Eventos de ciclo de vida no AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Eventos de ciclo de vida no AWS Control Tower

Alguns eventos registrados no log pelo AWS Control Tower sãoeventos de ciclo de vida. O objetivo de um evento de ciclo de vida é marcar oconclusãode determinadas ações do AWS Control Tower que alteram o estado dos recursos. Os eventos de ciclo de vida se aplicam a recursos que o AWS Control Tower cria ou gerencia, como UOs (unidades organizacionais), contas e proteções.

Características dos eventos do ciclo de vida da AWS Control Tower

  • Para cada evento de ciclo de vida, o log de eventos mostra se a ação de origem do Control Tower foi concluída com êxito ou falhou.

  • O AWS CloudTrail registra automaticamente cada evento de ciclo de vida como um evento de serviço da AWS sem a API. Para obter mais informações, consulte o Guia do usuário do AWS CloudTrail.

  • Cada evento de ciclo de vida também é entregue aos serviços Amazon EventBridge e Amazon CloudWatch Events.

Os eventos de ciclo de vida no AWS Control Tower oferecem dois benefícios principais:

  • Como um evento de ciclo de vida registra a conclusão de uma ação do AWS Control Tower, é possível criar uma regra do Amazon EventBridge ou do Amazon CloudWatch Events que aciona as próximas etapas no fluxo de trabalho de automação, de acordo com o estado do evento de ciclo de vida.

  • Os logs fornecem detalhes adicionais para auxiliar os administradores e auditores na revisão de determinados tipos de atividade nas organizações.

Como funcionam os eventos de ciclo de vida

O AWS Control Tower depende de vários serviços para implementar suas ações. Portanto, cada evento de ciclo de vida é registrado somente após uma série de ações ser concluída. Por exemplo, quando você habilita uma proteção em uma UO, o AWS Control Tower inicia uma série de subetapas que implementam a solicitação. O resultado final de toda a série de subetapas é registrado no log como o estado do evento de ciclo de vida.

  • Se cada subetapa subjacente tiver sido concluída com êxito, o estado do evento de ciclo de vida será registrado como Succeeded (Bem-sucedido).

  • Se qualquer uma das subetapas subjacentes não tiver sido concluída com êxito, o estado do evento de ciclo de vida será registrado como Failed (Falhou).

Cada evento de ciclo de vida inclui um timestamp registrado no log que mostra quando a ação do AWS Control Tower foi iniciada, e outro timestamp que mostra quando o evento de ciclo de vida foi concluído, indicando o êxito ou a falha.

Como exibir eventos de ciclo de vida no Control Tower

Você pode exibir eventos de ciclo de vida doAtividadespágina no painel AWS Control Tower.

  • Para navegar até a página Activities (Atividades), selecione Activities (Atividades) no painel de navegação esquerdo.

  • Para obter mais detalhes sobre um evento específico, selecione-o e escolha o botão View details (Exibir detalhes) no canto superior direito.

Para obter mais informações sobre como integrar eventos de ciclo de vida do AWS Control Tower em seus fluxos de trabalho, consulte esta publicação no blogUsando eventos de ciclo de vida para rastrear ações da AWS Control Tower e acionar fluxos de trabalho automatizados.

Comportamento esperado dos eventos do ciclo de vida CreateManagedAccount e UpdateManagedAccount

Quando você cria uma conta ou registra uma conta na AWS Control Tower, essas duas ações chamam a mesma API interna. Se houver um erro durante o processo, ele geralmente ocorre depois que a conta foi criada, mas não é totalmente provisionada. Quando você tenta novamente criar a conta após o erro ou quando você tenta atualizar o produto provisionado, a AWS Control Tower vê que a conta já existe.

Como a conta existe, a AWS Control Tower registra oUpdateManagedAccountevento de ciclo de vida em vez doCreateManagedAccountevento de ciclo de vida no final da solicitação de nova tentativa. Você pode ter esperado ver outroCreateManagedAccountevento por causa do erro. No entanto, oUpdateManagedAccountevento de ciclo de vida é o comportamento esperado e desejado.

Se você planeja criar ou registrar contas na AWS Control Tower usando métodos automatizados, programe a função do Lambda para procurarUpdateManagedAccounteventos de ciclo de vida, bem comoCreateManagedAccountEventos de ciclo de vida.

Nomes dos eventos de ciclo de vida

Cada evento de ciclo de vida é nomeado de tal forma que corresponda à ação original do AWS Control Tower, que também é registrada pelo AWS CloudTrail. Assim, por exemplo, um evento de ciclo de vida originado pelo AWS Control TowerCreateManagedAccountO evento CloudTrail é nomeadoCreateManagedAccount.

Cada nome na lista a seguir é um link para um exemplo do detalhamento registrado em log no formato JSON. Os detalhes adicionais exibidos nesses exemplos são retirados dos logs de eventos do Amazon CloudWatch.

Embora o JSON não ofereça suporte a comentários, alguns comentários foram acrescentados nos exemplos para fins explicativos. Eles são precedidos por "//" e aparecem no lado direito dos exemplos.

Nesses exemplos, alguns nomes de conta e de organização foram obscurecidos. Um accountId é sempre uma sequência de 12 números, substituída por "xxxxxxxxxxxx" nos exemplos. Um organizationalUnitID é uma cadeia única de letras e números. A forma foi preservada nos exemplos.

  • CreateManagedAccount: o log registra se o AWS Control Tower concluiu todas as ações para criar e provisionar uma nova conta usando a fábrica de contas com êxito.

  • UpdateManagedAccount: o log registra se o AWS Control Tower concluiu todas as ações para atualizar um produto provisionado que está associado a uma conta criada anteriormente usando a fábrica de contas com êxito.

  • EnableGuardrail: o log registra se o AWS Control Tower concluiu todas as ações para habilitar uma proteção em uma UO criada pelo AWS Control Tower.

  • DisableGuardrail: o log registra se o AWS Control Tower concluiu todas as ações para desabilitar uma proteção em uma UO criada pelo AWS Control Tower.

  • SetupLandingZone: o log registra se o AWS Control Tower concluiu todas as ações para configurar uma landing zone com êxito.

  • UpdateLandingZone: o log registra se o AWS Control Tower concluiu todas as ações para atualizar a landing zone existente com êxito.

  • RegisterOrganizationalUnit: o log registra se o AWS Control Tower concluiu todas as ações para habilitar os recursos de governança dele em uma UO com êxito.

  • DeregisterOrganizationalUnit: o log registra se o AWS Control Tower concluiu todas as ações para desabilitar os recursos de governança dele em uma UO.

  • PrecheckOrganizationalUnit: O log registra se a AWS Control Tower detectou algum recurso que impedisse oAmplie a governoperação após a conclusão com sucesso.

As seções a seguir fornecem uma lista de eventos de ciclo de vida do AWS Control Tower, com exemplos dos detalhes registrados em log para cada tipo de evento de ciclo de vida da AWS.

CreateManagedAccount

Este evento de ciclo de vida registra se o AWS Control Tower criou e provisionou uma nova conta usando a fábrica de contas com êxito. Esse evento corresponde ao evento CreateManagedAccount do CloudTrail do AWS Control Tower. O log de eventos de ciclo de vida inclui o accountName e o accountId da conta recém-criada, e o organizationalUnitName e o organizationalUnitId da UO em que a conta foi colocada.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "CreateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "createManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"XXXXXXXXXXXX" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully created a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }

UpdateManagedAccount

Este evento de ciclo de vida registra se o AWS Control Tower atualizou o produto provisionado associado a uma conta criada anteriormente usando a fábrica de contas com êxito. Esse evento corresponde ao evento UpdateManagedAccount do CloudTrail do AWS Control Tower. O log de eventos de ciclo de vida inclui o accountName e accountId da conta associada e o organizationalUnitName e organizationalUnitId da UO em que a conta atualizada é colocada.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // AWS Control Tower organization management account. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"624281831893" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully updated a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }

EnableGuardrail

Este evento de ciclo de vida registra se o AWS Control Tower habilitou uma proteção em uma UO que está sendo gerenciada pelo AWS Control Tower. Esse evento corresponde ao evento EnableGuardrail do CloudTrail do AWS Control Tower. O log de eventos de ciclo de vida inclui o guardrailId e guardrailBehavior da proteção, e o organizationalUnitName e organizationalUnitId da UO em que a proteção foi habilitada.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "EnableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "enableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }

DisableGuardrail

Este evento de ciclo de vida registra se o AWS Control Tower desabilitou uma proteção em uma UO que está sendo gerenciada pelo AWS Control Tower. Esse evento corresponde ao evento DisableGuardrail do CloudTrail do AWS Control Tower. O log de eventos de ciclo de vida inclui o guardrailId e guardrailBehavior da proteção, e o organizationalUnitName e organizationalUnitId da UO em que a proteção foi desabilitada.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DisableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "disableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }

SetupLandingZone

Este evento de ciclo de vida registra se o AWS Control Tower configurou uma landing zone com êxito. Esse evento corresponde ao evento SetupLandingZone do CloudTrail do AWS Control Tower. O log de eventos do ciclo de vida inclui orootOrganizationalId, que é o ID da organização que o AWS Control Tower cria a partir da conta de gerenciamento. A entrada de registro também inclui oorganizationalUnitNameeorganizationalUnitIdpara cada uma das OUs, e oaccountNameeaccountIdPara cada conta, que são criados quando o AWS Control Tower configura a landing zone.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management-account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "SetupLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "setupLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire lifecycle operation. "message": "AWS Control Tower successfully set up a new landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

UpdateLandingZone

Este evento de ciclo de vida registra se o AWS Control Tower atualizou sua landing zone existente com êxito. Esse evento corresponde ao evento UpdateLandingZone do CloudTrail do AWS Control Tower. O log de eventos do ciclo de vida inclui orootOrganizationalId, que é o ID da organização (atualizada) governada pelo AWS Control Tower. A entrada de registro também inclui oorganizationalUnitNameeorganizationalUnitIdpara cada uma das OUs, e oaccountNameeaccountIdPara cada conta que foi criada anteriormente, quando o AWS Control Tower configurou a landing zone originalmente.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire operation. "message": "AWS Control Tower successfully updated a landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

RegisterOrganizationalUnit

Este evento de ciclo de vida registra se o AWS Control Tower habilitou os recursos de governança com êxito em uma UO. Esse evento corresponde ao evento RegisterOrganizationalUnit do CloudTrail do AWS Control Tower. O log de eventos do ciclo de vida inclui oorganizationalUnitNameeorganizationalUnitIdda UO que a AWS Control Tower trouxe sob governança.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "123456789012", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "RegisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "registerOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully registered an organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", "organizationalUnitId": "ou-adpf-302pk332" } "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

DeregisterOrganizationalUnit

Este evento de ciclo de vida registra se o AWS Control Tower desabilitou os recursos de governança com êxito em uma UO. Esse evento corresponde ao evento DeregisterOrganizationalUnit do CloudTrail do AWS Control Tower. O log de eventos do ciclo de vida inclui oorganizationalUnitNameeorganizationalUnitIdda UO em que o AWS Control Tower desabilitou os recursos de governança.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DeregisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "deregisterOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", // Foundational OU name. "organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID. }, "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

PrecheckOrganizationalUnit

Este evento de ciclo de vida registra se o AWS Control Tower realizou pré-verificações em uma UO com êxito. Esse evento corresponde ao evento PrecheckOrganizationalUnit do CloudTrail do AWS Control Tower. O log de eventos do ciclo de vida contém um campo para oId,Name, efailedPrechecksvalores, para cada recurso em que a AWS Control Tower realizou pré-verificações durante o processo de registro da UO.

O log de eventos também contém informações sobre as contas aninhadas nas quais as pré-verificações foram executadas, incluindo oaccountName,accountId, efailedPrecheckscampos.

Se ofailedPrechecksvalor está vazio, isso significa que todas as pré-verificações desse recurso foram aprovadas com sucesso.

  • Este evento é emitido somente se houver uma falha de pré-verificação.

  • Este evento não será emitido se você estiver registrando uma UO vazia.

Exemplo de evento:

{ "eventVersion": "1.08", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2021-09-20T22:45:43Z", "eventSource": "controltower.amazonaws.com", "eventName": "PrecheckOrganizationalUnit", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "XXXXXXXXXXXX", "serviceEventDetails": { "precheckOrganizationalUnitStatus": { "organizationalUnit": { "organizationalUnitName": "Ou-123", "organizationalUnitId": "ou-abcd-123456", "failedPrechecks": [ "SCP_CONFLICT" ] }, "accounts": [ { "accountName": "Child Account 1", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Child Account 2", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Management Account", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "MISSING_PERMISSIONS_AF_PRODUCT" ] }, { "accountName": "Child Account 3", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [] }, ... ], "state": "FAILED", "message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.", "requestedTimestamp": "2021-09-20T22:44:02+0000", "completedTimestamp": "2021-09-20T22:45:43+0000" } }, "eventCategory": "Management" }