Prevenção e notificação de deriva - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Prevenção e notificação de deriva

Você pode ativar determinados guardrails e assinar determinadas notificações do SNS que ajudam a manter a conformidade na AWS Control Tower.

Proteção de monitoramento de desvio

A AWS Control Tower fornece métodos passivos e ativos de proteção de monitoramento de desvios para proteções preventivas.

  • Proteção passiva: AWS CloudTrailmonitora e registra o desvio preventivo do guardrail (SCP).

  • Proteção ativa: AWS Control Towerserviço de monitoramento de desvioverifica ativamente os SCPs de proteção de proteção de proteção de proteção de proteção de proteção, regularmente.

A AWS Control Tower notifica você por meio de mensagens do SNS, se for detectado desvio.

Prevenção de oscilações

Algumas grades de proteção impedem a modificação dos mecanismos de relatório de conformidade.

Em contraste com as grades de proteção preventivas, as grades de proteção de detetives notificam você sobre recursos que violam osAWSRegra de Config.

Para receber notificações do SNS sobre conformidade com desvios e guardrail

Para obter informações sobre como receber notificações apropriadas de proteção e proteção pelo Amazon SNS, consulteNotificações de conformidade do Guardrail pelo SNS.

Editores e assinantes para tópicos do SNS

Oaws-controltower-AllConfigNotificationstópico

  • OAWS::Config::DeliveryChannelO recurso está configurado para enviar notificações sobre alterações de configuração para este tópico.

  • Os tipos possíveis de notificações queAWS Configpode enviar são definidos naTópico do Amazon SNSseçãodoAWS Configdocumentação.

  • OAWS::CloudTrail::TrailO recurso está configurado para enviar notificações de entrega do arquivo de log para este tópico.

  • Você pode se inscrever neste tópico.

Oaws-controltower-SecurityNotificationstópico

  • OAWS::Events::Rulerecurso está configurado para enviar notificações sobreAWS ConfigAlterações de conformidade de regras (um dos tipos de notificação do SNS) neste tópico.

  • Oaws-controltower-NotificationForwarderA função Lambda está inscrita neste tópico e encaminha as notificações do SNS para oaws-controltower-AggregateSecurityNotificationstópico.

Oaws-controltower-AggregateSecurityNotificationstópico

  • Este tópico recebe notificações deaws-controltower-SecurityNotifications, encaminhado pela função do Lambda.

  • Ele também recebe notificações de desvio na região de origem.

  • Quando a AWS Control Tower cria o tópico, uma assinatura é adicionada para o endereço de e-mail da conta de auditoria e você deve confirmar a assinatura.

nota

O endpoint, como um endereço de e-mail, deve confirmar cada assinatura, o SNS não envia mensagens para um endpoint até que a assinatura seja confirmada.