As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Prevenção e notificação de desvios
Você pode ativar determinados controles e assinar determinadas notificações do SNS que ajudam a manter a conformidade na AWS Control Tower.
Proteção de monitoramento de deriva
O AWS Control Tower fornece métodos passivos e ativos de proteção de monitoramento de deriva para controles preventivos.
-
Proteção passiva: AWS Organizations monitora e registra o desvio do controle preventivo (SCP).
-
Proteção ativa: o serviço de monitoramento de deriva do AWS Control Tower verifica ativamente os SCPs de controle preventivo regularmente.
O AWS Control Tower notifica você por meio de mensagens do SNS, se um desvio for detectado.
Prevenção de deriva
Alguns controles impedem a modificação dos mecanismos de relatórios de conformidade.
-
Proibir alterações na Regras do AWS Config configuração do AWS Control Tower(Controle obrigatório e preventivo)
-
Proibir a exclusão de autorizações de agregação do AWS Config criadas pela AWS Control Tower(Controle obrigatório e preventivo)
-
Proibir alterações nas tags criadas pelo AWS Control Tower for Resources AWS Config(Controle obrigatório e preventivo)
-
Desautorizar alterações na configuração do AWS Config(Controle obrigatório e preventivo)
Ao contrário dos controles preventivos, os controles de detetive notificam você sobre recursos que violam a regra Config associada AWS .
Para receber notificações do SNS sobre conformidade de desvios e controles
Para obter informações sobre como receber notificações apropriadas de conformidade de controle e deriva pelo Amazon SNS, consulte. Notificações de conformidade pelo SNS na conta de auditoria
Editores e assinantes de tópicos do SNS
O aws-controltower-AllConfigNotifications
tópico:
-
O
AWS::Config::DeliveryChannel
recurso está configurado para enviar notificações sobre alterações de configuração neste tópico. -
Os tipos possíveis de notificações que AWS Config podem ser enviadas são definidos na seção Tópicos do Amazon SNS da AWS Config documentação.
-
O
AWS::CloudTrail::Trail
recurso está configurado para enviar notificações sobre a entrega do arquivo de log para esse tópico. -
Você pode se inscrever neste tópico.
O aws-controltower-SecurityNotifications
tópico:
-
O
AWS::Events::Rule
recurso está configurado para enviar notificações sobre alterações de conformidade de AWS Config regras (um dos tipos de notificação do SNS) para este tópico. -
A função
aws-controltower-NotificationForwarder
Lambda está inscrita neste tópico e encaminha as notificações do SNS para o tópico.aws-controltower-AggregateSecurityNotifications
O aws-controltower-AggregateSecurityNotifications
tópico:
-
Este tópico recebe notificações de
aws-controltower-SecurityNotifications
, encaminhadas pela função Lambda. -
Ele também recebe notificações de deriva na região de origem.
-
Quando o AWS Control Tower cria o tópico, uma assinatura é adicionada ao endereço de e-mail da conta de auditoria e você deve confirmar a assinatura.
nota
O endpoint, como um endereço de e-mail, deve confirmar cada assinatura. O SNS não envia mensagens para um endpoint até que a assinatura seja confirmada.