移動成員帳戶後移除成員帳戶後未計劃的受管 SCP 更新連接到受管 OU 的 SCP 從受管 OU 分離的 SCP 連接到成員帳戶的 SCP 已刪除的基礎 OU Security Hub 控制漂移信任存取已停用

管控偏離的類型

當 OU、SCP 和成員帳戶變更或更新時，就會發生治理偏移，也稱為組織偏移。可在 AWS Control Tower 中偵測到的控管偏移類型如下：

移動成員帳戶後
移除成員帳戶後
未計劃的受管 SCP 更新
連接到成員帳戶的 SCP
連接到受管 OU 的 SCP
從受管 OU 分離的 SCP
已刪除的基礎 OU
Security Hub 控制漂移
信任存取已停用

另一種漂移類型是 landing zone 漂移，可以通過管理帳戶找到。著陸區域漂移包含 IAM 角色漂移，或特別影響基礎 OU 和共用帳戶的任何類型的組織漂移。

landing zone 漂移的一個特殊情況是角色漂移，當所需的角色不可用時會被檢測到。如果發生這種類型的漂移，控制台會顯示警告頁面以及有關如何還原角色的一些說明。在角色漂移解決之前，您的 landing zone 將無法使用。有關漂移的更多信息，請參閱名為的部分中的不刪除必要角色要立即解決的漂移類型。

AWS Control Tower 不會尋找與管理帳戶搭配使用的其他服務相關的漂移 CloudTrail CloudWatch AWS CloudFormation AWS Config，包括 IAM 身分中心等。兒童帳戶不可用漂移偵測，因為這些帳戶受到預防性強制性控制的保護。

但是，它會報告與AWS Security Hub 服務管理標準：AWS Control Tower 一部分的控制有關的漂移。

移動成員帳戶後

這種類型的漂移發生在帳戶上，而不是 OU 上。當 AWS Control Tower 成員帳戶、稽核帳戶或日誌存檔帳戶從註冊的 AWS Control Tower OU 移至任何其他 OU 時，可能會發生這種類型的漂移。以下是偵測到此類漂移時 Amazon SNS 通知的範例。



{
  "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS",
  "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 300 accounts, you must update the provisioned product in Account Factory.",
  "AccountId" : "012345678909",
  "SourceId" : "012345678909",
  "DestinationId" : "ou-3210-1EXAMPLE"
}

解決方案

在具有多達 300 個帳戶的 OU 中，Account Factory 佈建的帳戶發生這種類型的漂移時，您可以透過以下方式解決此問題：

導覽至 AWS Control Tower 主控台中的組織頁面，選取帳戶，然後選擇右上角的 [更新帳戶] (個別帳戶最快的選項)。
導覽至 AWS Control Tower 主控台中的組織頁面，然後針對包含該帳戶的 OU 選擇重新註冊 (多個帳戶最快的選項)。如需詳細資訊，請參閱向 AWS Control Tower 註冊現有的組織單位。
更新 Account Factory 中佈建的產品。如需詳細資訊，請參閱使用 AWS Control Tower 或使用更新和移動帳戶工廠帳戶 AWS Service Catalog。

注意
如果您有數個要更新的個別帳戶，請參閱此方法以使用指令碼進行更新：使用自動化佈建和更新帳戶。
在擁有 300 個帳戶以上的 OU 中發生此類漂移時，漂移解析度可能取決於已移動的帳戶類型，如下段所述。如需詳細資訊，請參閱更新您的 landing zone。
- 如果移動了 Account Factory 佈建的帳戶 — 在帳戶少於 300 個的 OU 中，您可以透過更新 Account Factory 中佈建的產品、重新註冊 OU 或更新您的 landing zone 來解決帳戶偏移問題。
  
  在擁有 300 個帳戶以上的 OU 中，您必須透過 AWS Control Tower 主控台或佈建的產品對每個移動的帳戶進行更新來解決此問題，因為重新註冊 OU 不會執行更新。如需詳細資訊，請參閱使用 AWS Control Tower 或使用更新和移動帳戶工廠帳戶 AWS Service Catalog。
- 如果共用帳戶已移動 — 您可以透過更新您的 landing zone 來解決移動稽核或記錄封存帳戶的問題。如需詳細資訊，請參閱更新您的 landing zone。

已停用的欄位名

欄位名稱MasterAccountID已變更為符ManagementAccountID合 AWS 指導方針。舊名稱已棄用。從 2022 年開始，包含已取代欄位名稱的指令碼將不再起作用。

移除成員帳戶後

從註冊的 AWS Control Tower 組織單位中移除成員帳戶時，可能會發生這種類型的漂移。下列範例顯示偵測到此類漂移時的 Amazon SNS 通知。



{
  "Message" : "AWS Control Tower has detected that the member account 012345678909 has been removed from organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION",
  "RemediationStep" : "Add account to Organization and update Account Factory provisioned product",
  "AccountId" : "012345678909"
}

解析度

當成員帳戶中發生這種類型的漂移時，您可以在 AWS Control Tower 主控台或 Account Factory 中更新帳戶來解決此問題。例如，您可以從 Account Factory 更新精靈將帳戶新增至另一個已註冊的 OU。如需詳細資訊，請參閱使用 AWS Control Tower 或使用更新和移動帳戶工廠帳戶 AWS Service Catalog。
如果共用帳戶已從基礎 OU 中移除，您必須透過重設 landing zone 來解決此問題。在解決此漂移之前，您將無法使用 AWS Control 塔主控台。
如需解決帳戶和 OU 偏離的詳細資訊，請參閱如果您管理 AWS Control Tower 以外的資源。

注意

在 Service Catalog 中，不會更新代表該帳戶的 Account Factory 佈建產品以移除帳戶。相反地，佈建的產品會顯示為 TAINTED 和錯誤狀態。若要清除，請移至 Service Catalog，選擇佈建的產品，然後選擇 [終止]。

未計劃的受管 SCP 更新

在 AWS Organizations 主控台中更新控制項的 SCP 或以程式設計方式使用或其中一個 AWS 開發套件時，可能會發生這種類型的漂移。 AWS CLI 以下是偵測到此類漂移時 Amazon SNS 通知的範例。



{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_UPDATED",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

解析度

當此類型的漂移發生在具有多達 300 個帳戶的 OU 中時，您可以透過下列方式解決此問題：

導覽至 AWS Control 塔主控台中的組織頁面，以重新註冊 OU (最快的選項)。如需詳細資訊，請參閱向 AWS Control Tower 註冊現有的組織單位。
更新您的 landing zone（較慢的選項）。如需詳細資訊，請參閱更新您的 landing zone。

在擁有 300 個帳戶以上的 OU 中發生此類漂移時，請透過更新您的 landing zone 來解決此問題。如需詳細資訊，請參閱更新您的 landing zone。

連接到受管 OU 的 SCP

當控制項的 SCP 連接至任何其他 OU 時，就會發生這種類型的漂移。當您從 AWS Control 塔主控台外部處理 OU 時，這種情況尤其常見。以下是偵測到此類漂移時 Amazon SNS 通知的範例。



{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

解析度

當此類型的漂移發生在具有多達 300 個帳戶的 OU 中時，您可以透過下列方式解決此問題：

導覽至 AWS Control 塔主控台中的組織頁面，以重新註冊 OU (最快的選項)。如需詳細資訊，請參閱向 AWS Control Tower 註冊現有的組織單位。
更新您的 landing zone（較慢的選項）。如需詳細資訊，請參閱更新您的 landing zone。

在擁有 300 個帳戶以上的 OU 中發生此類漂移時，請透過更新您的 landing zone 來解決此問題。如需詳細資訊，請參閱更新您的 landing zone。

從受管 OU 分離的 SCP

當控制項的 SCP 已從 AWS Control Tower 管理的 OU 中分離時，可能會發生這種類型的漂移。當您在 AWS Control 塔主控台外部工作時，這種情況尤其常見。以下是偵測到此類漂移時 Amazon SNS 通知的範例。



{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_DETACHED_FROM_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

解析度

當此類型的漂移發生在具有多達 300 個帳戶的 OU 中時，您可以透過下列方式解決此問題：

導覽至 AWS Control Tower 主控台中的 OU 以重新註冊 OU (最快的選項)。如需詳細資訊，請參閱向 AWS Control Tower 註冊現有的組織單位。
更新您的 landing zone（較慢的選項）。如果漂移影響強制控制項，則更新程序會建立新的服務控制原則 (SCP)，並將其附加至 OU 以解決漂移問題。如需如何更新 landing zone 域的詳細資訊，請參閱更新您的 landing zone。

在擁有 300 個帳戶以上的 OU 中發生此類漂移時，請透過更新您的 landing zone 來解決此問題。如果漂移影響強制控制項，則更新程序會建立新的服務控制原則 (SCP)，並將其附加至 OU 以解決漂移問題。如需如何更新 landing zone 域的詳細資訊，請參閱更新您的 landing zone。

連接到成員帳戶的 SCP

當控制項的 SCP 附加至 Organizations 主控台中的帳戶時，可能會發生這種類型的漂移。您可以透過 AWS Control 塔主控台在 OU 上啟用護欄及其 SCP (因此套用至所有 OU 的註冊帳戶)。以下是偵測到此類漂移時 Amazon SNS 通知的範例。



{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_ACCOUNT",
  "RemediationStep" : "Re-register this organizational unit (OU)",
  "AccountId" : "012345678909",
  "PolicyId" : "p-tEXAMPLE"
}

解析度

這種類型的漂移發生在帳戶上，而不是 OU 上。

當基礎 OU (例如安全性 OU) 中的帳戶發生這種類型的偏移時，解決方案是更新您的 landing zone。如需詳細資訊，請參閱更新您的 landing zone。

當此類型的漂移發生在具有多達 300 個帳戶的非基礎 OU 中時，您可以透過以下方式解決此問題：

將 AWS Control Tower SCP 與帳戶原廠帳戶分離。
導覽至 AWS Control Tower 主控台中的 OU 以重新註冊 OU (最快的選項)。如需詳細資訊，請參閱向 AWS Control Tower 註冊現有的組織單位。

當此類型的偏移發生在擁有 300 個以上帳戶的 OU 中時，您可以嘗試透過更新帳戶的帳戶原廠設定來解決此問題。可能無法成功解決它。如需詳細資訊，請參閱更新您的 landing zone。

已刪除的基礎 OU

此類型的漂移僅適用於 AWS Control Tower 基礎 OU，例如安全 OU。如果在 AWS Control 塔主控台外部刪除基礎 OU，就可能會發生這種情況。如果不建立此類型漂移，就無法移動基礎 OU，因為移動 OU 與刪除 OU，然後將其新增到其他位置相同。當您透過更新 landing zone 來解決偏移問題時，AWS Control Tower 會取代原始位置的基礎 OU。下列範例顯示偵測到此類漂移時，您可能會收到的 Amazon SNS 通知。



{
  "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ORGANIZATIONAL_UNIT_DELETED",
  "RemediationStep" : "Delete organizational unit in Control Tower",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE"
}

解析度

由於此漂移僅適用於基礎 OU，因此解析度是更新 landing zone 域。刪除其他類型的 OU 時，AWS Control Tower 會自動更新。

如需解決帳戶和 OU 偏離的詳細資訊，請參閱如果您管理 AWS Control Tower 以外的資源。

Security Hub 控制漂移

當屬於AWS Security Hub 服務管理標準的一部分的控制項時，就會發生這種類型的漂移：AWS Control Tower 報告漂移狀態。 AWS Security Hub 服務本身不會報告這些控制項的漂移狀態。相反地，服務會將其發現傳送到 AWS Control Tower。

如果 AWS Control Tower 在 24 小時內未收到來自 Security Hub 的狀態更新，也可以偵測到安全中心控制漂移。如果未如預期般收到這些發現，AWS Control Tower 會驗證控制項是否處於偏移狀態。下列範例顯示偵測到此類漂移時，您可能會收到的 Amazon SNS 通知。


{
"Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard",
"MasterAccountId" : "123456789XXX",
"ManagementAccountId" : "123456789XXX",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "SECURITY_HUB_CONTROL_DISABLED",
"RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.",
"AccountId" : "7876543219XXX",
"ControlId" : "PYBETSAGNUZB",
"ControlName" : "EBS snapshots should not be publicly restorable",
"ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB",
"Region" : "us-east-1"
}

解析度

對於具有少於 300 個帳戶的 OU，解決方案是重新註冊 OU，如此可將控制項重設為原始狀態。對於任何 OU，您都可以透過主控台或 AWS Control 塔 API 移除和重新啟用控制，這也會重設控制。

如需解決帳戶和 OU 偏離的詳細資訊，請參閱如果您管理 AWS Control Tower 以外的資源。

信任存取已停用

此類型的漂移適用於 AWS Control Tower 登陸區域。當您在設定 AWS Control Tower landing zone AWS Organizations 後停用對 AWS Control Tower 的受信任存取權限時，就會發生這種情況。

停用受信任存取時，AWS Control Tower 不再接收來自的變更事件 AWS Organizations。AWS Control Tower 依賴這些變更事件與之保持同步 AWS Organizations。因此，AWS Control Tower 可能會遺漏帳戶和 OU 中的組織變更。這就是為什麼每次更新 landing zone 域時，重新註冊每個 OU 很重要的原因。

範例：Amazon SNS 通知

以下是發生此類漂移時收到的 Amazon SNS 通知範例。


{
  "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "TRUSTED_ACCESS_DISABLED",
  "RemediationStep" : "Reset Control Tower landing zone."
}

解析度

AWS Control Tower 會在 AWS Control Tower 主控台中發生此類漂移時通知您。解決方案是重設您的 AWS Control Tower landing zone。有關詳情，請參閱解決漂移。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

偏離

如果您管理 AWS Control Tower 以外的資源