As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Prevenção e notificação de deriva
Você pode ativar determinados guardrails e assinar determinadas notificações do SNS que ajudam a manter a conformidade na AWS Control Tower.
Proteção de monitoramento de desvio
A AWS Control Tower fornece métodos passivos e ativos de proteção de monitoramento de desvios para proteções preventivas.
-
Proteção passiva: AWS CloudTrailmonitora e registra o desvio preventivo do guardrail (SCP).
-
Proteção ativa: AWS Control Towerserviço de monitoramento de desvioverifica ativamente os SCPs de proteção de proteção de proteção de proteção de proteção de proteção, regularmente.
A AWS Control Tower notifica você por meio de mensagens do SNS, se for detectado desvio.
Prevenção de oscilações
Algumas grades de proteção impedem a modificação dos mecanismos de relatório de conformidade.
-
Desautorizar alterações feitas noAWS Config RulesConfigurada pela AWS Control Tower(Guardrail obrigatório e preventivo)
-
Não permitir a exclusão das autorizações de agregação do AWS Config criadas pela AWS Control Tower(Guardrail obrigatório e preventivo)
-
Não permitir alterações em tags criadas pela AWS Control Tower paraAWS ConfigRecursos(Guardrail obrigatório e preventivo)
-
Desautorizar alterações na configuração do AWS Config(Guardrail obrigatório e preventivo)
Em contraste com as grades de proteção preventivas, as grades de proteção de detetives notificam você sobre recursos que violam osAWSRegra de Config.
Para receber notificações do SNS sobre conformidade com desvios e guardrail
Para obter informações sobre como receber notificações apropriadas de proteção e proteção pelo Amazon SNS, consulteNotificações de conformidade do Guardrail pelo SNS.
Editores e assinantes para tópicos do SNS
Oaws-controltower-AllConfigNotifications
tópico
-
O
AWS::Config::DeliveryChannel
O recurso está configurado para enviar notificações sobre alterações de configuração para este tópico. -
Os tipos possíveis de notificações queAWS Configpode enviar são definidos naTópico do Amazon SNSseçãodoAWS Configdocumentação.
-
O
AWS::CloudTrail::Trail
O recurso está configurado para enviar notificações de entrega do arquivo de log para este tópico. -
Você pode se inscrever neste tópico.
Oaws-controltower-SecurityNotifications
tópico
-
O
AWS::Events::Rule
recurso está configurado para enviar notificações sobreAWS ConfigAlterações de conformidade de regras (um dos tipos de notificação do SNS) neste tópico. -
O
aws-controltower-NotificationForwarder
A função Lambda está inscrita neste tópico e encaminha as notificações do SNS para oaws-controltower-AggregateSecurityNotifications
tópico.
Oaws-controltower-AggregateSecurityNotifications
tópico
-
Este tópico recebe notificações de
aws-controltower-SecurityNotifications
, encaminhado pela função do Lambda. -
Ele também recebe notificações de desvio na região de origem.
-
Quando a AWS Control Tower cria o tópico, uma assinatura é adicionada para o endereço de e-mail da conta de auditoria e você deve confirmar a assinatura.
O endpoint, como um endereço de e-mail, deve confirmar cada assinatura, o SNS não envia mensagens para um endpoint até que a assinatura seja confirmada.