本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
偵測並解決 AWS Control Tower 中的漂移
識別和解決漂移是 AWS Control Tower 管理帳戶管理員的常規操作任務。解決漂移有助於確保您遵守治理要求。
當您建立 landing zone 域時,landing zone 域及所有組織單位 (OU)、帳戶和資源都符合您選擇的控制項強制執行的治理規則。當您和您的組織成員使用 landing zone 時,此規範狀態可能會發生變更。有些變更可能是意外,有些則是為了回應時間急迫性運作事件而刻意為之。
偏離偵測可協助您找出需要變更或組態更新的資源,以解決偏離。
偵測漂移
AWS Control Tower 會自動偵測漂移。若要偵測漂移,該AWSControlTowerAdmin角色需要持續存取您的管理帳戶,以便 AWS Control Tower 可以對其進行唯讀 API 呼叫 AWS Organizations。這些 API 呼叫會顯示為 AWS CloudTrail 事件。
漂移在亞馬遜簡單通知服務 (Amazon SNS) 通知中浮出水面,這些通知彙總在稽核帳戶中。每個成員帳戶中的通知會傳送警示至本機 Amazon SNS 主題和 Lambda 函數。
對於屬於 AWS Security Hub 服務管理標準:AWS Control Tower 一部分的控制項,漂移會顯示在 AWS Control Twer 主控台的帳戶和帳戶詳細資訊頁面上,以及 Amazon SNS 通知。
成員帳戶管理員 (根據最佳實務,他們應該) 可訂閱特定帳戶的 SNS 偏離通知。例如,aws-controltower-AggregateSecurityNotificationsSNS 主題提供漂移通知。AWS Control 塔主控台會在發生漂移時向管理帳戶管理員指示。如需有關漂移偵測和通知的 SNS 主題的詳細資訊,請參閱漂移預防和通知。
漂移通知重複刪除
如果同一組資源多次發生相同類型的漂移,AWS Control Tower 只會針對初始漂移執行個體傳送 SNS 通知。如果 AWS Control Tower 偵測到此漂移執行個體已修復,則只有在這些相同資源重新發生漂移時,才會傳送另一個通知。
示例:帳戶漂移和 SCP 漂移按以下方式處理
-
如果您多次修改相同的受管理 SCP,您會在第一次修改時收到通知。
-
如果您修改託管 SCP,然後修復漂移,然後再次修改,您將收到兩個通知。
-
如果帳戶在相同來源和目的地 OU 之間移動多次,但未先修復漂移,則會傳送單一通知,即使該帳戶在這些 OU 之間移動一次以上。
帳戶漂移類型
-
帳戶在 OU 之間移動
-
已從組織移除的帳號
注意
當您將帳戶從一個 OU 移至另一個 OU 時,不會移除先前 OU 中的控制項。如果您在目的地 OU 上啟用任何新的掛接式控制項,舊的 系統會從帳戶中移除以掛接為基礎的控制項,而新的控制項則會取代它。當帳戶變更 OU 時,必須手動移除使用 SCP 和 AWS Config 規則實作的控制項。
政策漂移的類型
-
SCP 已更新
-
附加至 OU 的 SCP
-
從 OU 中分離的 SCP
-
SCP 附加至帳戶
如需詳細資訊,請參閱治理漂移的類型。
解決漂移
雖然偵測是自動的,但解決偏離的步驟必須透過主控台完成。
當您採取行動解決 landing zone 版本上的漂移問題時,有兩種行為可能。
-
如果您使用的是最新的登陸區域版本,當您選擇「重設」然後選擇「確認」時,漂移的 landing zone 域資源會重設為儲存的 AWS Control Tower 組態。landing zone 版本保持不變。
-
如果您不是使用最新版本,則必須選擇「更新」。landing zone 已升級至最新的 landing zone 版本。漂移已作為此過程的一部分解決。
關於漂移和 SCP 掃描的注意事項
AWS Control Tower 每天掃描您的受管 SCP,以確認對應的控制項已正確套用,以及它們沒有漂移。若要擷取 SCP 並對其執行檢查,AWS Control Tower 會使用管理帳戶中的角色代表您呼叫 AWS Organizations 。
如果 AWS Control Tower 掃描發現漂移,您會收到通知。AWS Control Tower 每個漂移問題只會傳送一個通知,因此,如果您的 landing zone 已處於漂移狀態,除非找到新的漂移項目,否則您將不會收到其他通知。
AWS Organizations 限制每個 API 可以調用的頻率。此限制以每秒交易數 (TPS) 表示,稱為 TPS 限制、節流率或 API 要求率。當 AWS Control Tower 透過呼叫稽核 SCP 時 AWS Organizations,AWS Control Tower 發出的 API 呼叫會計入您的 TPS 限制,因為 AWS Control Tower 使用管理帳戶進行呼叫。
在極少數情況下,當您重複呼叫相同的 API 時,無論是透過協力廠商解決方案還是您撰寫的自訂指令碼,都可以達到此限制。例如,如果您和 AWS Control Tower 在同一時間 (1 秒內) 呼叫相同的 AWS Organizations API,且達到 TPS 限制,則後續呼叫會被限制。也就是說,這些調用返回一個錯誤,例如Rate exceeded。
如果超過 API 請求率
-
如果 AWS Control Tower 達到限制且受到限制,我們會暫停稽核的執行,稍後再繼續執行。
-
如果您的工作負載達到限制並受到限制,則結果的範圍可能從輕微的延遲到工作負載中的嚴重錯誤,具體取決於工作負載的設定方式。這種邊緣情況是需要注意的。
每日 SCP 掃描包含
-
擷取您最近作用中的 OU。
-
針對每個已註冊的 OU,擷取由 AWS Control Tower 管理且連接至 OU 的所有 SCP。受管理的 SCP 具有以
aws-guardrails開頭的識別碼。 -
針對 OU 上啟用的每個預防性控制項,驗證控制項的原則陳述式是否存在於 OU 的受管理 SCP 中。
OU 可能有一或多個受管理的 SCP。
要立即解決的漂移類型
系統管理員可以解決大多數類型的偏離。必須立即解決幾種類型的漂移問題,包括刪除 AWS Control Tower landing zone 所需的組織單位。以下是您可能希望避免的一些主要漂移示例:
-
請勿刪除安全 OU:不應刪除 AWS Control Tower 設定 landing zone 期間原本命名為 Security 的組織單位。如果您將其刪除,您會看到錯誤訊息,指示您立即重設 landing zone 域。在重設完成之前,您將無法在 AWS Control Tower 中採取任何其他動作。
-
不要刪除必要的角色:當您登入主控台以取得 IAM 角色漂移時,AWS Control Tower 會檢查特定 AWS Identity and Access Management (IAM) 角色。如果這些角色遺失或無法存取,您會看到錯誤頁面,指示您重設 landing zone。這些角色是
AWSControlTowerAdminAWSControlTowerCloudTrailRoleAWSControlTowerStackSetRole.如需這些角色的詳細資訊,請參閱使用 AWS Control Tower 主控台所需的許可。
-
不要刪除所有其他 OU:如果您在 AWS Control Tower 設定的登陸區域期間刪除原本名為 Sandbox 的組織單位,您的 landing zone 域將處於漂移狀態,但您仍然可以使用 AWS Control Tower。AWS Control Tower 至少需要一個額外的 OU 才能運作,但不一定是沙箱 OU。
-
不要移除共用帳戶:如果您從基礎 OU 移除共用帳戶 (例如從安全性 OU 移除記錄帳戶),您的 landing zone 將處於漂移狀態。您必須先重設 landing zone,才能繼續使用 AWS Control Tower 主控台。
資源的可修復變更
以下是允許的 AWS Control Tower 資源變更清單,但這些資源會建立可解析的漂移。雖然可能需要重新整理,但可在 AWS Control Tower 主控台中檢視這些允許操作的結果。
如需如何解決產生的偏移問題的詳細資訊,請參閱管理 AWS Control Tower 以外的資源。
AWS Control Tower 主控台外允許的變更
-
變更已註冊 OU 的名稱。
-
變更安全性 OU 的名稱。
-
變更非基礎 OU 中成員帳戶的名稱。
-
變更安全 OU 中 AWS Control Tower 共用帳戶的名稱。
-
刪除非基礎 OU。
-
從非基礎 OU 刪除已註冊的帳戶。
-
在安全性 OU 中變更共用帳戶的電子郵件地址。
-
在註冊的 OU 中變更會員帳號的電子郵件地址。
注意
在 OU 之間移動帳戶被認為是漂移,並且必須解決。
偏離和新帳戶佈建
如果您的 landing zone 域處於漂移狀態,AWS Control Tower 中的註冊帳戶功能將無法運作。在這種情況下,您必須透過 AWS Service Catalog 佈建新帳戶。如需說明,請參閱使用 AWS Service Catalog Account Factory 佈建帳戶 。
特別是,如果您透過 Service Catalog 對帳戶進行了某些變更,例如變更產品組合的名稱,則註冊帳戶功能將無法運作。
