Eventos de ciclo de vida no AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Eventos de ciclo de vida no AWS Control Tower

Alguns eventos registrados pelo AWS Control Tower sãoEventos de ciclo de vida. O objetivo do evento de ciclo de vida é marcar oconclusãode determinadas ações do AWS Control Tower que alteram o estado dos recursos do. Os eventos de ciclo de vida se aplicam a recursos que o AWS Control Tower cria ou gerencia, como UOs (unidades organizacionais), contas e proteção.

Características dos eventos do ciclo de vida da AWS Control Tower

  • Para cada evento de ciclo de vida, o log de eventos mostra se a ação de origem do Control Tower foi concluída com êxito ou falhou.

  • DA AWSCloudTrailregistra automaticamente cada evento de ciclo de vida como umevento do serviço AWS que não é da API. Para obter mais informações, consultea AWSCloudTrailGuia do usuário do .

  • Cada evento de ciclo de vida também é entregue à AmazonEventBridgee AmazonCloudWatchServiços de eventos do.

Os eventos de ciclo de vida no AWS Control Tower oferecem dois benefícios principais:

  • Como um evento de ciclo de vida registra a conclusão de uma ação da AWS Control Tower, você pode criar uma AmazonEventBridgeRegra ou AmazonCloudWatchRegra de eventos que aciona as próximas etapas no fluxo de trabalho de automação, de acordo com o estado do evento de ciclo de vida.

  • Os logs fornecem detalhes adicionais para auxiliar os administradores e auditores na revisão de determinados tipos de atividade nas organizações.

Como funcionam os eventos de ciclo de vida

O AWS Control Tower depende de vários serviços para implementar suas ações. Portanto, cada evento de ciclo de vida é registrado somente após uma série de ações ser concluída. Por exemplo, quando você habilita uma proteção em uma UO, o AWS Control Tower inicia uma série de subetapas que implementam a solicitação. O resultado final de toda a série de subetapas é registrado no log como o estado do evento de ciclo de vida.

  • Se cada subetapa subjacente tiver sido concluída com êxito, o estado do evento de ciclo de vida será registrado como Succeeded (Bem-sucedido).

  • Se qualquer uma das subetapas subjacentes não tiver sido concluída com êxito, o estado do evento de ciclo de vida será registrado como Failed (Falhou).

Cada evento de ciclo de vida inclui um timestamp registrado no log que mostra quando a ação do AWS Control Tower do foi iniciada, e outro timestamp que mostra quando o evento de ciclo de vida foi concluído, indicando o êxito ou a falha.

Como exibir eventos de ciclo de vida no Control Tower

Você pode exibir eventos de ciclo de vida doAtividadesNo painel do AWS Control Tower.

  • Para navegar até a página Activities (Atividades), selecione Activities (Atividades) no painel de navegação esquerdo.

  • Para obter mais detalhes sobre um evento específico, selecione-o e escolha o botão View details (Exibir detalhes) no canto superior direito.

Para obter mais informações sobre como integrar eventos de ciclo de vida do AWS Control Tower em seus fluxos de trabalho, consulte esta publicação no blog,Usando eventos de ciclo de vida para rastrear ações da AWS Control Tower e acionar fluxos de trabalho automatizados.

Comportamento esperado doCreateManagedConta eUpdateManagedEventos de ciclo de vida da conta

Quando você cria uma conta ou registra uma conta na AWS Control Tower, essas duas ações chamam a mesma API interna. Se houver um erro durante o processo, ele geralmente ocorre depois que a conta foi criada, mas não é totalmente provisionada. Quando você tenta novamente criar a conta após o erro ou quando você tenta atualizar o produto provisionado, a AWS Control Tower vê que a conta já existe.

Como a conta existe, a AWS Control Tower registra oUpdateManagedAccountevento de ciclo de vida em vez doCreateManagedAccountevento de ciclo de vida no final da solicitação de nova tentativa. Você pode ter esperado ver outroCreateManagedAccountevento por causa do erro. No entanto, oUpdateManagedAccountevento de ciclo de vida é o comportamento esperado e desejado.

Se você planeja criar ou registrar contas na AWS Control Tower usando métodos automatizados, programe a função do Lambda para procurarUpdateManagedContaeventos de ciclo de vida, bem comoCreateManagedContaEventos de ciclo de vida.

Nomes dos eventos de ciclo de vida

Cada evento de ciclo de vida é nomeado de forma que corresponda à ação original do AWS Control Tower, que também é registrada pelo AWS Control TowerCloudTrail. Assim, por exemplo, um evento de ciclo de vida originado pelo AWS Control TowerCreateManagedAccount CloudTrailO evento é nomeadoCreateManagedAccount.

Cada nome na lista a seguir é um link para um exemplo do detalhamento registrado em log no formato JSON. Os detalhes adicionais exibidos nesses exemplos são retirados da AmazonCloudWatchLog de eventos do.

Embora o JSON não ofereça suporte a comentários, alguns comentários foram acrescentados nos exemplos para fins explicativos. Eles são precedidos por "//" e aparecem no lado direito dos exemplos.

Nesses exemplos, alguns nomes de conta e de organização foram obscurecidos. Um accountId é sempre uma sequência de 12 números, substituída por "xxxxxxxxxxxx" nos exemplos. Um organizationalUnitID é uma cadeia única de letras e números. A forma foi preservada nos exemplos.

  • CreateManagedAccount: o log registra se o AWS Control Tower concluiu todas as ações para criar e provisionar uma nova conta usando a fábrica de contas com êxito.

  • UpdateManagedAccount: o log registra se o AWS Control Tower concluiu todas as ações para atualizar um produto provisionado associado a uma conta criada anteriormente usando a fábrica de contas com êxito.

  • EnableGuardrail: o log registra se o AWS Control Tower concluiu todas as ações para habilitar uma proteção em uma UO criada pelo AWS Control Tower.

  • DisableGuardrail: o log registra se o AWS Control Tower concluiu todas as ações para desabilitar uma proteção em uma UO criada pelo AWS Control Tower.

  • SetupLandingZone: o log registra se o AWS Control Tower concluiu todas as ações para configurar uma landing zone com êxito.

  • UpdateLandingZone: o log registra se o AWS Control Tower concluiu todas as ações para atualizar a landing zone existente com êxito.

  • RegisterOrganizationalUnit: o log registra se o AWS Control Tower concluiu todas as ações para habilitar os recursos de governança dele em uma UO com êxito.

  • DeregisterOrganizationalUnit: o log registra se o AWS Control Tower concluiu todas as ações para desativar os recursos de governança dele em uma UO com êxito.

  • PrecheckOrganizationalUnit: O log registra se a AWS Control Tower detectou algum recurso que impedisse oEstenda governançaapós a conclusão com êxito.

As seções a seguir fornecem uma lista de eventos do ciclo de vida do AWS Control Tower, com exemplos dos detalhes registrados em log para cada tipo de evento de ciclo de vida.

CreateManagedAccount

Este evento de ciclo de vida registra se o AWS Control Tower criou e provisionou uma nova conta usando a fábrica de contas com êxito. Este evento corresponde à AWS Control TowerCreateManagedAccount CloudTrailEvento . O log de eventos de ciclo de vida inclui o accountName e o accountId da conta recém-criada, e o organizationalUnitName e o organizationalUnitId da UO em que a conta foi colocada.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "CreateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "createManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"XXXXXXXXXXXX" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully created a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }

UpdateManagedAccount

Este evento de ciclo de vida registra se o AWS Control Tower atualizou o produto provisionado associado a uma conta criada anteriormente usando a fábrica de contas com êxito. Este evento corresponde à AWS Control TowerUpdateManagedAccount CloudTrailEvento . O log de eventos de ciclo de vida inclui o accountName e accountId da conta associada e o organizationalUnitName e organizationalUnitId da UO em que a conta atualizada é colocada.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // AWS Control Tower organization management account. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"624281831893" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully updated a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }

EnableGuardrail

Este evento de ciclo de vida registra se o AWS Control Tower habilitou uma proteção em uma UO que está sendo gerenciada pelo AWS Control Tower. Este evento corresponde à AWS Control TowerEnableGuardrail CloudTrailEvento . O log de eventos de ciclo de vida inclui o guardrailId e guardrailBehavior da proteção, e o organizationalUnitName e organizationalUnitId da UO em que a proteção foi habilitada.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "EnableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "enableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }

DisableGuardrail

Este evento de ciclo de vida registra se o AWS Control Tower desabilitou uma proteção em uma UO que está sendo gerenciada pelo AWS Control Tower. Este evento corresponde à AWS Control TowerDisableGuardrail CloudTrailEvento . O log de eventos de ciclo de vida inclui o guardrailId e guardrailBehavior da proteção, e o organizationalUnitName e organizationalUnitId da UO em que a proteção foi desabilitada.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DisableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "disableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }

SetupLandingZone

Este evento de ciclo de vida registra se o AWS Control Tower configurou uma landing zone com êxito. Este evento corresponde à AWS Control TowerSetupLandingZone CloudTrailEvento . O log de eventos do ciclo de vida inclui orootOrganizationalId, que é o ID da organização que o AWS Control Tower cria da conta de gerenciamento. A entrada de registro também inclui oorganizationalUnitNameeorganizationalUnitIdpara cada uma das OUs, e oaccountNameeaccountIdPara cada conta, que são criadas quando o AWS Control Tower configura a landing zone do AWS Control Tower.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management-account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "SetupLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "setupLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire lifecycle operation. "message": "AWS Control Tower successfully set up a new landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

UpdateLandingZone

Este evento de ciclo de vida registra se o AWS Control Tower atualizou sua landing zone existente com êxito. Este evento corresponde à AWS Control TowerUpdateLandingZone CloudTrailEvento . O log de eventos do ciclo de vida inclui orootOrganizationalId, que é o ID da organização (atualizada) governada pelo AWS Control Tower. A entrada de registro também inclui oorganizationalUnitNameeorganizationalUnitIdpara cada uma das OUs, e oaccountNameeaccountIdPara cada conta que foi criada anteriormente, quando o AWS Control Tower configurou originalmente a landing zone.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire operation. "message": "AWS Control Tower successfully updated a landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

RegisterOrganizationalUnit

Este evento de ciclo de vida registra se o AWS Control Tower habilitou os recursos de governança com êxito. Este evento corresponde à AWS Control TowerRegisterOrganizationalUnit CloudTrailEvento . O log de eventos do ciclo de vida inclui oorganizationalUnitNameeorganizationalUnitIdda UO que o AWS Control Tower trouxe sob governança do AWS Control Tower.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "123456789012", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "RegisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "registerOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully registered an organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", "organizationalUnitId": "ou-adpf-302pk332" } "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

DeregisterOrganizationalUnit

Este evento de ciclo de vida registra se o AWS Control Tower desabilitou os recursos de governança com êxito. Este evento corresponde à AWS Control TowerDeregisterOrganizationalUnit CloudTrailEvento . O log de eventos do ciclo de vida inclui oorganizationalUnitNameeorganizationalUnitIdda UO em que o AWS Control Tower desabilitou os recursos de governança.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DeregisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "deregisterOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", // Foundational OU name. "organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID. }, "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

PrecheckOrganizationalUnit

Este evento de ciclo de vida registra se o AWS Control Tower realizou pré-verificações em uma UO com êxito. Este evento corresponde à AWS Control TowerPrecheckOrganizationalUnit CloudTrailEvento . O log de eventos do ciclo de vida contém um campo para oId,Name, efailedPrechecksvalores, para cada recurso em que a AWS Control Tower realizou pré-verificações durante o processo de registro da UO.

O log de eventos também contém informações sobre as contas aninhadas nas quais as pré-verificações foram executadas, incluindo oaccountName,accountId, efailedPrecheckscampos.

Se ofailedPrechecksvalor está vazio, isso significa que todas as pré-verificações desse recurso foram aprovadas com sucesso.

  • Este evento é emitido somente se houver uma falha de pré-verificação.

  • Este evento não será emitido se você estiver registrando uma UO vazia.

Exemplo de evento:

{ "eventVersion": "1.08", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2021-09-20T22:45:43Z", "eventSource": "controltower.amazonaws.com", "eventName": "PrecheckOrganizationalUnit", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "XXXXXXXXXXXX", "serviceEventDetails": { "precheckOrganizationalUnitStatus": { "organizationalUnit": { "organizationalUnitName": "Ou-123", "organizationalUnitId": "ou-abcd-123456", "failedPrechecks": [ "SCP_CONFLICT" ] }, "accounts": [ { "accountName": "Child Account 1", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Child Account 2", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Management Account", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "MISSING_PERMISSIONS_AF_PRODUCT" ] }, { "accountName": "Child Account 3", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [] }, ... ], "state": "FAILED", "message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.", "requestedTimestamp": "2021-09-20T22:44:02+0000", "completedTimestamp": "2021-09-20T22:45:43+0000" } }, "eventCategory": "Management" }