거버넌스 드리프트 유형

조직 드리프트라고도 하는 거버넌스 드리프트는 OU, SCP 및 구성원 계정이 변경되거나 업데이트될 때 발생합니다. AWS Control Tower에서 탐지할 수 있는 거버넌스 드리프트 유형은 다음과 같습니다.

• 이동된 멤버 계정

• 제거된 멤버 계정

• 관리형 SCP에 대한 계획되지 않은 업데이트

• 멤버 계정에 연결된 SCP

• 관리형 OU에 연결된 SCP

• 관리형 OU에서 분리된 SCP

• 삭제된 기본 OU

• Security Hub 컨트롤 드리프트

• 신뢰할 수 있는 액세스가 비활성화됨

또 다른 유형의 드리프트는 landing Zone drift이며, 이는 관리 계정을 통해 찾을 수 있습니다. 랜딩 존 드리프트는 IAM 역할 드리프트 또는 특히 기본 OU 및 공유 계정에 영향을 미치는 모든 유형의 조직 드리프트로 구성됩니다.

landing Zone Drift의 특별한 경우는 필요한 역할을 사용할 수 없을 때 감지되는 역할 드리프트입니다. 이러한 유형의 드리프트가 발생하면 콘솔에 경고 페이지와 역할 복원 방법에 대한 몇 가지 지침이 표시됩니다. 역할 드리프트가 복구되기 전까지는 랜딩 존을 사용할 수 없습니다. 드리프트에 대한 자세한 내용은 해당 섹션의 필수 역할 삭제 안 함을 참조하십시오. 당장 고쳐야 하는 드리프트의 종류

AWS Control Tower는 IAM Identity Center 등을 비롯하여 CloudTrail 관리 계정과 함께 작동하는 다른 서비스와 관련하여 드리프트를 찾지 않습니다. CloudWatch AWS CloudFormation AWS Config자녀 계정은 예방적 필수 제어 기능으로 보호되므로 자녀 계정에서는 드리프트 감지 기능을 사용할 수 없습니다.

하지만 AWS Security Hub 서비스 관리형 표준인 AWS Control Tower의 일부인 규제 항목과 관련된 드리프트는 보고됩니다.

이동된 멤버 계정

이러한 유형의 드리프트는 OU가 아닌 계정에서 발생합니다. 이러한 유형의 드리프트는 AWS Control Tower 멤버 계정, 감사 계정 또는 로그 아카이브 계정이 등록된 AWS Control Tower OU에서 다른 OU로 이동될 때 발생할 수 있습니다. 다음은 이러한 유형의 드리프트가 감지될 때 Amazon SNS 알림을 보내는 예시입니다.

{
  "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS",
  "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 300 accounts, you must update the provisioned product in Account Factory.",
  "AccountId" : "012345678909",
  "SourceId" : "012345678909",
  "DestinationId" : "ou-3210-1EXAMPLE"
}
        

해결 방법

최대 300개의 계정이 있는 OU의 Account Factory 프로비저닝 계정에서 이러한 유형의 드리프트가 발생하는 경우 다음과 같이 문제를 해결할 수 있습니다.

• AWS Control Tower 콘솔의 조직 페이지로 이동하여 계정을 선택하고 오른쪽 상단에서 계정 업데이트 (개별 계정의 경우 가장 빠른 옵션) 를 선택합니다.

• AWS Control Tower 콘솔의 조직 페이지로 이동한 다음 계정이 포함된 OU에 재등록 (여러 계정을 위한 가장 빠른 옵션) 을 선택합니다. 자세한 설명은 기존 조직 단위를 AWS Control Tower에 등록 섹션을 참조하세요.

• Account Factory에서 프로비저닝된 제품 업데이트 자세한 설명은 AWS Control Tower 또는 다음을 통해 계정 팩토리 계정을 업데이트하고 이전하십시오. AWS Service Catalog 섹션을 참조하세요.

  참고

  업데이트해야 할 개별 계정이 여러 개 있는 경우 스크립트를 사용하여 업데이트하는 다음 방법도 참조하십시오. 자동화를 사용하여 계정을 제공하고 업데이트하십시오.

• 계정이 300개 이상인 OU에서 이러한 유형의 드리프트가 발생하는 경우 다음 단락에서 설명하는 것처럼 이동된 계정 유형에 따라 드리프트 해결이 달라질 수 있습니다. 자세한 설명은 랜딩 영역 업데이트 섹션을 참조하세요.

  • Account Factory의 프로비저닝 계정이 이동된 경우 — 계정이 300개 미만인 OU의 경우 Account Factory에서 프로비저닝된 제품을 업데이트하거나, OU를 다시 등록하거나, 랜딩 영역을 업데이트하여 계정 드리프트를 해결할 수 있습니다.

    계정이 300개 이상인 OU에서는 OU를 재등록해도 업데이트가 수행되지 않으므로 AWS Control Tower 콘솔 또는 프로비저닝된 제품을 통해 이동된 각 계정을 업데이트하여 편차를 해결해야 합니다. 자세한 설명은 AWS Control Tower 또는 다음을 통해 계정 팩토리 계정을 업데이트하고 이전하십시오. AWS Service Catalog 섹션을 참조하세요.

  • 공유 계정이 이동된 경우 - landing Zone을 업데이트하여 감사 또는 로그 아카이브 계정 이동으로 인한 편차를 해결할 수 있습니다. 자세한 설명은 랜딩 영역 업데이트 섹션을 참조하세요.

더 이상 사용되지 않는 필드 이름

필드 이름은 MasterAccountID 가이드라인을 ManagementAccountID AWS 준수하도록 변경되었습니다. 이전 이름은 더 이상 사용되지 않습니다. 2022년부터 지원 중단된 필드 이름을 포함하는 스크립트는 더 이상 작동하지 않습니다.

제거된 멤버 계정

이러한 유형의 드리프트는 등록된 AWS Control Tower 조직 단위에서 회원 계정이 제거될 때 발생할 수 있습니다. 다음 예는 이러한 유형의 드리프트가 감지될 때의 Amazon SNS 알림을 보여줍니다.

{
  "Message" : "AWS Control Tower has detected that the member account 012345678909 has been removed from organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION",
  "RemediationStep" : "Add account to Organization and update Account Factory provisioned product",
  "AccountId" : "012345678909"
}

해결 방법

• 멤버 계정에서 이러한 유형의 드리프트가 발생하는 경우, AWS Control Tower 콘솔 또는 Account Factory에서 계정을 업데이트하여 드리프트를 해결할 수 있습니다. 예를 들어 Account Factory 업데이트 마법사에서 등록된 다른 OU에 계정을 추가할 수 있습니다. 자세한 설명은 AWS Control Tower 또는 다음을 통해 계정 팩토리 계정을 업데이트하고 이전하십시오. AWS Service Catalog 섹션을 참조하세요.

• 기본 OU에서 공유 계정을 제거한 경우, 랜딩 존을 복구하여 드리프트를 해결해야 합니다. 이 드리프트가 해결될 때까지는 AWS Control Tower 콘솔을 사용할 수 없습니다.

• 계정 및 OU 드리프트 해결에 대한 자세한 내용은 AWS Control Tower 외부에서 리소스를 관리하는 경우 단원을 참조하십시오.

참고

Service Catalog에서 계정을 나타내는 Account Factory에서 프로비저닝한 제품은 계정을 제거하도록 업데이트되지 않았습니다. 대신 프로비저닝된 제품이 TAINTED 및 오류 상태로 표시됩니다. 정리하려면 Service Catalog로 이동하여 프로비저닝된 제품을 선택한 다음 종료를 선택합니다.

관리형 SCP에 대한 계획되지 않은 업데이트

이러한 유형의 드리프트는 AWS Organizations 콘솔에서 또는 AWS SDK 중 하나를 사용하여 프로그래밍 방식으로 컨트롤용 SCP를 업데이트할 때 발생할 수 있습니다. AWS CLI 다음은 이러한 유형의 드리프트가 감지될 때 Amazon SNS 알림을 보내는 예시입니다.

{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_UPDATED",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

해결 방법

최대 300개의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하는 경우 다음과 같이 해결할 수 있습니다.

• AWS Control Tower 콘솔의 조직 페이지로 이동하여 OU를 재등록합니다 (가장 빠른 옵션). 자세한 설명은 기존 조직 단위를 AWS Control Tower에 등록 섹션을 참조하세요.

• Landding Zone 업데이트 (더 느린 옵션). 자세한 설명은 랜딩 영역 업데이트 섹션을 참조하세요.

계정이 300개 이상인 OU에서 이러한 유형의 드리프트가 발생하면 landing Zone을 업데이트하여 문제를 해결하십시오. 자세한 설명은 랜딩 영역 업데이트 섹션을 참조하세요.

관리형 OU에 연결된 SCP

컨트롤의 SCP가 다른 OU에 연결된 경우 이러한 유형의 드리프트가 발생할 수 있습니다. 이러한 현상은 AWS Control Tower 콘솔 외부에서 OU를 작업할 때 특히 흔합니다. 다음은 이러한 유형의 드리프트가 감지될 때 Amazon SNS 알림을 보내는 예시입니다.

{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

해결 방법

최대 300개의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하는 경우 다음과 같이 해결할 수 있습니다.

• AWS Control Tower 콘솔의 조직 페이지로 이동하여 OU를 재등록합니다 (가장 빠른 옵션). 자세한 설명은 기존 조직 단위를 AWS Control Tower에 등록 섹션을 참조하세요.

• Landding Zone 업데이트 (더 느린 옵션). 자세한 설명은 랜딩 영역 업데이트 섹션을 참조하세요.

계정이 300개 이상인 OU에서 이러한 유형의 드리프트가 발생하면 landing Zone을 업데이트하여 문제를 해결하십시오. 자세한 설명은 랜딩 영역 업데이트 섹션을 참조하세요.

관리형 OU에서 분리된 SCP

이러한 유형의 드리프트는 컨트롤의 SCP가 AWS Control Tower에서 관리하는 OU에서 분리되었을 때 발생할 수 있습니다. 이러한 현상은 AWS Control Tower 콘솔 외부에서 작업할 때 특히 흔합니다. 다음은 이러한 유형의 드리프트가 감지될 때 Amazon SNS 알림을 보내는 예시입니다.

{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_DETACHED_FROM_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

해결 방법

최대 300개의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하는 경우 다음과 같이 해결할 수 있습니다.

• AWS Control Tower 콘솔에서 OU로 이동하여 OU를 재등록합니다 (가장 빠른 옵션). 자세한 설명은 기존 조직 단위를 AWS Control Tower에 등록 섹션을 참조하세요.

• Landding Zone 업데이트 (더 느린 옵션). 드리프트가 필수 제어에 영향을 미치는 경우 업데이트 프로세스는 새 서비스 제어 정책 (SCP) 을 만들고 이를 OU에 연결하여 드리프트를 복구합니다. 착륙 지대를 업데이트하는 방법에 대한 자세한 내용은 을 참조하십시오랜딩 영역 업데이트.

계정이 300개 이상인 OU에서 이러한 유형의 드리프트가 발생하면 landing Zone을 업데이트하여 문제를 해결하십시오. 드리프트가 필수 제어에 영향을 미치는 경우 업데이트 프로세스는 새 서비스 제어 정책 (SCP) 을 만들고 이를 OU에 연결하여 드리프트를 복구합니다. 착륙 지대를 업데이트하는 방법에 대한 자세한 내용은 을 참조하십시오랜딩 영역 업데이트.

멤버 계정에 연결된 SCP

이러한 유형의 드리프트는 컨트롤의 SCP가 Organizations 콘솔의 계정에 연결되어 있을 때 발생할 수 있습니다. AWS Control Tower 콘솔을 통해 OU에서 가드레일과 해당 SCP를 활성화하여 OU에 등록된 모든 계정에 적용할 수 있습니다. 다음은 이러한 유형의 드리프트가 감지될 때 Amazon SNS 알림을 보내는 예시입니다.

{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_ACCOUNT",
  "RemediationStep" : "Re-register this organizational unit (OU)",
  "AccountId" : "012345678909",
  "PolicyId" : "p-tEXAMPLE"
}

해결 방법

이러한 유형의 드리프트는 OU가 아닌 계정에서 발생합니다.

보안 OU와 같은 기본 OU의 계정에서 이러한 유형의 드리프트가 발생하는 경우 해결 방법은 랜딩 영역을 업데이트하는 것입니다. 자세한 설명은 랜딩 영역 업데이트 섹션을 참조하세요.

최대 300개의 계정이 있는 비기본 OU에서 이러한 유형의 드리프트가 발생하는 경우 다음과 같이 해결할 수 있습니다.

• 어카운트 팩토리 계정에서 AWS Control Tower SCP를 분리합니다.

• AWS Control Tower 콘솔에서 OU로 이동하여 OU를 재등록합니다 (가장 빠른 옵션). 자세한 설명은 기존 조직 단위를 AWS Control Tower에 등록 섹션을 참조하세요.

계정이 300개 이상인 OU에서 이러한 유형의 드리프트가 발생하는 경우 해당 계정의 계정 팩토리 구성을 업데이트하여 문제를 해결할 수 있습니다. 문제를 성공적으로 해결하지 못할 수도 있습니다. 자세한 설명은 랜딩 영역 업데이트 섹션을 참조하세요.

삭제된 기본 OU

이러한 유형의 드리프트는 보안 OU와 같은 AWS Control Tower 기본 OU에만 적용됩니다. 기본 OU가 AWS Control Tower 콘솔 외부에서 삭제되는 경우 발생할 수 있습니다. OU를 이동하는 것은 OU를 삭제한 다음 다른 곳에 추가하는 것과 같기 때문에 이러한 유형의 드리프트를 생성하지 않고는 기본 OU를 이동할 수 없습니다. 랜딩 존을 업데이트하여 드리프트를 해결하면 AWS Control Tower가 원래 위치의 기본 OU를 대체합니다. 다음 예는 이러한 유형의 드리프트가 감지될 때 수신할 수 있는 Amazon SNS 알림을 보여줍니다.

{
  "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ORGANIZATIONAL_UNIT_DELETED",
  "RemediationStep" : "Delete organizational unit in Control Tower",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE"
}

해결 방법

이 드리프트는 기본 OU에서만 발생하므로 해결 방법은 landing zone을 업데이트하는 것입니다. 다른 유형의 OU가 삭제되면 AWS Control Tower가 자동으로 업데이트됩니다.

계정 및 OU 드리프트 해결에 대한 자세한 내용은 AWS Control Tower 외부에서 리소스를 관리하는 경우 단원을 참조하십시오.

Security Hub 컨트롤 드리프트

이러한 유형의 드리프트는 AWS Security Hub 서비스 관리형 표준: AWS Control Tower의 일부인 컨트롤이 드리프트 상태를 보고할 때 발생합니다. AWS Security Hub 서비스 자체는 이러한 컨트롤에 대한 드리프트 상태를 보고하지 않습니다. 대신 서비스는 조사 결과를 AWS Control Tower에 보냅니다.

또한, AWS Control Tower가 Security Hub로부터 24시간 이상 상태 업데이트를 받지 않은 경우에도 Security Hub 제어 드리프트를 감지할 수 있습니다. 이러한 결과가 예상대로 접수되지 않을 경우, AWS Control Tower는 제어가 드리프트 상태인지 확인합니다. 다음 예는 이러한 유형의 드리프트가 감지될 때 수신할 수 있는 Amazon SNS 알림을 보여줍니다.

{
"Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard",
"MasterAccountId" : "123456789XXX",
"ManagementAccountId" : "123456789XXX",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "SECURITY_HUB_CONTROL_DISABLED",
"RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.",
"AccountId" : "7876543219XXX",
"ControlId" : "PYBETSAGNUZB",
"ControlName" : "EBS snapshots should not be publicly restorable",
"ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB",
"Region" : "us-east-1"
}

해결 방법

계정이 300개 미만인 OU의 경우 해결 방법은 OU를 다시 등록하여 제어를 원래 상태로 재설정하는 것입니다. 모든 OU에 대해 콘솔 또는 AWS Control Tower API를 통해 제어를 제거했다가 다시 활성화할 수 있으며, 이렇게 하면 제어도 재설정됩니다.

계정 및 OU 드리프트 해결에 대한 자세한 내용은 AWS Control Tower 외부에서 리소스를 관리하는 경우 단원을 참조하십시오.

신뢰할 수 있는 액세스가 비활성화됨

이러한 유형의 드리프트는 AWS Control Tower 랜딩 존에 적용됩니다. 이는 AWS Control Tower 랜딩 존을 설정한 AWS Organizations 후 AWS Control Tower에 대한 신뢰할 수 있는 액세스를 비활성화할 때 발생합니다.

신뢰할 수 있는 액세스가 비활성화되면 AWS Control Tower는 더 이상 변경 이벤트를 수신하지 않습니다 AWS Organizations. AWS Control Tower는 이러한 변경 이벤트를 기반으로 동기화 상태를 유지합니다. AWS Organizations따라서 AWS Control Tower는 계정 및 OU의 조직 변경을 놓칠 수 있습니다. 따라서 landing Zone을 업데이트할 때마다 각 OU를 다시 등록하는 것이 중요합니다.

예: 아마존 SNS 알림

다음은 이러한 유형의 드리프트가 발생할 때 수신하는 Amazon SNS 알림의 예입니다.

{
  "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "TRUSTED_ACCESS_DISABLED",
  "RemediationStep" : "Repair Control Tower landing zone."
}

해결 방법

AWS Control Tower는 AWS Control Tower 콘솔에서 이러한 유형의 드리프트가 발생하면 사용자에게 알려줍니다. 해결 방법은 AWS Control Tower 랜딩 존을 수리하는 것입니다. 자세한 내용은 드리프트 해결을 참조하십시오.