As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Eventos de ciclo de vida no AWS Control Tower
Alguns eventos registrados em log pelo AWS Control Tower são eventos de ciclo de vida. O objetivo de um evento de ciclo de vida é marcar a conclusão de determinadas ações do AWS Control Tower que alteram o estado dos recursos. Os eventos de ciclo de vida se aplicam aos recursos que o AWS Control Tower cria ou gerencia, como uma landing zone, uma linha de base ou um controle, relacionados a uma unidade organizacional (OU) ou conta.
Características dos eventos de ciclo de vida do AWS Control Tower
-
Para cada evento de ciclo de vida, o log de eventos mostra se a ação de origem do Control Tower foi concluída com êxito ou falhou.
-
AWS CloudTrail registra automaticamente cada evento do ciclo de vida como um evento de serviço não relacionado à API AWS . Para obter mais informações, consulte o Guia AWS CloudTrail do usuário.
-
Cada evento de ciclo de vida também é entregue aos serviços Amazon e EventBridge Amazon CloudWatch Events.
Os eventos de ciclo de vida no AWS Control Tower oferecem dois benefícios principais:
-
Como um evento de ciclo de vida registra a conclusão de uma ação do AWS Control Tower, você pode criar uma regra da Amazon EventBridge ou uma regra da Amazon CloudWatch Events que pode acionar as próximas etapas em seu fluxo de trabalho de automação, com base no estado do evento do ciclo de vida.
-
Os logs fornecem detalhes adicionais para auxiliar os administradores e auditores na revisão de determinados tipos de atividade nas organizações.
Como funcionam os eventos de ciclo de vida
O AWS Control Tower depende de vários serviços para implementar suas ações. Portanto, cada evento de ciclo de vida é registrado somente após uma série de ações ser concluída. Por exemplo, quando você habilita um controle em uma UO, o AWS Control Tower inicia uma série de subetapas que implementam a solicitação. O resultado final de toda a série de subetapas é registrado no log como o estado do evento de ciclo de vida.
-
Se cada subetapa subjacente tiver sido concluída com êxito, o estado do evento de ciclo de vida será registrado como Succeeded (Bem-sucedido).
-
Se qualquer uma das subetapas subjacentes não tiver sido concluída com êxito, o estado do evento de ciclo de vida será registrado como Failed (Falhou).
Cada evento de ciclo de vida inclui um carimbo de data/hora registrado no log que mostra quando a ação do AWS Control Tower foi iniciada, e outro carimbo de data/hora que mostra quando o evento de ciclo de vida foi concluído, indicando o êxito ou a falha.
Visualizar eventos de ciclo de vida no Control Tower
Você pode visualizar eventos de ciclo de vida na página Atividades no painel do AWS Control Tower.
-
Para navegar até a página Activities (Atividades), selecione Activities (Atividades) no painel de navegação esquerdo.
-
Para obter mais detalhes sobre um evento específico, selecione-o e escolha o botão View details (Exibir detalhes) no canto superior direito.
Consulte mais informações sobre como integrar eventos de ciclo de vida do AWS Control Tower em seus fluxos de trabalho nesta publicação do blog Using lifecycle events to track AWS Control Tower actions and trigger automated workflows
Comportamento esperado CreateManagedAccount e eventos do UpdateManagedAccount ciclo de vida
Quando você cria uma conta ou inscreve uma conta no AWS Control Tower, essas duas ações chamam a mesma API interna. Caso haja um erro durante o processo, ele costuma ocorrer depois que a conta é criada, mas antes de estar totalmente provisionada. Quando você tenta criar a conta novamente após o erro ou ao tentar atualizar o produto provisionado, o AWS Control Tower vê que a conta já existe.
Como a conta existe, o AWS Control Tower registra o evento de ciclo de vida UpdateManagedAccount em vez do evento de ciclo de vida CreateManagedAccount no final da solicitação de nova tentativa. Talvez você veja outro evento CreateManagedAccount por causa do erro. No entanto, o evento de ciclo de vida do UpdateManagedAccount é o comportamento esperado e desejado.
Se você planeja criar ou inscrever contas no AWS Control Tower usando métodos automatizados, programe a função Lambda UpdateManagedAccountpara procurar eventos do ciclo de vida, bem como eventos do ciclo de vida. CreateManagedAccount
Nomes dos eventos de ciclo de vida
Cada evento do ciclo de vida é nomeado de forma que corresponda à ação originária do AWS Control Tower, que também é registrada pela AWS. CloudTrail Assim, por exemplo, um evento de ciclo de vida originado pelo evento AWS Control Tower CreateManagedAccount CloudTrail é nomeado. CreateManagedAccount
Cada nome na lista a seguir é um link para um exemplo do detalhamento registrado em log no formato JSON. Os detalhes adicionais mostrados nesses exemplos foram retirados dos registros de CloudWatch eventos da Amazon.
Embora o JSON não ofereça suporte a comentários, alguns comentários foram acrescentados nos exemplos para fins explicativos. Eles são precedidos por "//" e aparecem no lado direito dos exemplos.
Nesses exemplos, alguns nomes de conta e de organização foram obscurecidos. Um accountId é sempre uma sequência de 12 números, substituída por "xxxxxxxxxxxx" nos exemplos. Um organizationalUnitID é uma cadeia única de letras e números. A forma foi preservada nos exemplos.
-
CreateManagedAccount: o log registra se o AWS Control Tower concluiu todas as ações para criar e provisionar uma nova conta usando o Account Factory com êxito.
-
UpdateManagedAccount: o log registra se o AWS Control Tower concluiu todas as ações para atualizar um produto provisionado que está associado a uma conta que você tinha criado anteriormente utilizando o Account Factory com êxito.
-
EnableGuardrail: o log registra se todas as ações do AWS Control Tower foram concluídas com êxito para habilitar um controle em uma UO criada pelo AWS Control Tower.
-
DisableGuardrail: o log registra se todas as ações do AWS Control Tower foram concluídas com êxito para desabilitar um controle em uma UO criada pelo AWS Control Tower.
-
SetupLandingZone: o log registra se o AWS Control Tower concluiu todas as ações para configurar uma zona de pouso com êxito.
-
UpdateLandingZone: o log registra se o AWS Control Tower concluiu todas as ações para atualizar a zona de pouso existente com êxito.
-
RegisterOrganizationalUnit: o log registra se o AWS Control Tower concluiu todas as ações para habilitar os recursos de governança dele em uma UO com êxito.
-
DeregisterOrganizationalUnit: o log registra se o AWS Control Tower concluiu todas as ações para desabilitar os recursos de governança dele em uma UO com êxito.
-
PrecheckOrganizationalUnit: o log registra se o AWS Control Tower detectou algum recurso que impediria a conclusão da operação de Estender governança com êxito.
-
EnableBaseline: o registro registra se o AWS Control Tower concluiu com sucesso todas as ações para habilitar uma nova linha de base em uma conta de membro alvo em uma OU. A operação de ativação pode ser iniciada usando a
EnableBaselineAPI ou o console. -
ResetEnabledBaseline: o registro registra se o AWS Control Tower concluiu com sucesso todas as ações para redefinir uma linha de base existente habilitada em uma conta de membro alvo em uma OU. A operação de redefinição pode ser iniciada usando a
ResetEnabledBaselineAPI ou o console. -
UpdateEnabledBaseline: o registro registra se o AWS Control Tower concluiu com sucesso todas as ações para atualizar uma linha de base habilitada existente em uma conta de membro alvo em uma OU. A operação de atualização pode ser iniciada usando a
UpdateEnabledBaselineAPI ou o console. -
DisableBaseline: o registro registra se o AWS Control Tower concluiu com sucesso todas as ações para desativar uma linha de base habilitada existente em uma conta de membro alvo em uma OU. A operação de desativação pode ser iniciada usando a
DisableBaselineAPI ou o console.
As seções a seguir fornecem uma lista de eventos de ciclo de vida do AWS Control Tower, com exemplos dos detalhes registrados em log para cada tipo de evento de ciclo de vida.
CreateManagedAccount
Este evento de ciclo de vida registra se o AWS Control Tower criou e provisionou uma nova conta usando o Account Factory com êxito. Esse evento corresponde ao evento AWS Control Tower CreateManagedAccount CloudTrail . O log de eventos de ciclo de vida inclui o accountName e o accountId da conta recém-criada, e o organizationalUnitName e o organizationalUnitId da UO em que a conta foi colocada.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "CreateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "createManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"XXXXXXXXXXXX" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully created a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }
UpdateManagedAccount
Este evento de ciclo de vida registra se o AWS Control Tower teve êxito ao atualizar o produto provisionado associado a uma conta que foi criada anteriormente usando o Account Factory. Esse evento corresponde ao evento AWS Control Tower UpdateManagedAccount CloudTrail. O log de eventos de ciclo de vida inclui o accountName e accountId da conta associada e o organizationalUnitName e organizationalUnitId da UO em que a conta atualizada é colocada.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // AWS Control Tower organization management account. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"XXXXXXXXXXXX" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully updated a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }
EnableGuardrail
Este evento de ciclo de vida registra se o AWS Control Tower teve êxito ao habilitar um controle em uma UO que está sendo gerenciada pelo AWS Control Tower. Esse evento corresponde ao evento AWS Control Tower EnableGuardrail CloudTrail . O log de eventos de ciclo de vida inclui o guardrailId e guardrailBehavior do controle, e o organizationalUnitName e organizationalUnitId da UO em que o controle está habilitado.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "EnableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "enableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }
DisableGuardrail
Este evento de ciclo de vida registra se o AWS Control Tower teve êxito ao desabilitar um controle em uma UO que está sendo gerenciada pelo AWS Control Tower. Esse evento corresponde ao evento AWS Control Tower DisableGuardrail CloudTrail . O log de eventos de ciclo de vida inclui o guardrailId e guardrailBehavior do controle, e o organizationalUnitName e organizationalUnitId da UO em que o controle está desabilitado.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DisableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "disableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }
SetupLandingZone
Este evento de ciclo de vida registra se o AWS Control Tower configurou uma zona de pouso com êxito. Esse evento corresponde ao evento AWS Control Tower SetupLandingZone CloudTrail . O log de eventos de ciclo de vida inclui o rootOrganizationalId, que é o ID da organização que o AWS Control Tower cria da conta de gerenciamento. A entrada de registro também inclui o organizationalUnitName e organizationalUnitId para cada uma das OUs, e o accountName e accountId para cada conta, que são criadas quando o AWS Control Tower configura a landing zone.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management-account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "SetupLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "setupLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire lifecycle operation. "message": "AWS Control Tower successfully set up a new landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
UpdateLandingZone
Esse evento de ciclo de vida registra se o AWS Control Tower atualizou a zona de pouso existente com êxito. Esse evento corresponde ao evento AWS Control Tower UpdateLandingZone CloudTrail . O log de eventos de ciclo de vida inclui o rootOrganizationalId, que é o ID da organização (atualizada) administrada pelo AWS Control Tower. A entrada de registro também inclui o organizationalUnitName e organizationalUnitId para cada uma das OUs, e o accountName e accountId para cada conta, que foi criada anteriormente, quando o AWS Control Tower configurou originalmente a landing zone.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire operation. "message": "AWS Control Tower successfully updated a landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
RegisterOrganizationalUnit
Esse evento de ciclo de vida registra se o AWS Control Tower habilitou os recursos de governança com êxito em uma UO. Esse evento corresponde ao evento AWS Control Tower RegisterOrganizationalUnit CloudTrail . O log de eventos de ciclo de vida inclui o organizationalUnitName e organizationalUnitId da UO que o AWS Control Tower colocou sob sua governança.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "123456789012", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "RegisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "registerOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully registered an organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", "organizationalUnitId": "ou-adpf-302pk332" } "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
DeregisterOrganizationalUnit
Esse evento de ciclo de vida registra se o AWS Control Tower desabilitou os recursos de governança com êxito em uma UO. Esse evento corresponde ao evento AWS Control Tower DeregisterOrganizationalUnit CloudTrail . O log de eventos de ciclo de vida inclui o organizationalUnitName e organizationalUnitId da UO em que o AWS Control Tower desabilitou os recursos de governança.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DeregisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "deregisterOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", // Foundational OU name. "organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID. }, "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
PrecheckOrganizationalUnit
Esse evento de ciclo de vida registra se o AWS Control Tower realizou as pré-verificações em uma UO com êxito. Esse evento corresponde ao evento AWS Control Tower PrecheckOrganizationalUnit CloudTrail . O log de eventos de ciclo de vida contém um campo para os valores Id,Name e failedPrechecks para cada recurso no qual o AWS Control Tower realizou pré-verificações durante o processo de registro da UO.
O log de eventos também contém informações sobre as contas aninhadas nas quais as pré-verificações foram realizadas, incluindo os campos accountName, accountId e failedPrechecks.
Se o valor failedPrechecks estiver vazio, isso indicará que todas as pré-verificações desse recurso foram aprovadas com êxito.
-
Esse evento será emitido somente se houver uma falha na pré-verificação.
-
Esse evento não será emitido se você estiver registrando uma UO vazia.
Exemplo de evento:
{ "eventVersion": "1.08", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2021-09-20T22:45:43Z", "eventSource": "controltower.amazonaws.com", "eventName": "PrecheckOrganizationalUnit", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "XXXXXXXXXXXX", "serviceEventDetails": { "precheckOrganizationalUnitStatus": { "organizationalUnit": { "organizationalUnitName": "Ou-123", "organizationalUnitId": "ou-abcd-123456", "failedPrechecks": [ "SCP_CONFLICT" ] }, "accounts": [ { "accountName": "Child Account 1", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Child Account 2", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Management Account", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "MISSING_PERMISSIONS_AF_PRODUCT" ] }, { "accountName": "Child Account 3", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [] }, ... ], "state": "FAILED", "message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.", "requestedTimestamp": "2021-09-20T22:44:02+0000", "completedTimestamp": "2021-09-20T22:45:43+0000" } }, "eventCategory": "Management" }
EnableBaseline
Esse evento de ciclo de vida registra se o AWS Control Tower habilitou com sucesso uma linha de base em uma conta de membro alvo em uma OU. Esse evento corresponde à AWS Control Tower RegisterOrganizationalUnit ou EnableBaseline CloudTrail aos eventos. O registro de eventos do ciclo de vida inclui a linha de base que foi ativada e sua versão, aquela targetIdentifier na qual a linha de base foi ativada, a linha parentIdentifier de base ativada na OU principal e a statusSummary exibição do status BEM-SUCEDIDO ou FALHA, junto com os parâmetros adicionais e o registro de data e hora da operação.
{ "eventVersion": "1.11", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2025-02-10T17:14:57Z", "eventSource": "controltower.amazonaws.com", "eventName": "EnableBaseline", "awsRegion": "us-east-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "requestParameters": null, "responseElements": null, "eventID": "366911a2-4fa6-4e4a-ac2b-280f627e0027", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "XXXXXXXXXXXX", "serviceEventDetails": { "enableBaselineStatus": { "enabledBaselineDetails": { "arn": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX", "parentIdentifier": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX", "targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-ern76xmzvf/XXXXXXXXXXXX", "baselineIdentifier": "arn:aws:controltower:us-east-2::baseline/XXXXXXXXXXXXXXX", "baselineVersion": "4.0", "statusSummary": { "lastOperationIdentifier": "37f5eb68-e5b9-4c70-ae76-4ca15f6b16de", "status": "SUCCEEDED" }, "parameters": [ { "key": "IdentityCenterEnabledBaselineArn", "value": { "untyped": { "object": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX" } } } ] }, "requestedTimestamp": "2025-02-10T17:07:09+0000", "completedTimestamp": "2025-02-10T17:14:57+0000" } }, "eventCategory": "Management" }
ResetEnabledBaseline
Esse evento de ciclo de vida registra se o AWS Control Tower redefiniu com sucesso a linha de base habilitada existente em uma conta de membro alvo em uma OU. Esse evento corresponde à AWS Control Tower RegisterOrganizationalUnit ou ResetEnabledBaseline CloudTrail aos eventos. O registro de eventos do ciclo de vida inclui a linha de base que foi ativada e sua versão, aquela targetIdentifier na qual a linha de base foi ativada, a linha parentIdentifier de base ativada na OU principal e a statusSummary exibição do status BEM-SUCEDIDO ou FALHA, junto com os parâmetros adicionais e o registro de data e hora da operação.
{ "eventVersion": "1.11", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2025-02-10T21:17:55Z", "eventSource": "controltower.amazonaws.com", "eventName": "ResetEnabledBaseline", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "requestParameters": null, "responseElements": null, "eventID": "c01a32e1-13ab-4b46-8f1b-00699ef6f989", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "XXXXXXXXXXXX", "serviceEventDetails": { "resetEnabledBaselineStatus": { "enabledBaselineDetails": { "arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX", "parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX", "targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX", "baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX", "baselineVersion": "1.0", "statusSummary": { "lastOperationIdentifier": "3e364c89-89fa-42b8-9776-9f7cc47ba1fa", "status": "SUCCEEDED" }, "parameters": [] }, "requestedTimestamp": "2025-02-10T21:14:24Z", "completedTimestamp": "2025-02-10T21:17:54+0000" } }, "eventCategory": "Management" }
UpdateEnabledBaseline
Esse evento de ciclo de vida registra se o AWS Control Tower atualizou com sucesso a linha de base existente habilitada em uma conta de membro alvo em uma OU. Esse evento corresponde à AWS Control Tower RegisterOrganizationalUnit ou UpdateEnabledBaseline CloudTrail aos eventos. O registro de eventos do ciclo de vida inclui a linha de base que foi ativada e sua versão, aquela targetIdentifier na qual a linha de base foi ativada, a linha parentIdentifier de base ativada na OU principal e a statusSummary exibição do status BEM-SUCEDIDO ou FALHA, junto com os parâmetros adicionais e o registro de data e hora da operação.
{ "eventVersion": "1.11", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2025-02-10T19:45:28Z", "eventSource": "controltower.amazonaws.com", "eventName": "UpdateEnabledBaseline", "awsRegion": "us-east-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "requestParameters": null, "responseElements": null, "eventID": "514f2aff-1a99-4912-bda1-0d4d6662c96e", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "XXXXXXXXXXXX", "serviceEventDetails": { "updateEnabledBaselineStatus": { "enabledBaselineDetails": { "arn": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX", "parentIdentifier": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX", "targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-ern76xmzvf/XXXXXXXXXXXX", "baselineIdentifier": "arn:aws:controltower:us-east-2::baseline/XXXXXXXXXXXXXXX", "baselineVersion": "4.0", "statusSummary": { "lastOperationIdentifier": "ba3de28f-83fb-4c9a-8a8c-a4e15fac2c41", "status": "SUCCEEDED" }, "parameters": [ { "key": "IdentityCenterEnabledBaselineArn", "value": { "untyped": { "object": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX" } } } ] }, "requestedTimestamp": "2025-02-10T19:39:35+0000", "completedTimestamp": "2025-02-10T19:45:28+0000" } }, "eventCategory": "Management" }
DisableBaseline
Esse evento de ciclo de vida registra se o AWS Control Tower desativou com sucesso a linha de base habilitada existente em uma conta de membro alvo em uma OU. Esse evento corresponde ao evento AWS Control Tower DisableBaseline CloudTrail . O registro de eventos do ciclo de vida inclui a linha de base que foi ativada e sua versão, aquela targetIdentifier na qual a linha de base foi ativada, a linha parentIdentifier de base ativada na OU principal e a statusSummary exibição do status BEM-SUCEDIDO ou FALHA, junto com os parâmetros adicionais e o registro de data e hora da operação.
{ "eventVersion": "1.11", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2025-03-14T00:50:58Z", "eventSource": "controltower.amazonaws.com", "eventName": "DisableBaseline", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "requestParameters": null, "responseElements": null, "eventID": "704794c4-a32e-4960-8386-c7efaa5a22a1", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "XXXXXXXXXXXX", "serviceEventDetails": { "disableBaselineStatus": { "enabledBaselineDetails": { "arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX", "parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX", "targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX", "baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX", "baselineVersion": "1.0", "statusSummary": { "lastOperationIdentifier": "7b895594-0edb-48bc-9f3d-d88c2ad618df", "status": "SUCCEEDED" }, "parameters": [] }, "baselineDetails": { "arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX", "parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX", "targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX", "baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX", "baselineVersion": "1.0", "statusSummary": { "lastOperationIdentifier": "7b895594-0edb-48bc-9f3d-d88c2ad618df", "status": "SUCCEEDED" }, "parameters": [] }, "requestedTimestamp": "2025-03-14T00:49:13Z", "completedTimestamp": "2025-03-14T00:50:58+0000" } }, "eventCategory": "Management" }
