Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Abweichungen im AWS Control Tower erkennen und beheben

PDF
RSS
Fokusmodus
Abweichungen im AWS Control Tower erkennen und beheben - AWS Control Tower
Drift erkennenBehebung von AbweichungenÜberlegungen zu Drift- und SCP-ScansArten von Abweichungen, die sofort behoben werden müssenReparierbare Änderungen an RessourcenDrift und Bereitstellung neuer Konten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die Identifizierung und Behebung von Abweichungen ist eine reguläre Betriebsaufgabe für Administratoren von AWS Control Tower Tower-Managementkonten. Die Behebung von Abweichungen trägt dazu bei, dass Sie die Governance-Anforderungen einhalten.

Wenn Sie Ihre landing zone erstellen, entsprechen die landing zone und alle Organisationseinheiten (OUs), Konten und Ressourcen den Governance-Regeln, die durch die von Ihnen ausgewählten Kontrollen durchgesetzt werden. Wenn Sie und Ihre Organisationsmitglieder die landing zone nutzen, kann es zu Änderungen dieses Compliance-Status kommen. Einige Änderungen können versehentlich oder absichtlich vorgenommen werden, um auf zeitkritische Betriebsereignisse zu reagieren.

Sie können mithilfe der Abweichungserkennung feststellen, für welche Ressourcen Änderungen oder Konfigurationsaktualisierungen erforderlich sind.

Drift erkennen

AWS Control Tower erkennt Drift automatisch. Um Abweichungen zu erkennen, benötigt die AWSControlTowerAdmin Rolle dauerhaften Zugriff auf Ihr Verwaltungskonto, sodass AWS Control Tower schreibgeschützte API-Aufrufe an ausführen kann. AWS Organizations Diese API-Aufrufe werden als AWS CloudTrail Ereignisse angezeigt.

Drift wird in den Amazon Simple Notification Service (Amazon SNS) -Benachrichtigungen angezeigt, die im Auditkonto zusammengefasst sind. Benachrichtigungen in jedem Mitgliedskonto senden Benachrichtigungen an ein lokales Amazon SNS SNS-Thema und an eine Lambda-Funktion.

Bei Kontrollen, die Teil des AWS Security Hub Service-Managed Standard: AWS Control Tower sind, wird Drift auf den Seiten Konto und Kontodetails in der AWS Control Tower Tower-Konsole sowie in Form einer Amazon SNS SNS-Benachrichtigung angezeigt.

Administratoren von Mitgliedskonten können (und sollten als bewährte Methode) die SNS-Abweichungsbenachrichtigungen für bestimmte Konten abonnieren. Das aws-controltower-AggregateSecurityNotifications SNS-Thema bietet beispielsweise Drift-Benachrichtigungen. Die AWS Control Tower Tower-Konsole zeigt den Administratoren des Verwaltungskontos an, wenn eine Abweichung aufgetreten ist. Weitere Informationen zu SNS-Themen zur Erkennung und Benachrichtigung von Abweichungen finden Sie unter Drift-Prävention und Benachrichtigung.

Deduplizierung von Drift-Benachrichtigungen

Wenn dieselbe Art von Drift mehrmals auf derselben Gruppe von Ressourcen auftritt, sendet AWS Control Tower eine SNS-Benachrichtigung nur für die erste Drift-Instanz. Wenn AWS Control Tower feststellt, dass dieser Drift behoben wurde, sendet er nur dann eine weitere Benachrichtigung, wenn die Drift für diese identischen Ressourcen erneut auftritt.

Beispiele: Kontoabweichung und SCP-Drift werden wie folgt behandelt

  • Wenn Sie dasselbe verwaltete SCP mehrmals ändern, erhalten Sie eine Benachrichtigung, wenn Sie es zum ersten Mal ändern.

  • Wenn Sie ein verwaltetes SCP ändern, dann Abweichungen beheben und es dann erneut ändern, erhalten Sie zwei Benachrichtigungen.

  • Wenn ein Konto OUs mehrmals zwischen derselben Quelle und demselben Ziel verschoben wird, ohne dass die Abweichung zuerst behoben wurde, wird eine einzige Benachrichtigung gesendet, obwohl das Konto OUs mehrmals zwischen diesen verschoben wurde.

Arten von Kontoverschiebungen

  • Das Konto wurde verschoben zwischen OUs

  • Konto wurde aus der Organisation entfernt

Anmerkung

Wenn Sie ein Konto von einer Organisationseinheit in eine andere verschieben, werden die Steuerelemente der vorherigen Organisationseinheit nicht entfernt. Wenn Sie eine neue Hook-basierte Steuerung auf der Ziel-OU aktivieren, wird die alte Die Hook-basierte Steuerung wird aus dem Konto entfernt und durch die neue Steuerung ersetzt. Mit implementierte Kontrollen SCPs und AWS Config Regeln müssen immer manuell entfernt werden, wenn sich ein Konto ändert OUs.

Arten von politischen Abweichungen

  • SCP wurde aktualisiert

  • SCP ist an OU angehängt

  • SCP wurde von OU getrennt

  • SCP ist mit dem Konto verknüpft

Weitere Informationen finden Sie unter Arten von Abweichungen in der Unternehmensführung.

Behebung von Abweichungen

Die Erkennung erfolgt zwar automatisch, die Schritte zur Behebung von Abweichungen müssen jedoch manuell über die Konsole oder bei Steuerungen durch Aufrufen der ResetEnabledControlAPI ausgeführt werden.

  • Viele Arten von Abweichungen können auf der Seite mit den Einstellungen für die Landezone behoben werden. Sie können im Abschnitt Versionen auf die Schaltfläche „Zurücksetzen“ klicken, um diese Arten von Abweichungen zu beheben.

  • Wenn Ihre OU weniger als 1000 Konten hat, können Sie Drift in Account Factory Provisioned Accounts (SCP-Drift) beheben, indem Sie auf der Seite Organisation oder der Seite mit den OU-Details die Option OU erneut registrieren auswählen.

  • Möglicherweise können Sie Kontoabweichungen beheben, indem Sie Mitgliedskonto wurde verschoben beispielsweise ein einzelnes Konto aktualisieren. Weitere Informationen finden Sie unter Aktualisieren Sie das Konto in der Konsole.

  • Bei Steuerungen können viele Arten von Abweichungen durch einen Aufruf der ResetEnabledControlAPI behoben werden.

Wenn Sie Maßnahmen ergreifen, um Drift in einer Landezone-Version zu beheben, sind zwei Verhaltensweisen möglich.

  • Wenn Sie die neueste Landing Zone-Version verwenden, werden Ihre Drifted landing zone Zone-Ressourcen auf die gespeicherte AWS Control Tower Tower-Konfiguration zurückgesetzt, wenn Sie Zurücksetzen und dann Bestätigen wählen. Die Landezone-Version bleibt gleich.

  • Wenn Sie nicht die neueste Version verwenden, müssen Sie Update wählen. Die landing zone wurde auf die neueste Landezonenversion aktualisiert. Die Drift wird im Rahmen dieses Prozesses behoben.

Überlegungen zu Drift- und SCP-Scans

AWS Control Tower scannt Ihre verwalteten SCPs Daten täglich, um sicherzustellen, dass die entsprechenden Kontrollen korrekt angewendet werden und dass keine Fehler aufgetreten sind. Um sie abzurufen SCPs und zu überprüfen, ruft AWS Control Tower in Ihrem Namen AWS Organizations an und verwendet dabei eine Rolle in Ihrem Verwaltungskonto.

Wenn bei einem AWS Control Tower Tower-Scan Abweichungen festgestellt werden, erhalten Sie eine Benachrichtigung. AWS Control Tower sendet nur eine Benachrichtigung pro Drift-Problem. Wenn sich Ihre landing zone also bereits im Drift-Zustand befindet, erhalten Sie keine weiteren Benachrichtigungen, es sei denn, es wird ein neuer Drift-Artikel gefunden.

AWS Organizations schränkt ein, wie oft jede einzelne davon aufgerufen werden APIs kann. Dieses Limit wird in Transaktionen pro Sekunde (TPS) ausgedrückt und wird als TPS-Limit, Drosselungsrate oder API-Anforderungsrate bezeichnet. Wenn AWS Control Tower Ihren Anruf prüft AWS Organizations, werden die API-Aufrufe SCPs von AWS Control Tower auf Ihr TPS-Limit angerechnet, da AWS Control Tower das Verwaltungskonto für die Aufrufe verwendet.

In seltenen Fällen kann dieses Limit erreicht werden, wenn Sie dasselbe APIs wiederholt aufrufen, sei es über eine Drittanbieterlösung oder ein von Ihnen geschriebenes benutzerdefiniertes Skript. Wenn Sie und AWS Control Tower beispielsweise dasselbe zum gleichen AWS Organizations APIs Zeitpunkt (innerhalb von 1 Sekunde) aufrufen und die TPS-Grenzwerte erreicht sind, werden nachfolgende Anrufe gedrosselt. Das heißt, diese Aufrufe geben einen Fehler zurück wie. Rate exceeded

Wenn eine API-Anforderungsrate überschritten wird

  • Wenn AWS Control Tower das Limit erreicht und gedrosselt wird, unterbrechen wir die Ausführung des Audits und setzen es zu einem späteren Zeitpunkt fort.

  • Wenn Ihr Workload das Limit erreicht und gedrosselt wird, kann das Ergebnis, je nachdem, wie der Workload konfiguriert ist, von einer leichten Latenz bis hin zu einem schwerwiegenden Fehler in der Arbeitslast reichen. Dieser Grenzfall ist etwas, das Sie beachten sollten.

Ein täglicher SCP-Scan besteht aus

  1. Ihre kürzlich aktiven Daten werden abgerufen. OUs

  2. Für jede registrierte Organisationseinheit werden alle von AWS Control Tower SCPs verwalteten Organisationseinheiten abgerufen, die an die Organisationseinheit angehängt sind. Verwaltete SCPs haben Kennungen, die mit beginnen. aws-guardrails

  3. Überprüfen Sie für jede präventive Kontrolle, die auf der Organisationseinheit aktiviert ist, ob die Richtlinienerklärung der Kontrolle in den verwalteten Organisationseinheiten enthalten ist. SCPs

Eine Organisationseinheit kann über eine oder mehrere verwaltete SCPs Organisationseinheiten verfügen.

Arten von Abweichungen, die sofort behoben werden müssen

Die meisten Arten von Abweichungen können von Administratoren behoben werden. Einige Arten von Abweichungen müssen sofort behoben werden, einschließlich der Löschung einer Organisationseinheit, die für die AWS Control Tower Tower-Landezone erforderlich ist. Hier sind einige Beispiele für größere Abweichungen, die Sie vielleicht vermeiden möchten:

  • Löschen Sie die Sicherheits-OU nicht: Die Organisationseinheit, die ursprünglich bei der Einrichtung der landing zone durch AWS Control Tower Security benannt wurde, sollte nicht gelöscht werden. Wenn du es löschst, wird eine Fehlermeldung angezeigt, in der du aufgefordert wirst, die landing zone sofort zurückzusetzen. Sie können in AWS Control Tower keine weiteren Aktionen ausführen, bis der Reset abgeschlossen ist.

  • Löschen Sie keine erforderlichen Rollen: AWS Control Tower überprüft bestimmte AWS Identity and Access Management (IAM-) Rollen, wenn Sie sich bei der Konsole anmelden, auf IAM-Rollendrift. Wenn diese Rollen fehlen oder nicht zugänglich sind, wird eine Fehlerseite angezeigt, auf der Sie aufgefordert werden, Ihre landing zone zurückzusetzen. Diese Rollen sind. AWSControlTowerAdmin AWSControlTowerCloudTrailRole AWSControlTowerStackSetRole

    Weitere Informationen zu diesen Rollen finden Sie unterFür die Nutzung der AWS Control Tower Tower-Konsole sind Berechtigungen erforderlich.

  • Löschen Sie nicht alles Zusätzliche OUs: Wenn Sie die Organisationseinheit, die ursprünglich Sandbox genannt wurde, während der Einrichtung der landing zone durch AWS Control Tower löschen, befindet sich Ihre landing zone in einem Drift-Zustand, aber Sie können AWS Control Tower weiterhin verwenden. Für den Betrieb von AWS Control Tower ist mindestens eine zusätzliche Organisationseinheit erforderlich, es muss sich jedoch nicht um die Sandbox-Organisationseinheit handeln.

  • Geteilte Konten nicht entfernen: Wenn Sie gemeinsame Konten aus Foundational entfernen OUs, z. B. wenn Sie das Logging-Konto aus der Security OU entfernen, befindet sich Ihre landing zone in einem Drift-Zustand. Die landing zone muss zurückgesetzt werden, bevor Sie die AWS Control Tower Tower-Konsole weiter verwenden können.

Reparierbare Änderungen an Ressourcen

Im Folgenden finden Sie eine Liste der Änderungen an den AWS Control Tower Tower-Ressourcen, die zulässig sind, obwohl sie zu behebbaren Abweichungen führen. Die Ergebnisse dieser erlaubten Operationen können in der AWS Control Tower Tower-Konsole eingesehen werden, obwohl möglicherweise eine Aktualisierung erforderlich ist.

Weitere Informationen zur Behebung der daraus resultierenden Abweichung finden Sie unter Ressourcen außerhalb von AWS Control Tower verwalten.

Änderungen, die außerhalb der AWS Control Tower Tower-Konsole zulässig sind

  • Ändern Sie den Namen einer registrierten Organisationseinheit.

  • Ändern Sie den Namen der Sicherheits-OU.

  • Ändern Sie den Namen der Mitgliedskonten in Non-Foundational OUs.

  • Ändern Sie den Namen der gemeinsam genutzten AWS Control Tower Tower-Konten in der Sicherheits-OU.

  • Löschen Sie eine Organisationseinheit, die nicht zu den Grundlagen gehört.

  • Löscht ein registriertes Konto aus einer Organisationseinheit, die nicht zu den Grundlagen gehört.

  • Ändern Sie die E-Mail-Adresse eines gemeinsam genutzten Kontos in der Security OU.

  • Ändern Sie die E-Mail-Adresse eines Mitgliedskontos in einer registrierten Organisationseinheit.

Anmerkung

Das Verschieben von Konten zwischen Konten OUs gilt als Drift und muss gelöst werden.

Drift und Bereitstellung neuer Konten

Wenn sich Ihre landing zone im Drift-Zustand befindet, funktioniert die Funktion „Konto registrieren“ in AWS Control Tower nicht. In diesem Fall müssen Sie neue Konten über den AWS Service Catalog bereitstellen. Detaillierte Anweisungen finden Sie unter Konten mit AWS Service Catalog Account Factory bereitstellen .

Insbesondere wenn Sie mit Service Catalog bestimmte Änderungen an Ihren Konten vorgenommen haben, z. B. den Namen Ihres Portfolios geändert haben, funktioniert die Funktion Konto registrieren nicht.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.