되며 수리해야 합니다.

드리프트 및 새 계정 프로비저닝

랜딩 영역이 드리프트 상태인 경우 AWS Control Tower의 계정 등록 기능이 작동하지 않습니다. 이 경우 AWS Service Catalog를 통해 새 계정을 프로비저닝해야 합니다. 지침은 AWS Service Catalog를 사용한 Account Factory 계정 프로비저닝을 참조하십시오.

특히 AWS Service Catalog를 사용하여 계정에 특정 변경을 수행한 경우(예: 포트폴리오 이름 변경) 계정 등록 기능이 작동하지 않습니다.

거버넌스 드리프트 유형

조직 및 멤버 계정이 변경 및 업데이트될 때 거버넌스 드리프트가 발생합니다. AWS Control Tower에서 감지할 수 있는 거버넌스 드리프트 유형은 다음과 같습니다.

이동된 멤버 계정

이러한 종류의 드리프트는 멤버 계정, 감사 계정 또는 로그 아카이브 계정이 한 AWS Control Tower OU에서 다른 AWS Control Tower OU로 이동할 때 발생할 수 있습니다. 다음은 이러한 유형의 드리프트가 감지된 경우 Amazon SNS 알림의 예입니다.

{ "Message" : "AWS Control Tower has detected that your managed account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Custom (ou-0123-eEXAMPLE)' to 'Core (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "MasterAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "AccountMovedBetweenOrganizationalUnits", "RemediationStep" : "Update Account Factory Provisioned Product", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }

Resolutions

이런 종류의 드리프트가 발생하면 다음과 같이 해결할 수 있습니다.

  • Account Factory 프로비저닝된 계정 – Account Factory에서 계정을 업데이트하여 드리프트를 해결할 수 있습니다. 자세한 정보는 AWS 서비스 카탈로그로 계정 공장 계정 업데이트 및 이동 단원을 참조하십시오.

  • 공유 계정 – 랜딩 존을 업데이트하여 감사 또는 로그 아카이브 계정을 이동할 때 발생하는 드리프트를 해결할 수 있습니다. 자세한 정보는 랜딩 영역 업데이트 단원을 참조하십시오.

추가된 멤버 계정

이러한 종류의 드리프트는 AWS Control Tower 멤버 계정이 AWS Control Tower OU에 추가될 때 발생할 수 있습니다. 다음은 이러한 유형의 드리프트가 감지된 경우 Amazon SNS 알림의 예입니다.

"{ ""Message"" : ""AWS Control Tower has detected that the managed account 'account-email@amazon.com (012345678909)' has been added to organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/add-account'"", ""MasterAccountId"" : ""012345678912"", ""OrganizationId"" : ""o-123EXAMPLE"", ""DriftType"" : ""AccountAddedToOrganization"", ""RemediationStep"" : ""Update Account Factory Provisioned Product"", ""AccountId"" : ""012345678909"" }"

Resolution

이런 종류의 드리프트가 발생하면 Account Factory에서 계정을 업데이트하여 해결할 수 있습니다. 자세한 정보는 AWS 서비스 카탈로그로 계정 공장 계정 업데이트 및 이동 단원을 참조하십시오.

계좌 및 계좌의 드리프트 해결에 대한 자세한 내용은 OUs, 참조 외부에서 리소스 관리AWS Control Tower.

제거된 멤버 계정

이러한 종류의 드리프트는 AWS Control Tower 멤버 계정이 AWS Control Tower OU에서 제거될 때 발생할 수 있습니다. 다음은 이러한 유형의 드리프트가 감지된 경우 Amazon SNS 알림의 예입니다.

"{ ""Message"" : ""AWS Control Tower has detected that the managed account 012345678909 has been removed from organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'"", ""MasterAccountId"" : ""012345678912"", ""OrganizationId"" : ""o-123EXAMPLE"", ""DriftType"" : ""AccountRemovedFromOrganization"", ""RemediationStep"" : ""Add account to Organization and update Account Factory provisioned product"", ""AccountId"" : ""012345678909"" }"

Resolution

이러한 종류의 드리프트가 발생하면 AWS Control Tower가 알림을 수신하고 자동 업데이트를 수행합니다. 삭제된 멤버 계정이 계속 표시될 경우 랜딩 존을 복구하여 드리프트를 해결할 수 있습니다. Account Factory에서 계정을 업데이트하고 Account Factory 업데이트 마법사에서 등록된 다른 OU에 계정을 추가하여 드리프트를 해결할 수도 있습니다. 자세한 정보는 AWS 서비스 카탈로그로 계정 공장 계정 업데이트 및 이동 단원을 참조하십시오.

계좌 및 계좌의 드리프트 해결에 대한 자세한 내용은 OUs, 참조 외부에서 리소스 관리AWS Control Tower.

참고

AWS Service Catalog에서는 계정을 나타내는 Account Factory 프로비저닝 제품이 계정을 제거하며 업데이트되지 않습니다. 대신 프로비저닝된 제품이 TAINTED 및 오류 상태로 표시됩니다. 정리하려면 AWS Service Catalog로 이동하여 프로비저닝된 제품을 선택한 다음 종료를 선택합니다.

관리형 SCP에 대한 계획되지 않은 업데이트

이러한 종류의 드리프트는 조직 콘솔 또는 프로그래밍 방식으로 AWS CLI 또는 AWS 중 하나 SDKs. 다음은 이러한 유형의 드리프트가 감지된 경우 Amazon SNS 알림의 예입니다.

"{ ""Message"" : ""AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)', attached to the managed organizational unit 'Core (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'"", ""MasterAccountId"" : ""012345678912"", ""OrganizationId"" : ""o-123EXAMPLE"", ""DriftType"" : ""ServiceControlPolicyUpdated"", ""RemediationStep"" : ""Update Control Tower Setup"", ""OrganizationalUnitId"" : ""ou-0123-1EXAMPLE"", ""PolicyId"" : ""p-tEXAMPLE"" }"

Resolution

이런 종류의 드리프트가 발생하면 랜딩 존을 업데이트하여 해결할 수 있습니다. 자세한 정보는 랜딩 영역 업데이트 단원을 참조하십시오.

관리형 OU에 연결된 SCP

이러한 종류의 드리프트는 SCP가 AWS Control Tower 콘솔 외부의 OU에 연결될 때 발생할 수 있습니다. 다음은 이러한 유형의 드리프트가 감지된 경우 Amazon SNS 알림의 예입니다.

"{ ""Message"" : ""AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the managed organizational unit 'Custom (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'"", ""MasterAccountId"" : ""012345678912"", ""OrganizationId"" : ""o-123EXAMPLE"", ""DriftType"" : ""ServiceControlPolicyAttachedToOrganizationalUnit"", ""RemediationStep"" : ""Update Control Tower Setup"", ""OrganizationalUnitId"" : ""ou-0123-1EXAMPLE"", ""PolicyId"" : ""p-tEXAMPLE"" }"

Resolution

이런 종류의 드리프트가 발생하면 랜딩 존을 업데이트하여 해결할 수 있습니다. 자세한 정보는 랜딩 영역 업데이트 단원을 참조하십시오.

관리형 OU에서 분리된 SCP

이러한 종류의 드리프트는 SCP가 AWS Control Tower 콘솔 외부의 OU에서 분리될 때 발생할 수 있습니다. 다음은 이러한 유형의 드리프트가 감지된 경우 Amazon SNS 알림의 예입니다.

"{ ""Message"" : ""AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been detached from the managed organizational unit 'Custom (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'"", ""MasterAccountId"" : ""012345678912"", ""OrganizationId"" : ""o-123EXAMPLE"", ""DriftType"" : ""ServiceControlPolicyDetachedFromOrganizationalUnit"", ""RemediationStep"" : ""Update Control Tower Setup"", ""OrganizationalUnitId"" : ""ou-0123-1EXAMPLE"", ""PolicyId"" : ""p-tEXAMPLE"" }"

Resolution

이런 종류의 드리프트가 발생하면 랜딩 존을 업데이트하여 해결할 수 있습니다. 드리프트가 필수 가드레일에 영향을 미치는 경우 업데이트 프로세스는 새 SCP를 생성하고 이를 OU에 연결하여 드리프트를 수정합니다. 랜딩 존을 업데이트하는 방법에 대한 자세한 내용은 을 참조하십시오. 랜딩 영역 업데이트.

멤버 계정에 연결된 SCP

이러한 종류의 드리프트는 SCP가 조직 콘솔의 계정에 연결될 때 발생할 수 있습니다. 가드레일 및 SCPs 에서 활성화할 수 있습니다. OUs OU의 모든 회원 계정을 AWS Control Tower 콘솔. 다음은 이러한 유형의 드리프트가 감지된 경우 Amazon SNS 알림의 예입니다.

"{ ""Message"" : ""AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the managed account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'"", ""MasterAccountId"" : ""012345678912"", ""OrganizationId"" : ""o-123EXAMPLE"", ""DriftType"" : ""ServiceControlPolicyAttachedToAccount"", ""RemediationStep"" : ""Update Control Tower Setup"", ""AccountId"" : ""012345678909"", ""PolicyId"" : ""p-tEXAMPLE"" }"

Resolution

이런 종류의 드리프트가 발생하면 랜딩 존을 업데이트하여 해결할 수 있습니다. 자세한 정보는 랜딩 영역 업데이트 단원을 참조하십시오.

삭제된 관리형 OU

이러한 종류의 드리프트는 AWS Control Tower 콘솔 외부에서 AWS Control Tower OU가 삭제된 경우 발생할 수 있습니다. 다음은 이러한 유형의 드리프트가 감지된 경우 Amazon SNS 알림의 예입니다.

"{ ""Message"" : ""AWS Control Tower has detected that the managed organizational unit 'Custom (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'"", ""MasterAccountId"" : ""012345678912"", ""OrganizationId"" : ""o-123EXAMPLE"", ""DriftType"" : ""OrganizationalUnitDeleted"", ""RemediationStep"" : ""Delete managed organizational unit in Control Tower"", ""OrganizationalUnitId"" : ""ou-0123-1EXAMPLE"" }"

Resolution

이런 종류의 표류가 발생하면 AWS Control Tower 일반적으로 등록된 OUs 자동으로. 삭제된 OU가 표시되면 중앙 클라우드 관리자가 AWS Control Tower 콘솔에 로그인하여 조직 단위 목록에서 OU를 삭제해야 합니다.

계좌 및 계좌의 드리프트 해결에 대한 자세한 내용은 OUs, 참조 외부에서 리소스 관리AWS Control Tower.