기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Control Tower의 라이프사이클 이벤트
AWS Control Tower에서 기록하는 일부 이벤트는 수명 주기 이벤트입니다. 수명 주기 이벤트의 목적은 리소스 상태를 변경하는 특정 AWS Control Tower 작업의 완료를 표시하는 것입니다. 수명 주기 이벤트는 조직 단위 (OU), 계정, 제어 등 AWS Control Tower가 생성하거나 관리하는 리소스에 적용됩니다.
AWS Control Tower 수명 주기 이벤트의 특징
-
각 수명 주기 이벤트에 대해 이벤트 로그는 원래 Control Tower 작업이 성공적으로 완료되었는지 또는 실패했는지 여부를 표시합니다.
-
AWS CloudTrail 각 수명 주기 이벤트를 비 API AWS 서비스 이벤트로 자동 기록합니다. 자세한 내용은 AWS CloudTrail 사용 설명서를 참조하십시오.
-
각 라이프사이클 이벤트는 Amazon EventBridge 및 Amazon CloudWatch 이벤트 서비스에도 전달됩니다.
AWS Control Tower의 라이프사이클 이벤트는 다음과 같은 두 가지 주요 이점을 제공합니다.
-
수명 주기 이벤트는 AWS Control Tower 작업의 완료를 등록하므로 수명 주기 CloudWatch 이벤트의 상태에 따라 자동화 워크플로의 다음 단계를 트리거할 수 있는 Amazon EventBridge 규칙 또는 Amazon Events 규칙을 생성할 수 있습니다.
-
로그는 관리자 및 감사자가 조직의 특정 활동 유형을 검토하는 데 도움이 되는 추가 세부 정보를 제공합니다.
수명 주기 이벤트 작동 방식
AWS Control Tower는 여러 서비스를 사용하여 조치를 구현합니다. 따라서 각 수명 주기 이벤트는 일련의 작업이 완료된 후에만 기록됩니다. 예를 들어 OU에서 컨트롤을 활성화하면 AWS Control Tower는 요청을 구현하는 일련의 하위 단계를 시작합니다. 전체 하위 단계의 최종 결과는 수명 주기 이벤트의 상태로 로그에 기록됩니다.
-
모든 기본 하위 단계가 성공적으로 완료되면 수명 주기 이벤트 상태가 성공으로 기록됩니다.
-
기본 하위 단계 중 하나라도 성공적으로 완료되지 않은 경우 수명 주기 이벤트 상태는 실패함으로 기록됩니다.
각 수명 주기 이벤트에는 AWS Control Tower 작업이 시작된 시기를 보여주는 로깅된 타임스탬프와 수명 주기 이벤트가 완료되어 성공 또는 실패를 표시하는 또 다른 타임스탬프가 포함됩니다.
Control Tower에서 수명 주기 이벤트 보기
AWS Control Tower 대시보드의 활동 페이지에서 수명 주기 이벤트를 볼 수 있습니다.
-
활동 페이지로 이동하려면 왼쪽 탐색 창에서 활동을 선택합니다.
-
특정 이벤트에 대한 세부 정보를 보려면 이벤트를 선택한 다음 오른쪽 상단의 세부 정보 보기 버튼을 선택합니다.
AWS Control Tower 수명 주기 이벤트를 워크플로에 통합하는 방법에 대한 자세한 내용은 이 블로그 게시물인 수명 주기 이벤트를 사용하여 AWS Control Tower 작업을 추적하고 자동화된 워크플로를 트리거하는
예상 동작 CreateManagedAccount 및 UpdateManagedAccount 수명 주기 이벤트
계정을 만들거나 AWS Control Tower에 계정을 등록하면 이 두 작업이 동일한 내부 API를 호출합니다. 프로세스 중에 오류가 발생하는 경우 일반적으로 계정이 생성되었지만 완전히 프로비저닝되지 않은 후에 오류가 발생합니다. 오류가 발생한 후 계정을 다시 생성하거나 프로비저닝된 제품을 업데이트하려고 하면 AWS Control Tower는 계정이 이미 존재한다고 판단합니다.
계정이 존재하므로 AWS Control Tower는 재시도 요청 종료 시 CreateManagedAccount 수명 UpdateManagedAccount 주기 이벤트 대신 수명 주기 이벤트를 기록합니다. 오류로 인해 다른 CreateManagedAccount 이벤트가 발생할 것으로 예상했을 수 있습니다. 하지만 UpdateManagedAccount 라이프사이클 이벤트는 예상되고 바람직한 동작입니다.
자동화된 방법을 사용하여 계정을 생성하거나 AWS Control Tower에 등록하려는 경우 수명 주기 이벤트뿐 아니라 수명 주기 이벤트도 UpdateManagedAccount찾도록 Lambda 함수를 프로그래밍하십시오. CreateManagedAccount
수명 주기 이벤트 이름
각 수명 주기 이벤트는 원래 AWS Control Tower 작업에 해당하도록 이름이 지정되며, 이 작업도 CloudTrail AWS에서 기록합니다. 따라서 예를 들어, AWS Control Tower 이벤트에서 시작된 수명 주기 CreateManagedAccount CloudTrail 이벤트는 이름이 CreateManagedAccount 지정됩니다.
다음 목록의 각 이름은 JSON 형식으로 기록된 세부 정보 예제에 대한 링크입니다. 이 예제에 표시된 추가 세부 정보는 Amazon CloudWatch 이벤트 로그에서 가져온 것입니다.
JSON에서는 주석을 지원하지 않지만 설명용으로 예제에 몇 가지 주석이 추가되었습니다. 주석은 앞에 “//”가 붙고 예제의 오른쪽에 표시됩니다.
이들 예제에서는 일부 계정 이름과 조직 이름이 가려져 있습니다. accountId는 항상 12자리 숫자 시퀀스이며, 예제에서 이 시퀀스는 “xxxxxxxxxx”로 대체됩니다. organizationalUnitID는 문자 및 숫자의 고유한 문자열입니다. 예제에서는 그 형태가 보존되어 있습니다.
-
CreateManagedAccount: 로그에는 AWS Control Tower가 어카운트 팩토리를 사용하여 새 계정을 생성하고 프로비저닝하는 모든 작업을 성공적으로 완료했는지 여부가 기록됩니다.
-
UpdateManagedAccount: 로그에는 AWS Control Tower가 이전에 계정 팩토리를 사용하여 생성한 계정과 연결된 프로비저닝된 제품을 업데이트하기 위한 모든 작업을 성공적으로 완료했는지 여부가 기록됩니다.
-
EnableGuardrail: 로그에는 AWS Control Tower가 AWS Control Tower에서 생성한 OU에서 제어를 활성화하기 위한 모든 작업을 AWS Control Tower가 성공적으로 완료했는지 여부가 기록됩니다.
-
DisableGuardrail: 로그에는 AWS Control Tower가 AWS Control Tower에서 생성한 OU에서 제어를 비활성화하는 모든 작업을 AWS Control Tower가 성공적으로 완료했는지 여부가 기록됩니다.
-
SetupLandingZone: 로그에는 AWS Control Tower가 랜딩 존 설정을 위한 모든 작업을 성공적으로 완료했는지 여부가 기록됩니다.
-
UpdateLandingZone: 로그에는 AWS Control Tower가 기존 착륙 지대를 업데이트하기 위한 모든 작업을 성공적으로 완료했는지 여부가 기록됩니다.
-
RegisterOrganizationalUnit: 로그에는 AWS Control Tower가 OU에서 거버넌스 기능을 활성화하기 위한 모든 작업을 성공적으로 완료했는지 여부가 기록됩니다.
-
DeregisterOrganizationalUnit: 로그에는 AWS Control Tower가 OU에서 거버넌스 기능을 비활성화하는 모든 작업을 성공적으로 완료했는지 여부가 기록됩니다.
-
PrecheckOrganizationalUnit: 로그에는 AWS Control Tower가 거버넌스 확장 작업을 성공적으로 완료하는 데 방해가 되는 리소스를 감지했는지 여부가 기록됩니다.
다음 섹션에서는 각 유형의 수명 주기 이벤트에 대해 기록된 세부 정보의 예와 함께 AWS Control Tower 수명 주기 이벤트 목록을 제공합니다.
CreateManagedAccount
이 수명 주기 이벤트는 AWS Control Tower가 어카운트 팩토리를 사용하여 새 계정을 성공적으로 생성하고 프로비저닝했는지 여부를 기록합니다. 이 이벤트는 AWS Control Tower CreateManagedAccount CloudTrail 이벤트에 해당합니다. 수명 주기 이벤트 로그에는 새로 만든 계정의 accountName 및 accountId와 계정이 배치된 OU의 organizationalUnitName 및 organizationalUnitId가 포함됩니다.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "CreateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "createManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"XXXXXXXXXXXX" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully created a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }
UpdateManagedAccount
이 수명 주기 이벤트는 AWS Control Tower가 이전에 어카운트 팩토리를 사용하여 생성한 계정과 연결된 프로비저닝된 제품을 성공적으로 업데이트했는지 여부를 기록합니다. 이 이벤트는 AWS Control Tower UpdateManagedAccount CloudTrail 이벤트에 해당합니다. 수명 주기 이벤트 로그에는 연결된 계정의 accountName 및 accountId와 업데이트된 계정이 배치된 OU의 organizationalUnitName 및 organizationalUnitId가 포함됩니다.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // AWS Control Tower organization management account. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"624281831893" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully updated a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }
EnableGuardrail
이 수명 주기 이벤트는 AWS Control Tower에서 관리하는 OU에 대한 제어를 AWS Control Tower가 성공적으로 활성화했는지 여부를 기록합니다. 이 이벤트는 AWS Control Tower EnableGuardrail CloudTrail 이벤트에 해당합니다. 수명 주기 이벤트 로그에는 guardrailBehavior 컨트롤의 OU와 컨트롤이 organizationalUnitName 활성화된 organizationalUnitId OU의 OU가 포함됩니다. guardrailId
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "EnableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "enableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }
DisableGuardrail
이 수명 주기 이벤트는 AWS Control Tower에서 관리하는 OU의 제어를 AWS Control Tower가 성공적으로 비활성화했는지 여부를 기록합니다. 이 이벤트는 AWS Control Tower DisableGuardrail CloudTrail 이벤트에 해당합니다. 수명 주기 이벤트 로그에는 guardrailBehavior 컨트롤의 O와 컨트롤이 organizationalUnitName 비활성화된 organizationalUnitId OU의 OU가 포함됩니다. guardrailId
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DisableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "disableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }
SetupLandingZone
이 수명 주기 이벤트는 AWS Control Tower가 성공적으로 랜딩 존을 설정했는지 여부를 기록합니다. 이 이벤트는 AWS Control Tower SetupLandingZone CloudTrail 이벤트에 해당합니다. 수명 주기 이벤트 로그에는 AWS Control Tower가 관리 계정에서 생성하는 조직의 ID인 가 포함됩니다. rootOrganizationalId 로그 항목에는 AWS Control Tower가 랜딩 존을 설정할 때 생성되는 각 accountId OU에 대한 accountName 및 및 각 계정에 대한 및 도 포함됩니다. organizationalUnitName organizationalUnitId
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management-account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "SetupLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "setupLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire lifecycle operation. "message": "AWS Control Tower successfully set up a new landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
UpdateLandingZone
이 수명 주기 이벤트는 AWS Control Tower가 기존 랜딩 존을 성공적으로 업데이트했는지 여부를 기록합니다. 이 이벤트는 AWS Control Tower UpdateLandingZone CloudTrail 이벤트에 해당합니다. 수명 주기 이벤트 로그에는 AWS Control Tower에서 관리하는 (업데이트된) 조직의 ID인 가 포함됩니다. rootOrganizationalId 로그 항목에는 각 organizationalUnitId OU에 대한 organizationalUnitName 및, 이전에 AWS Control Tower가 랜딩 존을 처음 설정할 때 생성된 각 계정에 accountId 대한 accountName 및 도 포함됩니다.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire operation. "message": "AWS Control Tower successfully updated a landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
RegisterOrganizationalUnit
이 수명 주기 이벤트는 AWS Control Tower가 OU에서 거버넌스 기능을 성공적으로 활성화했는지 여부를 기록합니다. 이 이벤트는 AWS Control Tower RegisterOrganizationalUnit CloudTrail 이벤트에 해당합니다. 수명 주기 이벤트 로그에는 AWS Control Tower가 거버넌스 하에 설정한 organizationalUnitId OU의 OU가 포함됩니다. organizationalUnitName
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "123456789012", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "RegisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "registerOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully registered an organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", "organizationalUnitId": "ou-adpf-302pk332" } "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
DeregisterOrganizationalUnit
이 수명 주기 이벤트는 AWS Control Tower가 OU의 거버넌스 기능을 성공적으로 비활성화했는지 여부를 기록합니다. 이 이벤트는 AWS Control Tower DeregisterOrganizationalUnit CloudTrail 이벤트에 해당합니다. 수명 주기 이벤트 로그는 AWS Control Tower가 거버넌스 기능을 비활성화한 organizationalUnitId OU의 종료를 포함합니다. organizationalUnitName
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DeregisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "deregisterOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", // Foundational OU name. "organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID. }, "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
PrecheckOrganizationalUnit
이 수명 주기 이벤트는 AWS Control Tower가 OU에 대한 사전 검사를 성공적으로 수행했는지 여부를 기록합니다. 이 이벤트는 AWS Control Tower PrecheckOrganizationalUnit CloudTrail 이벤트에 해당합니다. 수명 주기 이벤트 로그에는 AWS Control Tower가 OU 등록 프로세스 중에 사전 점검을 수행한 각 리소스의 IdName, 및 failedPrechecks 값에 대한 필드가 포함되어 있습니다.
이벤트 로그에는,, 필드를 포함하여 사전 점검이 수행된 중첩 계정에 대한 정보도 포함되어 있습니다. accountName accountId failedPrechecks
failedPrechecks값이 비어 있으면 해당 리소스에 대한 모든 사전 검사가 성공적으로 통과되었음을 의미합니다.
-
이 이벤트는 사전 검사에 실패한 경우에만 발생합니다.
-
빈 OU를 등록하는 경우에는 이 이벤트가 발생하지 않습니다.
이벤트 예:
{ "eventVersion": "1.08", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2021-09-20T22:45:43Z", "eventSource": "controltower.amazonaws.com", "eventName": "PrecheckOrganizationalUnit", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "XXXXXXXXXXXX", "serviceEventDetails": { "precheckOrganizationalUnitStatus": { "organizationalUnit": { "organizationalUnitName": "Ou-123", "organizationalUnitId": "ou-abcd-123456", "failedPrechecks": [ "SCP_CONFLICT" ] }, "accounts": [ { "accountName": "Child Account 1", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Child Account 2", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Management Account", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "MISSING_PERMISSIONS_AF_PRODUCT" ] }, { "accountName": "Child Account 3", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [] }, ... ], "state": "FAILED", "message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.", "requestedTimestamp": "2021-09-20T22:44:02+0000", "completedTimestamp": "2021-09-20T22:45:43+0000" } }, "eventCategory": "Management" }
