Detecte e resolva desvios na AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Detecte e resolva desvios na AWS Control Tower

Identificar e resolver oscilações é uma tarefa de operações regulares para administradores de contas de gerenciamento da AWS Control Tower. Resolver a oscilação ajuda a garantir a conformidade com os requisitos de governança.

Quando você cria a landing zone, a landing zone e todas as UOs (organizacionais), contas e recursos são compatíveis com as regras de governança impostas pelas proteções escolhidas. À medida que você e os membros da organização usam a landing zone, podem ocorrer alterações nesse status de conformidade. Algumas mudanças podem ser acidentais e algumas podem ser feitas intencionalmente para responder a eventos operacionais sensíveis ao tempo.

A detecção de oscilações ajuda a identificar recursos que precisam de alterações ou atualizações de configuração para resolver a oscilação.

Detecção de oscilação

A AWS Control Tower detecta desvios automaticamente. Para detectar desvios, oAWSControlTowerAdminexige acesso persistente à sua conta de gerenciamento para que a AWS Control Tower possa fazer chamadas de API somente leitura paraAWS Organizations. Essas chamadas de API aparecem comoAWS CloudTrail.

O desvio é exibido nas notificações do Amazon Simple Notification Service (Amazon SNS) do agregadas na conta de auditoria. As notificações em cada conta-membro enviam alertas para um tópico do Amazon SNS local e uma função do Lambda.

Os administradores de contas-membro podem (e como melhor prática, devem) assinar notificações de oscilação do SNS para contas específicas. Por exemplo, as receitasaws-controltower-AggregateSecurityNotificationsO tópico SNS fornece notificações de desvio. O console do AWS Control Tower indica aos administradores de contas de gerenciamento quando a oscilação ocorreu. Para obter mais informações sobre tópicos do SNS para detecção e notificação de oscilação, consulte.Prevenção e notificação de deriva.

Eliminação de duplicação de notificação de

Se o mesmo tipo de desvio ocorrer no mesmo conjunto de recursos várias vezes, a AWS Control Tower enviará uma notificação do SNS somente para a instância inicial de desvio. Se a AWS Control Tower detectar que essa instância de desvio foi corrigida, ela enviará outra notificação somente se o desvio ocorrer novamente para esses recursos idênticos.

Exemplos: O desvio de conta e o desvio de SCP são tratados da seguinte maneira

  • Se você modificar o mesmo SCP gerenciado várias vezes, receberá uma notificação pela primeira vez que modificá-lo.

  • Se você modificar um SCP gerenciado, corrigir o desvio e modificá-lo novamente, você receberá duas notificações.

Tipos de oscilação de conta

  • Conta movida entre OUs

  • Conta removida da organização

Tipos de oscilação de política

  • SCP atualizado

  • SCP conectado à OU

  • SCP desanexado da OU

  • SCP anexado à conta

Para obter mais informações, consulte Tipos de oscilação de governança.

Resolver oscilação

Embora a detecção seja automática, as etapas para resolver oscilações devem ser feitas por meio do console.

  • Muitos tipos de oscilação podem ser resolvidos por meio doConfigurações da zona de pouso. É possível escolher o.Reparobotão noVersões do :seção para reparar esses tipos de deriva.

  • Se sua OU tiver menos de 300 contas, você poderá reparar desvios em contas provisionadas de Account Factory, ou desvio de SCP, selecionandoRegistrar novamente OUnoOrganizaçãoou noDetalhes da UO.

  • Você pode ser capaz de reparar desvios de conta, comoConta-membro migrada, atualizando uma conta individual. Para obter mais informações, consulte Atualizar a conta no console do.

nota

Quando você repara sua landing zone, a landing zone é atualizada para a versão mais recente da landing zone.

Considerações sobre varreduras de desvio e SCP

A AWS Control Tower verifica seus SCPs gerenciados diariamente para verificar se os guarda-corpos correspondentes foram aplicados corretamente e se não foram desviados. Para recuperar os SCPs e executar verificações neles, a AWS Control Tower chamaAWS Organizationsem seu nome, usando uma função em sua conta de gerenciamento.

Se uma verificação da AWS Control Tower descobrir oscilação, você receberá uma notificação. A AWS Control Tower envia apenas uma notificação por problema de desvio. Portanto, se sua landing zone já estiver em um estado de desvio, você não receberá notificações adicionais, a menos que um novo item de desvio seja encontrado.

AWS Organizationslimita a frequência com que cada uma de suas APIs pode ser chamada. Esse limite é expresso em transações por segundo (TPS) e é conhecido como.Limite de TPS,taxa de Limitação do, ouTaxa de solicitação de API. Quando a AWS Control Tower audita seus SCPs ligando paraAWS Organizations, as chamadas de API que a AWS Control Tower faz são contabilizadas para o limite de TPS, pois a AWS Control Tower usa a conta de gerenciamento para fazer as chamadas.

Em raras situações, esse limite pode ser atingido quando você chama as mesmas APIs repetidamente, seja por meio de uma solução de terceiros ou de um script personalizado que você escreveu. Por exemplo, se você e a AWS Control Tower chamarem o mesmoAWS OrganizationsAPIs no mesmo momento (dentro de 1 segundo) e os limites de TPS são atingidos, as chamadas subsequentes são limitadas. Ou seja, essas chamadas retornam um erro comoRate exceeded.

Se uma taxa de solicitação de API for excedida

  • Se a AWS Control Tower atingir o limite e for limitada, pausaremos a execução da auditoria e a retomaremos posteriormente.

  • Se sua carga de trabalho atingir o limite e for limitada, o resultado pode variar de uma leve latência até um erro fatal na carga de trabalho, dependendo de como a carga de trabalho está configurada. Esse caso extremo é algo para se estar ciente.

Uma varredura SCP diária consiste em

  1. Recuperando todas as suas OUs.

  2. Para cada OU registrada, recuperando todos os SCPs gerenciados pela AWS Control Tower que estão conectados à OU. Os SCPs gerenciados têm identificadores que começam comaws-guardrails.

  3. Para cada guardrail preventivo habilitado na OU, verificando se a declaração de política do guarda-corpo está presente nos SCPs gerenciados da OU.

As varreduras diárias consomem o TPS para o seguinteAWS OrganizationsAPIs:

listOrganizationalUnits

8 rajadas, 5 sustentadas

1 por landing zone

listPoliciesForTarget

8 rajadas, 5 sustentadas

1 por UO registrada

describePolicy

2 TPS

1 por SCP gerenciada

Uma UO pode ter um ou mais SCPs gerenciados.

Tipos de deriva para reparar imediatamente

A maioria dos tipos de oscilações pode ser resolvida pelos administradores. Alguns tipos de oscilação devem ser reparados imediatamente, incluindo a exclusão de uma unidade organizacional que a landing zone do AWS Control Tower do requer. Estes são alguns exemplos de grandes oscilação que você pode evitar:

  • Não excluir a UO de segurança: A unidade organizacional originalmente chamadaSegurançadurante a configuração landing zone pela AWS Control Tower não deve ser excluída. Se você excluí-la, verá uma mensagem de erro instruindo a reparar a zona de destino imediatamente. Você não poderá executar nenhuma outra ação na AWS Control Tower até que o reparo seja concluído.

  • Não excluir funções necessárias: O AWS Control TowerAWS Identity and Access Management(IAM) quando você faz login no console doDesoscilação de função. Se essas funções estiverem ausentes ou inacessíveis, você verá uma página de erro instruindo a reparar a zona de destino. Essas funções sãoAWSControlTowerAdmin AWSControlTowerCloudTrailRole AWSControlTowerStackSetRole.

  • Não exclua todas as OUs adicionais: Se você excluir a unidade organizacional originalmente denominadaSandboxdurante a configuração landing zone pela AWS Control Tower, a landing zone estará em um estado de oscilação, mas você ainda poderá usar o AWS Control Tower. Pelo menos uma UO adicional é necessária para que o AWS Control Tower opere, mas ela não precisa ser aSandboxOU.

  • Não remova contas compartilhadas: Se você remover contas compartilhadas de OUs fundamentais, como remover a conta de registro da OU de segurança, sua landing zone estará em um estado de desvio e deverá ser reparada antes que você possa continuar usando o console da AWS Control Tower.

Mudanças reparáveis nos recursos

Veja a seguir uma lista de alterações nos recursos do AWS Control Tower do que são permitidas, embora elas criem uma oscilação reparável. Os resultados dessas operações permitidas podem ser visualizados no console do AWS Control Tower, embora uma atualização possa ser necessária.

Para obter mais informações sobre como resolver a oscilação resultante, consulte.Gerenciar recursos fora da AWS Control Tower.

Alterações permitidas fora do console da AWS Control Tower

  • Altere o nome de uma UO registrada.

  • Altere o nome da UO de segurança.

  • Altere o nome das contas dos membros em OUs não fundamentais.

  • Altere o nome das contas compartilhadas da AWS Control Tower na OU de segurança.

  • Excluir uma UO não principal.

  • Exclua uma conta cadastrada de uma OU não fundamental.

  • Altere o endereço de e-mail de uma conta compartilhada na UO de segurança.

  • Altere o endereço de e-mail de uma conta de membro em uma UO registrada.

nota

Mover contas entre UOs é considerado uma oscilação e deve ser reparado.

Oscilação e provisionamento de contas

Se sua landing zone estiver em um estado de oscilação, oEnrollno AWS Control Tower não funcionará. Nesse caso, é necessário provisionar contas no AWS Service Catalog. Para obter instruções, consulte Provisionar contas de Account FactoryAWS Service Catalog.

Em específico, se você fez certas alterações nas suas contas por meio deAWS Service Catalog, como alterar o nome do seu portfólio,Enrollrecurso não funcionará.