AWS Control Tower Tower의 수명 주기 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Control Tower Tower의 수명 주기

AWS Control Tower Tower에서 기록한 일부 이벤트는수명 주기 이벤트. 수명 주기 이벤트의 목적은완료리소스 상태를 변경하는 특정 AWS Control Tower 작업의 경우 수명 주기 이벤트는 AWS Control Tower Tower가 생성하거나 관리하는 리소스 (예: OU), 계정 및 가드레일 등 리소스에 적용됩니다.

AWS Control Tower 수명 주기 이벤트의 특성

  • 각 수명 주기 이벤트에 대해 이벤트 로그는 원래 Control Tower 작업이 성공적으로 완료되었는지 또는 실패했는지 여부를 표시합니다.

  • AWSCloudTrail각 수명 주기 이벤트를 로 자동 기록합니다.비 API AWS 서비스 이벤트. 자세한 내용은 단원을 참조하십시오.AWSCloudTrail사용 설명서.

  • 또한 각 수명 주기 이벤트는 Amazon으로 전달됩니다.EventBridge및 AmazonCloudWatch이벤트 서비스.

AWS Control Tower Tower의 수명 주기 이벤트는 두 가지 주요 이점을 제공합니다

  • 수명 주기 이벤트는 AWS Control Tower 작업의 완료를 등록하므로 Amazon을 생성할 수 있습니다.EventBridgeAmazonCloudWatch수명 주기 이벤트의 상태를 기반으로 자동화 워크플로의 다음 단계를 트리거할 수 있는 이벤트 규칙입니다.

  • 로그는 관리자 및 감사자가 조직의 특정 활동 유형을 검토하는 데 도움이 되는 추가 세부 정보를 제공합니다.

수명 주기 이벤트 작동 방식

AWS Control Tower Tower는 작업을 구현하기 위한 여러 서비스에 의존합니다. 따라서 각 수명 주기 이벤트는 일련의 작업이 완료된 후에만 기록됩니다. 예를 들어 OU에서 가드레일을 활성화하면 AWS Control Tower Tower에서 요청을 구현하는 일련의 하위 단계를 시작합니다. 전체 하위 단계의 최종 결과는 수명 주기 이벤트의 상태로 로그에 기록됩니다.

  • 모든 기본 하위 단계가 성공적으로 완료되면 수명 주기 이벤트 상태가 성공으로 기록됩니다.

  • 기본 하위 단계 중 하나라도 성공적으로 완료되지 않은 경우 수명 주기 이벤트 상태는 실패함으로 기록됩니다.

각 수명 주기 이벤트에는 AWS Control Tower 작업이 시작된 시점을 보여 주는 타임스탬프와 수명 주기 이벤트가 완료된 시점을 보여 주고 성공 또는 실패를 표시하는 또 다른 타임스탬프가 포함되어 있습니다.

Control Tower에서 수명 주기 이벤트 보기

에서 수명 주기 이벤트를 볼 수 있습니다.활동AWS Control Tower 대시보드의 페이지를 참조하십시오.

  • 활동 페이지로 이동하려면 왼쪽 탐색 창에서 활동을 선택합니다.

  • 특정 이벤트에 대한 세부 정보를 보려면 이벤트를 선택한 다음 오른쪽 상단의 세부 정보 보기 버튼을 선택합니다.

워크플로에 AWS Control Tower 수명 주기 이벤트를 통합하는 방법에 대한 자세한 내용은 이 블로그 게시물을 참조하십시오.수명 주기 이벤트를 사용하여 AWS Control Tower 작업을 추적하고 자동화된 워크플로 트리거.

의 예상되는 동작CreateManaged계정 및UpdateManaged계정 수명 주기 이벤트

계정을 생성하거나 AWS Control Tower 에 계정을 등록할 때 이러한 두 작업은 동일한 내부 API를 호출합니다. 프로세스 중에 오류가 발생하면 일반적으로 계정이 생성되었지만 완전히 프로비저닝되지 않은 후에 오류가 발생합니다. 오류가 발생한 후 계정을 다시 생성하려고 시도하거나 프로비저닝된 제품을 업데이트하려고 할 때 AWS Control Tower 에서 계정이 이미 존재한다는 것을 알 수 있습니다.

계정이 존재하기 때문에 AWS Control Tower 타워는UpdateManagedAccount수명 주기 이벤트 대신CreateManagedAccount재시도 요청이 끝날 때의 수명 주기 이벤트입니다. 다른 것을 볼 것으로 예상했을 수도 있습니다.CreateManagedAccount오류 때문에 이벤트입니다. 그러나 다음 중 하나는UpdateManagedAccount수명 주기 이벤트는 예상되고 원하는 동작입니다.

자동화된 방법을 사용하여 계정을 생성하거나 AWS Control Tower 에 등록하려는 경우 Lambda 함수를 프로그래밍하여UpdateManagedAccount수명 주기 이벤트뿐만 아니라CreateManagedAccount수명 주기 이벤트.

수명 주기 이벤트 이름

각 수명 주기 이벤트의 이름은 AWS에서 기록한 원래 AWS Control Tower 작업과 일치하도록 지정됩니다.CloudTrail. 따라서 예를 들어 AWS Control Tower Tower에서 발생한 수명 주기 이벤트CreateManagedAccount CloudTrail이벤트 이름이 지정되었습니다.CreateManagedAccount.

다음 목록의 각 이름은 JSON 형식으로 기록된 세부 정보 예제에 대한 링크입니다. 이 예제에 표시된 추가 세부 정보는 Amazon에서 가져온 것입니다.CloudWatch이벤트 로그.

JSON에서는 주석을 지원하지 않지만 설명용으로 예제에 몇 가지 주석이 추가되었습니다. 주석은 앞에 “//”가 붙고 예제의 오른쪽에 표시됩니다.

이들 예제에서는 일부 계정 이름과 조직 이름이 가려져 있습니다. accountId는 항상 12자리 숫자 시퀀스이며, 예제에서 이 시퀀스는 “xxxxxxxxxx”로 대체됩니다. organizationalUnitID는 문자 및 숫자의 고유한 문자열입니다. 예제에서는 그 형태가 보존되어 있습니다.

  • CreateManagedAccount: 로그는 AWS Control Tower Tower가 계정 팩토리를 사용하여 새 계정을 만들고 프로비저닝하기 위한 모든 작업을 성공적으로 완료했는지 여부를 기록합니다.

  • UpdateManagedAccount: 로그는 가 이전에 Account Factory를 사용하여 만든 계정과 연결된 프로비저닝된 제품을 업데이트하기 위한 모든 작업을 AWS Control Tower Tower가 성공적으로 완료했는지 여부를 기록합니다.

  • EnableGuardrail: 로그는 AWS Control Tower Tower에 의해 생성된 OU에서 가드레일을 활성화하기 위한 모든 작업을 성공적으로 완료했는지 여부를 기록합니다.

  • DisableGuardrail: 로그는 가 AWS Control Tower Tower에 의해 생성된 OU에서 가드레일을 비활성화하기 위한 모든 작업을 성공적으로 완료했는지 여부를 기록합니다.

  • SetupLandingZone: 로그는 AWS Control Tower Tower가 landing zone 존을 설정하기 위한 모든 작업을 성공적으로 완료했는지 여부를 기록합니다.

  • UpdateLandingZone: 로그는 가 기존 landing zone 존을 업데이트하기 위한 모든 작업을 성공적으로 완료했는지 여부를 기록합니다.

  • RegisterOrganizationalUnit: 로그는 가 OU에서 거버넌스 기능을 활성화하기 위한 모든 작업을 성공적으로 완료했는지 여부를 기록합니다.

  • DeregisterOrganizationalUnit: 로그는 가 OU에서 거버넌스 기능을 비활성화하기 위한 모든 작업을 성공적으로 완료했는지 여부를 기록합니다.

  • PrecheckOrganizationalUnit: 로그는 AWS Control Tower 타워에서거버넌스 확장작업이 성공적으로 완료되었습니다.

다음 단원에서는 AWS Control Tower 수명 주기 이벤트 목록을 각 수명 주기 이벤트 유형에 대해 기록된 세부 정보 예제와 함께 제공합니다.

CreateManagedAccount

이 수명 주기 이벤트는 AWS Control Tower Tower가 성공적으로 계정 팩토리를 사용하여 새 계정을 만들고 프로비저닝했는지 여부를 기록합니다. 이 이벤트는 AWS Control Tower Tower에 해당합니다.CreateManagedAccount CloudTrail이벤트를 트리거합니다. 수명 주기 이벤트 로그에는 새로 만든 계정의 accountNameaccountId와 계정이 배치된 OU의 organizationalUnitNameorganizationalUnitId가 포함됩니다.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "CreateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "createManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"XXXXXXXXXXXX" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully created a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }

UpdateManagedAccount

이 수명 주기 이벤트는 AWS Control Tower Tower가 이전에 Account Factory를 사용하여 만든 계정과 연결된 프로비저닝된 제품을 업데이트했는지 여부를 기록합니다. 이 이벤트는 AWS Control Tower Tower에 해당합니다.UpdateManagedAccount CloudTrail이벤트를 트리거합니다. 수명 주기 이벤트 로그에는 연결된 계정의 accountNameaccountId와 업데이트된 계정이 배치된 OU의 organizationalUnitNameorganizationalUnitId가 포함됩니다.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // AWS Control Tower organization management account. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"624281831893" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully updated a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }

EnableGuardrail

이 수명 주기 이벤트는 AWS Control Tower Tower가 AWS Control Tower Tower에 의해 관리하는 OU에서 가드레일을 활성화했는지 여부를 기록합니다. 이 이벤트는 AWS Control Tower Tower에 해당합니다.EnableGuardrail CloudTrail이벤트를 트리거합니다. 수명 주기 이벤트 로그에는 가드레일의 guardrailIdguardrailBehavior와 가드레일이 활성화된 OU의 organizationalUnitIdorganizationalUnitName이 포함됩니다.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "EnableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "enableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }

DisableGuardrail

이 수명 주기 이벤트는 AWS Control Tower Tower가 AWS Control Tower Tower에 의해 관리하는 OU에서 가드레일을 비활성화했는지 여부를 기록합니다. 이 이벤트는 AWS Control Tower Tower에 해당합니다.DisableGuardrail CloudTrail이벤트를 트리거합니다. 수명 주기 이벤트 로그에는 가드레일의 guardrailIdguardrailBehavior와 가드레일이 비활성화된 OU의 organizationalUnitIdorganizationalUnitName이 포함됩니다.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DisableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "disableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }

SetupLandingZone

이 수명 주기 이벤트는 AWS Control Tower Tower가 landing zone 존을 성공적으로 설정했는지 여부를 기록 이 이벤트는 AWS Control Tower Tower에 해당합니다.SetupLandingZone CloudTrail이벤트를 트리거합니다. 수명 주기 이벤트 로그에는rootOrganizationalId는 AWS Control Tower Tower가 관리 계정에서 생성하는 조직의 ID입니다. 로그 항목에는 다음 항목도 포함됩니다.organizationalUnitNameorganizationalUnitId각 OU에 대해accountNameaccountId각 계정에 대해 AWS Control Tower Tower가 landing zone 존을 설정할 때 생성된 각 계정입니다.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management-account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "SetupLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "setupLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire lifecycle operation. "message": "AWS Control Tower successfully set up a new landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

UpdateLandingZone

이 수명 주기 이벤트는 AWS Control Tower Tower가 기존 landing zone 존을 업데이트했는지 여부를 기록 이 이벤트는 AWS Control Tower Tower에 해당합니다.UpdateLandingZone CloudTrail이벤트를 트리거합니다. 수명 주기 이벤트 로그에는rootOrganizationalId는 AWS Control Tower Tower에 의해 관리되는 (업데이트된) 조직의 ID입니다. 로그 항목에는 다음 항목도 포함됩니다.organizationalUnitNameorganizationalUnitId각 OU에 대해accountNameaccountIdAWS Control Tower Tower가 원래 landing zone 존을 설정할 때 이전에 생성된 각 계정의 경우입니다.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire operation. "message": "AWS Control Tower successfully updated a landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

RegisterOrganizationalUnit

이 수명 주기 이벤트는 AWS Control Tower Tower가 OU에서 거버넌스 기능을 활성화했는지 여부를 기록합니다 이 이벤트는 AWS Control Tower Tower에 해당합니다.RegisterOrganizationalUnit CloudTrail이벤트를 트리거합니다. 수명 주기 이벤트 로그에는organizationalUnitNameorganizationalUnitIdAWS Control Tower Tower가 거버넌스 아래 가져온 OU의 중 하나입니다.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "123456789012", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "RegisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "registerOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully registered an organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", "organizationalUnitId": "ou-adpf-302pk332" } "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

DeregisterOrganizationalUnit

이 수명 주기 이벤트는 AWS Control Tower Tower가 OU에서 거버넌스 기능을 비활성화했는지 여부를 기록합니다 이 이벤트는 AWS Control Tower Tower에 해당합니다.DeregisterOrganizationalUnit CloudTrail이벤트를 트리거합니다. 수명 주기 이벤트 로그에는organizationalUnitNameorganizationalUnitIdAWS Control Tower가 거버넌스 기능을 비활성화한 OU의 수입니다.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DeregisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "deregisterOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", // Foundational OU name. "organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID. }, "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

PrecheckOrganizationalUnit

이 수명 주기 이벤트는 AWS Control Tower Tower가 성공적으로 OU에서 사전 검사를 수행했는지 여부를 기록합니다 이 이벤트는 AWS Control Tower Tower에 해당합니다.PrecheckOrganizationalUnit CloudTrail이벤트를 트리거합니다. 수명 주기 이벤트 로그에는 에 대한 필드가 포함되어 있습니다.Id,Name, 및failedPrechecksAWS Control Tower 가 OU 등록 프로세스 중에 사전 검사를 수행한 각 리소스에 대한 값입니다.

이벤트 로그에는 사전 검사가 수행된 중첩된 계정에 대한 정보도 포함되어 있습니다.accountName,accountId, 및failedPrechecks필드.

만약failedPrechecksvalue 가 비어 있습니다. 즉, 해당 리소스에 대한 모든 사전 검사가 성공적으로 전달되었음을 의미합니다.

  • 이 이벤트는 사전 검사 실패가 있는 경우에만 발생합니다.

  • 빈 OU를 등록하는 경우에는 이 이벤트가 발생하지 않습니다.

이벤트 예제:

{ "eventVersion": "1.08", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2021-09-20T22:45:43Z", "eventSource": "controltower.amazonaws.com", "eventName": "PrecheckOrganizationalUnit", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "XXXXXXXXXXXX", "serviceEventDetails": { "precheckOrganizationalUnitStatus": { "organizationalUnit": { "organizationalUnitName": "Ou-123", "organizationalUnitId": "ou-abcd-123456", "failedPrechecks": [ "SCP_CONFLICT" ] }, "accounts": [ { "accountName": "Child Account 1", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Child Account 2", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Management Account", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "MISSING_PERMISSIONS_AF_PRODUCT" ] }, { "accountName": "Child Account 3", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [] }, ... ], "state": "FAILED", "message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.", "requestedTimestamp": "2021-09-20T22:44:02+0000", "completedTimestamp": "2021-09-20T22:45:43+0000" } }, "eventCategory": "Management" }