As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Tipos de oscilação de governança
A deriva de governança, também chamada de deriva organizacional, ocorre quando OUs, SCPs e contas de membros são alteradas ou atualizadas. Os tipos de mudança de governança que podem ser detectados no AWS Control Tower são os seguintes:
Outro tipo de deriva é a deriva da landing zone, que pode ser encontrada na conta de gerenciamento. A variação da zona de destino consiste na mudança de função do IAM ou em qualquer tipo de mudança organizacional que afete especificamente OUs básicas e contas compartilhadas.
Um caso especial de deriva na zona de pouso é a deriva de função, que é detectada quando uma função necessária não está disponível. Se esse tipo de desvio ocorrer, o console exibirá uma página de aviso e algumas instruções sobre como restaurar a função. Sua landing zone não estará disponível até que a mudança de função seja resolvida. Para obter mais informações sobre o drift, consulte Não exclua as funções necessárias na seção chamadaTipos de desvio a serem resolvidos imediatamente.
O AWS Control Tower não se preocupa com outros serviços que funcionam com a conta de gerenciamento, incluindo, CloudTrail CloudWatch, IAM Identity Center,, AWS CloudFormation AWS Config, e assim por diante. Nenhuma detecção de desvios está disponível em contas infantis, porque essas contas são protegidas por controles preventivos obrigatórios.
No entanto, ele relata desvios em relação aos controles que fazem parte do padrão AWS Security Hub gerenciado por serviços: AWS Control Tower.
Conta-membro migrada
Esse tipo de desvio ocorre na conta e não na OU. Esse tipo de desvio pode ocorrer quando uma conta membro da AWS Control Tower, a conta de auditoria ou a conta de arquivamento de log é transferida de uma OU registrada da AWS Control Tower para qualquer outra OU. Veja a seguir um exemplo da notificação do Amazon SNS quando esse tipo de desvio é detectado.
{ "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 300 accounts, you must update the provisioned product in Account Factory.", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }
Soluções
Quando esse tipo de desvio ocorre em uma conta provisionada pelo Account Factory em uma OU com até 300 contas, você pode resolvê-lo da seguinte maneira:
-
Navegando até a página da organização no console do AWS Control Tower, selecionando a conta e escolhendo Atualizar conta no canto superior direito (opção mais rápida para contas individuais).
-
Navegue até a página Organização no console do AWS Control Tower e escolha Registrar novamente na OU que contém a conta (opção mais rápida para várias contas). Para ter mais informações, consulte Registre uma unidade organizacional existente no AWS Control Tower.
-
Atualização do produto provisionado no Account Factory. Para ter mais informações, consulte Atualize e mova contas de fábrica de contas com o AWS Control Tower ou com AWS Service Catalog.
nota
Se você tiver várias contas individuais para atualizar, veja também este método para fazer atualizações com um script:Provisione e atualize contas usando automação.
-
Quando esse tipo de desvio ocorre em uma OU com mais de 300 contas, a resolução do desvio pode depender do tipo de conta que foi movida, conforme explicado nos próximos parágrafos. Para ter mais informações, consulte Atualizar sua zona de destino.
-
Se uma conta provisionada pelo Account Factory for movida — Em uma OU com menos de 300 contas, você pode resolver o desvio da conta atualizando o produto provisionado no Account Factory, registrando novamente a OU ou atualizando sua landing zone.
Em uma OU com mais de 300 contas, você deve resolver o problema fazendo uma atualização em cada conta transferida, seja por meio do console do AWS Control Tower ou do produto provisionado, pois o novo registro da OU não executará a atualização. Para ter mais informações, consulte Atualize e mova contas de fábrica de contas com o AWS Control Tower ou com AWS Service Catalog.
-
Se uma conta compartilhada for movida, você pode resolver o problema de mover a conta de auditoria ou arquivamento de registros atualizando sua landing zone. Para ter mais informações, consulte Atualizar sua zona de destino.
-
Nome do campo obsoleto
O nome do campo MasterAccountID foi alterado ManagementAccountID para estar em conformidade com AWS as diretrizes. O nome antigo está obsoleto. A partir de 2022, os scripts que contêm o nome do campo obsoleto não funcionarão mais.
Conta-membro removida
Esse tipo de desvio pode ocorrer quando uma conta membro é removida de uma unidade organizacional registrada do AWS Control Tower. O exemplo a seguir mostra a notificação do Amazon SNS quando esse tipo de desvio é detectado.
{ "Message" : "AWS Control Tower has detected that the member account012345678909has been removed from organizationo-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }
Resolução
-
Quando esse tipo de desvio ocorre na conta de um membro, você pode resolver o desvio atualizando a conta no console do AWS Control Tower ou no Account Factory. Por exemplo, você pode adicionar a conta a outra OU registrada a partir do assistente de atualização do Account Factory. Para ter mais informações, consulte Atualize e mova contas de fábrica de contas com o AWS Control Tower ou com AWS Service Catalog.
-
Se uma conta compartilhada for removida de uma OU Foundational, você deverá resolver o desvio redefinindo sua landing zone. Até que esse desvio seja resolvido, você não poderá usar o console do AWS Control Tower.
-
Para obter mais informações sobre como resolver oscilações para contas e UOs, consulte Se você gerencia recursos fora do AWS Control Tower.
nota
No Service Catalog, o produto provisionado pelo Account Factory que representa a conta não é atualizado para remover a conta. Em vez disso, o produto provisionado é exibido como TAINTED e em um estado de erro. Para limpar, acesse o Service Catalog, escolha o produto provisionado e, em seguida, escolha Terminate.
Atualização não planejada para SCP gerenciado
Esse tipo de desvio pode ocorrer quando um SCP para um controle é atualizado no AWS Organizations console ou programaticamente usando o SDKs da AWS AWS CLI ou um deles. Veja a seguir um exemplo da notificação do Amazon SNS quando esse tipo de desvio é detectado.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_UPDATED", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Resolução
Quando esse tipo de desvio ocorre em uma OU com até 300 contas, você pode resolvê-lo da seguinte forma:
-
Navegar até a página da organização no console do AWS Control Tower para registrar novamente a OU (opção mais rápida). Para ter mais informações, consulte Registre uma unidade organizacional existente no AWS Control Tower.
-
Atualizando sua landing zone (opção mais lenta). Para ter mais informações, consulte Atualizar sua zona de destino.
Quando esse tipo de desvio ocorrer em uma OU com mais de 300 contas, resolva-o atualizando sua landing zone. Para ter mais informações, consulte Atualizar sua zona de destino.
SCP anexado à UO gerenciada
Esse tipo de desvio pode ocorrer quando um SCP para um controle é conectado a qualquer outra OU. Essa ocorrência é especialmente comum quando você está trabalhando em suas OUs de fora do console do AWS Control Tower. Veja a seguir um exemplo da notificação do Amazon SNS quando esse tipo de desvio é detectado.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Resolução
Quando esse tipo de desvio ocorre em uma OU com até 300 contas, você pode resolvê-lo da seguinte forma:
-
Navegar até a página da organização no console do AWS Control Tower para registrar novamente a OU (opção mais rápida). Para ter mais informações, consulte Registre uma unidade organizacional existente no AWS Control Tower.
-
Atualizando sua landing zone (opção mais lenta). Para ter mais informações, consulte Atualizar sua zona de destino.
Quando esse tipo de desvio ocorrer em uma OU com mais de 300 contas, resolva-o atualizando sua landing zone. Para ter mais informações, consulte Atualizar sua zona de destino.
SCP desanexado da UO gerenciada
Esse tipo de desvio pode ocorrer quando um SCP de um controle é separado de uma OU gerenciada pelo AWS Control Tower. Essa ocorrência é especialmente comum quando você está trabalhando fora do console do AWS Control Tower. Veja a seguir um exemplo da notificação do Amazon SNS quando esse tipo de desvio é detectado.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_DETACHED_FROM_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Resolução
Quando esse tipo de desvio ocorre em uma OU com até 300 contas, você pode resolvê-lo da seguinte forma:
-
Navegar até a OU no console do AWS Control Tower para registrar novamente a OU (opção mais rápida). Para ter mais informações, consulte Registre uma unidade organizacional existente no AWS Control Tower.
-
Atualizando sua landing zone (opção mais lenta). Se o desvio estiver afetando um controle obrigatório, o processo de atualização cria uma nova política de controle de serviço (SCP) e a anexa à OU para resolver o desvio. Para obter mais informações sobre como atualizar sua landing zone, consulteAtualizar sua zona de destino.
Quando esse tipo de desvio ocorrer em uma OU com mais de 300 contas, resolva-o atualizando sua landing zone. Se o desvio estiver afetando um controle obrigatório, o processo de atualização cria uma nova política de controle de serviço (SCP) e a anexa à OU para resolver o desvio. Para obter mais informações sobre como atualizar sua landing zone, consulteAtualizar sua zona de destino.
SCP anexado à conta-membro
Esse tipo de desvio pode ocorrer quando um SCP para um controle é anexado a uma conta no console Organizations. Os guardrails e seus SCPs podem ser habilitados em OUs (e, portanto, aplicados a todas as contas inscritas de uma OU) por meio do console do AWS Control Tower. Veja a seguir um exemplo da notificação do Amazon SNS quando esse tipo de desvio é detectado.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_ACCOUNT", "RemediationStep" : "Re-register this organizational unit (OU)", "AccountId" : "012345678909", "PolicyId" : "p-tEXAMPLE" }
Resolução
Esse tipo de desvio ocorre na conta e não na OU.
Quando esse tipo de desvio ocorre para contas em uma OU básica, como a OU de segurança, a resolução é atualizar sua landing zone. Para ter mais informações, consulte Atualizar sua zona de destino.
Quando esse tipo de desvio ocorre em uma OU não básica com até 300 contas, você pode resolvê-lo da seguinte forma:
-
Separar o AWS Control Tower SCP da conta de fábrica.
-
Navegar até a OU no console do AWS Control Tower para registrar novamente a OU (opção mais rápida). Para ter mais informações, consulte Registre uma unidade organizacional existente no AWS Control Tower.
Quando esse tipo de desvio ocorre em uma OU com mais de 300 contas, você pode tentar resolvê-lo atualizando a configuração de fábrica da conta. Talvez não seja possível resolvê-lo com sucesso. Para ter mais informações, consulte Atualizar sua zona de destino.
OU básica excluída
Esse tipo de desvio se aplica somente às OUs da AWS Control Tower Foundational, como a OU de segurança. Isso pode ocorrer se uma OU Foundational for excluída fora do console do AWS Control Tower. As OUs básicas não podem ser movidas sem criar esse tipo de desvio, porque mover uma OU é o mesmo que excluí-la e adicioná-la em outro lugar. Quando você resolve o desvio atualizando sua landing zone, o AWS Control Tower substitui a OU Foundational no local original. O exemplo a seguir mostra uma notificação do Amazon SNS que você pode receber quando esse tipo de desvio for detectado.
{ "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ORGANIZATIONAL_UNIT_DELETED", "RemediationStep" : "Delete organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }
Resolução
Como esse desvio ocorre somente para OUs básicas, a resolução é atualizar a landing zone. Quando outros tipos de OUs são excluídos, o AWS Control Tower é atualizado automaticamente.
Para obter mais informações sobre como resolver oscilações para contas e UOs, consulte Se você gerencia recursos fora do AWS Control Tower.
Desvio de controle do Security Hub
Esse tipo de desvio ocorre quando um controle que faz parte do padrão AWS Security Hub gerenciado por serviços: o AWS Control Tower relata um estado de desvio. O AWS Security Hub serviço em si não relata um estado de desvio para esses controles. Em vez disso, o serviço envia suas descobertas para o AWS Control Tower.
O desvio de controle do Security Hub também pode ser detectado se o AWS Control Tower não receber uma atualização de status do Security Hub em mais de 24 horas. Se essas descobertas não forem recebidas conforme o esperado, o AWS Control Tower verifica se o controle está em desvio. O exemplo a seguir mostra uma notificação do Amazon SNS que você pode receber quando esse tipo de desvio for detectado.
{ "Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard", "MasterAccountId" : "123456789XXX", "ManagementAccountId" : "123456789XXX", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SECURITY_HUB_CONTROL_DISABLED", "RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.", "AccountId" : "7876543219XXX", "ControlId" : "PYBETSAGNUZB", "ControlName" : "EBS snapshots should not be publicly restorable", "ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB", "Region" : "us-east-1" }
Resolução
Para OUs com menos de 300 contas, a resolução é registrar novamente a OU, o que redefine o controle para o estado original. Para qualquer OU, você pode remover e reativar o controle por meio do console ou das APIs do AWS Control Tower, que também redefinem o controle.
Para obter mais informações sobre como resolver oscilações para contas e UOs, consulte Se você gerencia recursos fora do AWS Control Tower.
Acesso confiável desativado
Esse tipo de desvio se aplica às zonas de pouso do AWS Control Tower. Isso ocorre quando você desativa o acesso confiável ao AWS Control Tower AWS Organizations depois de configurar sua zona de pouso da AWS Control Tower.
Quando o acesso confiável é desativado, o AWS Control Tower não recebe mais eventos de alteração do AWS Organizations. O AWS Control Tower depende desses eventos de mudança para se manter sincronizado com eles. AWS Organizations Como resultado, o AWS Control Tower pode perder mudanças organizacionais em contas e OUs. É por isso que é importante registrar novamente cada OU, sempre que você atualizar sua landing zone.
Exemplo: notificação do Amazon SNS
Veja a seguir um exemplo da notificação do Amazon SNS que você recebe quando esse tipo de desvio ocorre.
{ "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "TRUSTED_ACCESS_DISABLED", "RemediationStep" : "Reset Control Tower landing zone." }
Resolução
O AWS Control Tower notifica você quando esse tipo de desvio ocorre no console do AWS Control Tower. A resolução é redefinir sua zona de pouso do AWS Control Tower. Para obter mais informações, consulte Resolvendo o desvio.
