As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Eventos do ciclo de vida no AWS Control Tower
Alguns eventos registrados pela AWS Control Tower são eventos do ciclo de vida. O objetivo de um evento de ciclo de vida é marcar a conclusão de determinadas ações da AWS Control Tower que alteram o estado dos recursos. Os eventos do ciclo de vida se aplicam aos recursos que a AWS Control Tower cria ou gerencia, como unidades organizacionais (OUs), contas e controles.
Características dos eventos do ciclo de vida da AWS Control Tower
-
Para cada evento de ciclo de vida, o log de eventos mostra se a ação de origem do Control Tower foi concluída com êxito ou falhou.
-
AWS CloudTrailregistra automaticamente cada evento do ciclo de vida como um evento de AWSserviço que não é da API. Para obter mais informações, consulte o Guia doAWS CloudTrail usuário do usuário do.
-
Cada evento do ciclo de vida também é entregue aos serviços Amazon EventBridge e Amazon CloudWatch Events.
Os eventos do ciclo de vida na AWS Control Tower oferecem dois benefícios principais:
-
Como um evento de ciclo de vida registra a conclusão de uma ação da AWS Control Tower, você pode criar uma EventBridge regra da Amazon ou uma regra de CloudWatch eventos da Amazon que pode acionar as próximas etapas em seu fluxo de trabalho de automação, com base no estado do evento do ciclo de vida.
-
Os logs fornecem detalhes adicionais para auxiliar os administradores e auditores na revisão de determinados tipos de atividade nas organizações.
Como funcionam os eventos de ciclo de vida
A AWS Control Tower depende de vários serviços para implementar suas ações. Portanto, cada evento de ciclo de vida é registrado somente após uma série de ações ser concluída. Por exemplo, quando você ativa um controle em uma OU, a AWS Control Tower inicia uma série de subetapas que implementam a solicitação. O resultado final de toda a série de subetapas é registrado no log como o estado do evento de ciclo de vida.
-
Se cada subetapa subjacente tiver sido concluída com êxito, o estado do evento de ciclo de vida será registrado como Succeeded (Bem-sucedido).
-
Se qualquer uma das subetapas subjacentes não tiver sido concluída com êxito, o estado do evento de ciclo de vida será registrado como Failed (Falhou).
Cada evento do ciclo de vida inclui um registro de data e hora que mostra quando a ação da AWS Control Tower foi iniciada e outro carimbo de data/hora mostrando quando o evento do ciclo de vida foi concluído, marcando sucesso ou falha.
Como exibir eventos de ciclo de vida no Control Tower
Você pode visualizar os eventos do ciclo de vida na página Atividades no painel da AWS Control Tower.
-
Para navegar até a página Activities (Atividades), selecione Activities (Atividades) no painel de navegação esquerdo.
-
Para obter mais detalhes sobre um evento específico, selecione-o e escolha o botão View details (Exibir detalhes) no canto superior direito.
Para obter mais informações sobre como integrar os eventos do ciclo de vida da AWS Control Tower em seus fluxos de trabalho, consulte esta postagem do blog, Usando eventos do ciclo de vida para rastrear ações da AWS Control Tower e acionar fluxos de trabalho automatizados
Comportamento esperado CreateManagedAccount e eventos UpdateManagedAccount do ciclo de vida
Quando você cria uma conta ou inscreve uma conta na AWS Control Tower, essas duas ações chamam a mesma API interna. Se houver um erro durante o processo, ele geralmente ocorre após a criação da conta, mas não está totalmente provisionada. Quando você tenta criar a conta novamente após o erro ou quando tenta atualizar o produto provisionado, a AWS Control Tower vê que a conta já existe.
Como a conta existe, a AWS Control Tower registra o evento doUpdateManagedAccount
ciclo de vida em vez do evento doCreateManagedAccount
ciclo de vida no final da solicitação de nova tentativa. Talvez você esperasse ver outroCreateManagedAccount
evento por causa do erro. No entanto, o evento doUpdateManagedAccount
ciclo de vida é o comportamento esperado e desejado.
Se você planeja criar ou inscrever contas na AWS Control Tower usando métodos automatizados, programe a função Lambda para procurar eventos UpdateManagedAccountdo ciclo de vida, bem como eventos CreateManagedAccountdo ciclo de vida.
Nomes dos eventos de ciclo de vida
Cada evento do ciclo de vida é nomeado de forma que corresponda à ação original da AWS Control Tower, que também é registrada pela AWS CloudTrail. Assim, por exemplo, um evento de ciclo de vida originado pelo evento da AWS Control TowerCreateManagedAccount
CloudTrail é nomeadoCreateManagedAccount
.
Cada nome na lista a seguir é um link para um exemplo do detalhamento registrado em log no formato JSON
. Os detalhes adicionais mostrados nesses exemplos foram retirados dos registros de CloudWatch eventos da Amazon.
Embora o JSON
não ofereça suporte a comentários, alguns comentários foram acrescentados nos exemplos para fins explicativos. Eles são precedidos por "//" e aparecem no lado direito dos exemplos.
Nesses exemplos, alguns nomes de conta e de organização foram obscurecidos. Um accountId
é sempre uma sequência de 12 números, substituída por "xxxxxxxxxxxx" nos exemplos. Um organizationalUnitID
é uma cadeia única de letras e números. A forma foi preservada nos exemplos.
-
CreateManagedAccount: O registro registra se a AWS Control Tower concluiu com êxito todas as ações para criar e provisionar uma nova conta usando o Account Factory.
-
UpdateManagedAccount: O registro registra se a AWS Control Tower concluiu com êxito todas as ações para atualizar um produto provisionado associado a uma conta que você criou anteriormente usando o Account Factory.
-
EnableGuardrail: O registro registra se a AWS Control Tower concluiu com êxito todas as ações para permitir o controle de uma OU criada pela AWS Control Tower.
-
DisableGuardrail: O registro registra se a AWS Control Tower concluiu com êxito todas as ações para desativar um controle em uma OU criada pela AWS Control Tower.
-
SetupLandingZone: O registro registra se a AWS Control Tower concluiu com êxito todas as ações para configurar uma landing zone.
-
UpdateLandingZone: O registro registra se a AWS Control Tower concluiu com êxito todas as ações para atualizar sua landing zone existente.
-
RegisterOrganizationalUnit: O registro registra se a AWS Control Tower concluiu com êxito todas as ações para habilitar seus recursos de governança em uma OU.
-
DeregisterOrganizationalUnit: O registro registra se a AWS Control Tower concluiu com êxito todas as ações para desativar seus recursos de governança em uma OU.
-
PrecheckOrganizationalUnit: O registro registra se a AWS Control Tower detectou algum recurso que impedisse que a operação de governança do Extend fosse concluída com êxito.
As seções a seguir fornecem uma lista de eventos do ciclo de vida da AWS Control Tower, com exemplos dos detalhes registrados para cada tipo de evento do ciclo de vida.
CreateManagedAccount
Esse evento do ciclo de vida registra se a AWS Control Tower criou e provisionou com sucesso uma nova conta usando o Account Factory. Esse evento corresponde ao evento da AWS Control TowerCreateManagedAccount
CloudTrail . O log de eventos de ciclo de vida inclui o accountName
e o accountId
da conta recém-criada, e o organizationalUnitName
e o organizationalUnitId
da UO em que a conta foi colocada.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "CreateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "createManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"XXXXXXXXXXXX" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully created a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }
UpdateManagedAccount
Esse evento do ciclo de vida registra se a AWS Control Tower atualizou com êxito o produto provisionado associado a uma conta criada anteriormente usando o Account Factory. Esse evento corresponde ao evento da AWS Control TowerUpdateManagedAccount
CloudTrail. O log de eventos de ciclo de vida inclui o accountName
e accountId
da conta associada e o organizationalUnitName
e organizationalUnitId
da UO em que a conta atualizada é colocada.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // AWS Control Tower organization management account. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"624281831893" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully updated a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }
EnableGuardrail
Esse evento do ciclo de vida registra se a AWS Control Tower habilitou com êxito um controle em uma OU que está sendo gerenciada pela AWS Control Tower. Esse evento corresponde ao evento da AWS Control TowerEnableGuardrail
CloudTrail . O registro de eventos do ciclo de vida inclui oguardrailId
eguardrailBehavior
do controle e oorganizationalUnitName
eorganizationalUnitId
da OU na qual o controle está ativado.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "EnableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "enableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }
DisableGuardrail
Esse evento do ciclo de vida registra se a AWS Control Tower desativou com êxito um controle em uma OU que está sendo gerenciada pela AWS Control Tower. Esse evento corresponde ao evento da AWS Control TowerDisableGuardrail
CloudTrail . O registro de eventos do ciclo de vida inclui oguardrailId
eguardrailBehavior
do controle e oorganizationalUnitName
eorganizationalUnitId
da OU na qual o controle está desativado.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DisableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "disableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }
SetupLandingZone
Esse evento do ciclo de vida registra se a AWS Control Tower configurou com êxito uma zona de aterrissagem. Esse evento corresponde ao evento da AWS Control TowerSetupLandingZone
CloudTrail . O registro de eventos do ciclo de vida inclui orootOrganizationalId
, que é o ID da organização que a AWS Control Tower cria a partir da conta de gerenciamento. A entrada de registro também inclui oorganizationalUnitName
eorganizationalUnitId
para cada uma das OUs e oaccountName
eaccountId
para cada conta, que são criadas quando a AWS Control Tower configura a landing zone.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management-account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "SetupLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "setupLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire lifecycle operation. "message": "AWS Control Tower successfully set up a new landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
UpdateLandingZone
Esse evento do ciclo de vida registra se a AWS Control Tower atualizou com êxito sua landing zone existente. Esse evento corresponde ao evento da AWS Control TowerUpdateLandingZone
CloudTrail . O registro de eventos do ciclo de vida inclui orootOrganizationalId
, que é o ID da organização (atualizada) governada pela AWS Control Tower. A entrada de registro também inclui oorganizationalUnitName
eorganizationalUnitId
para cada uma das OUs e oaccountName
eaccountId
para cada conta, que foi criada anteriormente, quando a AWS Control Tower configurou originalmente a landing zone.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire operation. "message": "AWS Control Tower successfully updated a landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
RegisterOrganizationalUnit
Esse evento do ciclo de vida registra se a AWS Control Tower habilitou com êxito seus recursos de governança em uma OU. Esse evento corresponde ao evento da AWS Control TowerRegisterOrganizationalUnit
CloudTrail . O registro de eventos do ciclo de vida inclui oorganizationalUnitName
eorganizationalUnitId
da UO que a AWS Control Tower colocou sob sua governança.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "123456789012", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "RegisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "registerOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully registered an organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", "organizationalUnitId": "ou-adpf-302pk332" } "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
DeregisterOrganizationalUnit
Esse evento do ciclo de vida registra se a AWS Control Tower desativou com êxito seus recursos de governança em uma OU. Esse evento corresponde ao evento da AWS Control TowerDeregisterOrganizationalUnit
CloudTrail . O registro de eventos do ciclo de vida inclui oorganizationalUnitName
eorganizationalUnitId
da OU na qual a AWS Control Tower desativou seus recursos de governança.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DeregisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "deregisterOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", // Foundational OU name. "organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID. }, "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
PrecheckOrganizationalUnit
Esse evento do ciclo de vida registra se a AWS Control Tower realizou com êxito as pré-verificações em uma OU. Esse evento corresponde ao evento da AWS Control TowerPrecheckOrganizationalUnit
CloudTrail . O registro de eventos do ciclo de vida contém um campo para osfailedPrechecks
valoresId
, eName
, para cada recurso no qual a AWS Control Tower realizou verificações prévias durante o processo de registro da UO.
O registro de eventos também contém informações sobre as contas aninhadas nas quais as pré-verificações foram realizadasaccountName
accountId
, incluindo osfailedPrechecks
campos, e.
Se ofailedPrechecks
valor estiver vazio, significa que todas as pré-verificações desse recurso foram aprovadas com êxito.
-
Esse evento é emitido somente se houver uma falha na pré-verificação.
-
Esse evento não é emitido se você estiver registrando uma OU vazia.
Exemplo de evento:
{ "eventVersion": "1.08", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2021-09-20T22:45:43Z", "eventSource": "controltower.amazonaws.com", "eventName": "PrecheckOrganizationalUnit", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "XXXXXXXXXXXX", "serviceEventDetails": { "precheckOrganizationalUnitStatus": { "organizationalUnit": { "organizationalUnitName": "Ou-123", "organizationalUnitId": "ou-abcd-123456", "failedPrechecks": [ "SCP_CONFLICT" ] }, "accounts": [ { "accountName": "Child Account 1", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Child Account 2", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Management Account", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "MISSING_PERMISSIONS_AF_PRODUCT" ] }, { "accountName": "Child Account 3", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [] }, ... ], "state": "FAILED", "message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.", "requestedTimestamp": "2021-09-20T22:44:02+0000", "completedTimestamp": "2021-09-20T22:45:43+0000" } }, "eventCategory": "Management" }