本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
偵測並解決 AWS Control Tower 中的偏離
識別和解決偏離是 AWS Control Tower 管理帳戶管理員的常規操作任務。解決偏離有助於確保您符合控管要求。
當您建立登陸區域時,登陸區域和所有組織單位 (OUs)、帳戶和資源都符合您選擇的控制項強制執行的控管規則。當您和您的組織成員使用登陸區域時,可能會發生此合規狀態的變更。有些變更可能是意外,有些則是為了回應時間急迫性運作事件而刻意為之。
偏離偵測可協助您找出需要變更或組態更新的資源,以解決偏離。
偵測偏離
AWS Control Tower 會自動偵測漂移。若要偵測偏離,AWSControlTowerAdmin角色需要持續存取您的管理帳戶,以便 AWS Control Tower 可以對 進行唯讀 API 呼叫 AWS Organizations。這些 API 呼叫會顯示為 AWS CloudTrail 事件。
漂移會呈現在稽核帳戶中彙總的 Amazon Simple Notification Service (Amazon SNS) 通知中。每個成員帳戶中的通知都會傳送提醒至本機 Amazon SNS 主題,以及 Lambda 函數。
對於屬於 AWS Security Hub 服務受管標準的控制項:AWS Control Tower,漂移會顯示在 AWS Control Tower 主控台的帳戶和帳戶詳細資訊頁面上,以及透過 Amazon SNS 通知顯示。
成員帳戶管理員 (根據最佳實務,他們應該) 可訂閱特定帳戶的 SNS 偏離通知。例如,aws-controltower-AggregateSecurityNotificationsSNS 主題會提供偏離通知。AWS Control Tower 主控台會在發生偏離時向管理帳戶管理員指示 。如需偏離偵測和通知 SNS 主題的詳細資訊,請參閱偏離預防和通知。
偏離通知刪除重複
如果同一組資源多次發生相同類型的偏離,AWS Control Tower 只會針對初始偏離執行個體傳送 SNS 通知。如果 AWS Control Tower 偵測到此漂移執行個體已修復,則只有在這些相同資源重新發生漂移時,才會傳送另一個通知。
範例:以下列方式處理帳戶偏離和 SCP 偏離
-
如果您多次修改相同的受管 SCP,則第一次修改時會收到通知。
-
如果您修改受管 SCP,然後修復偏離,然後再次修改,您將收到兩個通知。
-
如果帳戶在相同來源和目的地 OUs之間移動多次,而未先修復偏離,即使帳戶在這些 OUs 之間移動超過一次,也會傳送單一通知。
帳戶偏離的類型
-
帳戶在 OUs之間移動
-
帳戶已從組織中移除
注意
當您將帳戶從一個 OU 移至另一個 OU 時,不會移除先前 OU 的控制項。如果您在目的地 OU 上啟用任何新的勾點型控制,舊的 掛鉤型控制會從 帳戶移除,而新的控制會取代它。帳戶變更 OUs 時,一律必須手動移除使用 SCPs 和 AWS Config 規則實作的控制項。
政策偏離的類型
-
SCP 已更新
-
連接到 OU 的 SCP
-
SCP 從 OU 分離
-
連接至帳戶的 SCP
如需詳細資訊,請參閱控管偏離的類型。
解決偏離
雖然偵測是自動的,但解決偏離的步驟必須透過主控台手動完成,或者透過呼叫 ResetEnabledControl API 進行控制。
當您採取動作來解決登陸區域版本上的偏離時,有兩種行為是可能的。
-
如果您使用的是最新的登陸區域版本,當您選擇重設,然後選擇確認時,偏離的登陸區域資源會重設為儲存的 AWS Control Tower 組態。登陸區域版本保持不變。
-
如果您不是最新版本,則必須選擇更新。登陸區域已升級至最新的登陸區域版本。漂移會在此程序中解決。
偏離和 SCP 掃描的考量
AWS Control Tower 會每天掃描受管 SCPs,以確認對應的控制項已正確套用,而且尚未漂移。若要擷取 SCPs 並對其執行檢查,AWS Control Tower 會使用您管理帳戶中的角色 AWS Organizations 代表您呼叫 。
如果 AWS Control Tower 掃描發現偏離,您將會收到通知。AWS Control Tower 每個偏離問題只會傳送一個通知,因此如果您的登陸區域已經處於偏離狀態,除非找到新的偏離項目,否則不會收到其他通知。
AWS Organizations 會限制呼叫其每個 APIs的頻率。此限制以每秒交易數 (TPS) 表示,稱為 TPS 限制、限流率或 API 請求率。當 AWS Control Tower 透過呼叫 來稽核您的 SCPs 時 AWS Organizations,AWS Control Tower 發出的 API 呼叫會計入您的 TPS 限制,因為 AWS Control Tower 會使用 管理帳戶來進行呼叫。
在極少數情況下,無論您透過第三方解決方案或您撰寫的自訂指令碼,重複呼叫相同的 APIs 時都可以達到此限制。例如,如果您和 AWS Control Tower 在同一時間 (1 秒內) 呼叫相同的 AWS Organizations APIs,並達到 TPS 限制,後續呼叫就會受到調節。也就是說,這些呼叫會傳回錯誤,例如 Rate exceeded。
如果超過 API 請求率
-
如果 AWS Control Tower 達到限制並受到調節,我們會暫停稽核的執行,並在稍後繼續執行。
-
如果您的工作負載達到限制並受到調節,結果可能從輕微延遲到工作負載中的嚴重錯誤,取決於工作負載的設定方式。此邊緣案例是需要注意的事項。
每日 SCP 掃描包含
-
擷取您最近作用中OUs。
-
對於每個已註冊的 OU,擷取由 AWS Control Tower 管理且連接至 OU 的所有 SCPs。受管 SCPs具有開頭為 的識別符
aws-guardrails。 -
對於在 OU 上啟用的每個預防性控制項,驗證控制項的政策陳述式是否存在於 OU 的受管 SCPs 中。
OU 可能有一或多個受管 SCPs。
要立即解決的偏離類型
系統管理員可以解決大多數類型的偏離。必須立即解決幾種類型的偏離,包括刪除 AWS Control Tower 登陸區域所需的組織單位。以下是一些您可能想要避免的主要偏離範例:
-
請勿刪除安全 OU:不應刪除 AWS Control Tower 在登陸區域設定期間原本名為安全的組織單位。如果您刪除它,您會看到錯誤訊息,指示您立即重設登陸區域。在重設完成之前,您將無法在 AWS Control Tower 中採取任何其他動作。
-
請勿刪除必要的角色:當您登入主控台進行 IAM 角色偏離時,AWS Control Tower 會檢查特定 AWS Identity and Access Management (IAM) 角色。 如果這些角色遺失或無法存取,您會看到錯誤頁面,指示您重設登陸區域。這些角色是
AWSControlTowerAdminAWSControlTowerCloudTrailRoleAWSControlTowerStackSetRole。如需這些角色的詳細資訊,請參閱 使用 AWS Control Tower 主控台所需的許可。
-
請勿刪除所有其他 OUs:如果您在 AWS Control Tower 設定登陸區域期間刪除原本名為沙盒的組織單位,您的登陸區域將處於偏離狀態,但您仍可使用 AWS Control Tower。AWS Control Tower 至少需要一個額外的 OU 才能運作,但它不必是沙盒 OU。
-
請勿移除共用帳戶:如果您從基礎 OUs 移除共用帳戶,例如從安全 OU 移除記錄帳戶,您的登陸區域將處於偏離狀態。您必須先重設登陸區域,才能繼續使用 AWS Control Tower 主控台。
資源的可修復變更
以下是允許的 AWS Control Tower 資源變更清單,雖然這些資源會建立可解決的偏離。這些允許的操作結果可在 AWS Control Tower 主控台中檢視,但可能需要重新整理。
如需如何解決產生的偏離的詳細資訊,請參閱 AWS Control Tower 外部的管理資源。
AWS Control Tower 主控台允許變更
-
變更已註冊 OU 的名稱。
-
變更安全 OU 的名稱。
-
變更非實體 OUs 中成員帳戶的名稱。
-
在 Security OU 中變更 AWS Control Tower 共用帳戶的名稱。
-
刪除非實體 OU。
-
從非實體 OU 刪除已註冊的帳戶。
-
在 Security OU 中變更共用帳戶的電子郵件地址。
-
變更已註冊 OU 中成員帳戶的電子郵件地址。
注意
在 OUs 之間移動帳戶會被視為偏離,且必須加以解決。
偏離和新帳戶佈建
如果您的登陸區域處於偏離狀態,AWS Control Tower 中的註冊帳戶功能將無法運作。在這種情況下,您必須透過 AWS Service Catalog 佈建新帳戶。如需說明,請參閱 使用 Account Factory 佈建 AWS Service Catalog 帳戶 。
特別是,如果您已透過 Service Catalog 對帳戶進行特定變更,例如變更產品組合的名稱,則註冊帳戶功能將無法運作。
