Drift im AWS Control Tower erkennen und beheben - AWS Control Tower
Drift erkennenBehebung von AbweichungenÜberlegungen zu Drift und SCP ScansArten von Abweichungen, die sofort behoben werden müssenReparierbare Änderungen an RessourcenAbweichungen und Bereitstellung neuer Konten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Drift im AWS Control Tower erkennen und beheben

Die Identifizierung und Behebung von Abweichungen gehört zu den regulären Aufgaben der Administratoren von AWS Control Tower Tower-Verwaltungskonten. Die Behebung von Abweichungen trägt dazu bei, dass Sie die Governance-Anforderungen einhalten.

Wenn Sie Ihre landing zone erstellen, entsprechen die landing zone und alle Organisationseinheiten (OUs), Konten und Ressourcen den Governance-Regeln, die durch die von Ihnen ausgewählten Kontrollen durchgesetzt werden. Wenn Sie und Ihre Organisationsmitglieder die landing zone nutzen, kann es zu Änderungen dieses Compliance-Status kommen. Einige Änderungen können versehentlich oder absichtlich vorgenommen werden, um auf zeitkritische Betriebsereignisse zu reagieren.

Sie können mithilfe der Abweichungserkennung feststellen, für welche Ressourcen Änderungen oder Konfigurationsaktualisierungen erforderlich sind.

Drift erkennen

AWSControl Tower erkennt Drift automatisch. Um Abweichungen zu erkennen, benötigt die AWSControlTowerAdmin Rolle dauerhaften Zugriff auf Ihr Verwaltungskonto, damit AWS Control Tower nur Lesezugriffe API tätigen kann. AWS Organizations Diese API Aufrufe werden als AWS CloudTrail Ereignisse angezeigt.

Drift wird in den Benachrichtigungen des Amazon Simple Notification Service (AmazonSNS) angezeigt, die im Auditkonto zusammengefasst sind. Benachrichtigungen in jedem Mitgliedskonto senden Benachrichtigungen zu einem lokalen SNS Amazon-Thema und zu einer Lambda-Funktion.

Bei Kontrollen, die Teil des AWS Security Hub Service-Managed Standard: AWS Control Tower sind, werden Abweichungen auf den Seiten Konto und Kontodetails in der AWS Control Tower Tower-Konsole sowie in Form einer SNS Amazon-Benachrichtigung angezeigt.

Administratoren von Mitgliedskonten können die SNS Drift-Benachrichtigungen für bestimmte Konten abonnieren (und sollten dies als bewährte Methode auch tun). Das aws-controltower-AggregateSecurityNotifications SNS Thema bietet beispielsweise Drift-Benachrichtigungen. Die AWS Control Tower Tower-Konsole zeigt den Administratoren des Verwaltungskontos an, wenn eine Abweichung aufgetreten ist. Weitere Informationen zu den SNS Themen Drift-Erkennung und -Benachrichtigung finden Sie unter Drift-Prävention und Benachrichtigung.

Deduplizierung von Drift-Benachrichtigungen

Wenn dieselbe Art von Drift mehrmals auf derselben Gruppe von Ressourcen auftritt, sendet der AWS Control Tower eine SNS Benachrichtigung nur für den ersten Fall einer Drift. Wenn AWS Control Tower feststellt, dass dieser Drift behoben wurde, sendet er nur dann eine weitere Benachrichtigung, wenn die Drift bei diesen identischen Ressourcen erneut auftritt.

Beispiele: Kontoabweichungen und SCP Kontoabweichungen werden wie folgt behandelt

  • Wenn Sie dasselbe verwaltete Objekt SCP mehrfach ändern, erhalten Sie eine Benachrichtigung, wenn Sie es zum ersten Mal ändern.

  • Wenn du eine verwaltete Datei änderstSCP, dann eine Abweichung behebst und sie dann erneut änderst, erhältst du zwei Benachrichtigungen.

  • Wenn ein Konto OUs mehrmals zwischen derselben Quelle und demselben Ziel verschoben wird, ohne dass die Abweichung zuerst behoben wurde, wird eine einzige Benachrichtigung gesendet, obwohl das Konto OUs mehrmals zwischen diesen verschoben wurde.

Arten von Kontoverschiebungen

  • Das Konto wurde verschoben zwischen OUs

  • Konto wurde aus der Organisation entfernt

Anmerkung

Wenn Sie ein Konto von einer Organisationseinheit in eine andere verschieben, werden die Steuerelemente der vorherigen Organisationseinheit nicht entfernt. Wenn Sie eine neue Hook-basierte Steuerung auf der Ziel-OU aktivieren, wird die alte Die Hook-basierte Steuerung wird aus dem Konto entfernt und durch die neue Steuerung ersetzt. Mit implementierte Kontrollen SCPs und AWS Config Regeln müssen immer manuell entfernt werden, wenn sich ein Konto ändertOUs.

Arten von politischen Abweichungen

  • SCPaktualisiert

  • SCPan OU angehängt

  • SCPvon OU getrennt

  • SCPan das Konto angehängt

Weitere Informationen finden Sie unter Arten von Abweichungen in der Unternehmensführung.

Behebung von Abweichungen

Auch wenn die Erkennung automatisch erfolgt, sind zum Beheben von Abweichungen manuelle Schritte über die Konsole erforderlich.

  • Viele Arten von Abweichungen können auf der Seite mit den Einstellungen für die Landezone behoben werden. Sie können im Abschnitt Versionen auf die Schaltfläche „Zurücksetzen“ klicken, um diese Arten von Abweichungen zu beheben.

  • Wenn Ihre OU weniger als 1000 Konten hat, können Sie Drift in Account Factory bereitgestellten Konten oder Drift beheben, indem Sie auf der Seite Organisation oder SCP der Seite mit den OU-Details die Option OU erneut registrieren auswählen.

  • Möglicherweise können Sie Kontoabweichungen beheben, indem Sie Moved Member Account (Mitgliedskonto verschoben) beispielsweise ein einzelnes Konto aktualisieren. Weitere Informationen finden Sie unter Aktualisieren Sie das Konto in der Konsole.

Wenn Sie Maßnahmen ergreifen, um Drift in einer Landezone-Version zu beheben, sind zwei Verhaltensweisen möglich.

  • Wenn du die neueste landing zone Zone-Version verwendest und „Zurücksetzen“ und dann „Bestätigen“ auswählst, werden deine Drifting-Landingzone-Ressourcen auf die gespeicherte AWS Control Tower Tower-Konfiguration zurückgesetzt. Die Landezone-Version bleibt gleich.

  • Wenn Sie nicht die neueste Version verwenden, müssen Sie Update wählen. Die landing zone wurde auf die neueste Landezonenversion aktualisiert. Die Drift wird im Rahmen dieses Prozesses behoben.

Überlegungen zu Drift und SCP Scans

AWSDer Control Tower scannt Ihre verwalteten Geräte SCPs täglich, um sicherzustellen, dass die entsprechenden Kontrollen korrekt angewendet wurden und keine Fehler aufgetreten sind. Um sie abzurufen SCPs und zu überprüfen, ruft AWS Control Tower in Ihrem Namen AWS Organizations an und verwendet dabei eine Rolle in Ihrem Verwaltungskonto.

Wenn ein AWS Control Tower Tower-Scan Drift feststellt, erhalten Sie eine Benachrichtigung. AWSControl Tower sendet nur eine Benachrichtigung pro Drift-Problem. Wenn sich Ihre landing zone also bereits im Drift-Zustand befindet, erhalten Sie keine weiteren Benachrichtigungen, es sei denn, es wird ein neuer Drift-Gegenstand gefunden.

AWS Organizations schränkt ein, wie oft jedes Element aufgerufen werden APIs kann. Dieses Limit wird in Transaktionen pro Sekunde (TPS) ausgedrückt und wird als TPSLimit, Drosselungsrate oder APIAnforderungsrate bezeichnet. Wenn der AWS Control Tower Ihre SCPs Anrufe überprüft, werden die API Anrufe AWS Organizations, die der AWS Control Tower tätigt, auf Ihr TPS Limit angerechnet, da der AWS Control Tower das Verwaltungskonto verwendet, um die Anrufe zu tätigen.

In seltenen Fällen kann dieses Limit erreicht werden, wenn Sie dasselbe APIs wiederholt aufrufen, sei es über eine Drittanbieterlösung oder ein von Ihnen geschriebenes benutzerdefiniertes Skript. Wenn Sie und AWS Control Tower zum gleichen AWS Organizations APIs Zeitpunkt (innerhalb von 1 Sekunde) dasselbe anrufen und die TPS Grenzwerte erreicht sind, werden nachfolgende Anrufe gedrosselt. Das heißt, diese Aufrufe geben einen Fehler zurück wie. Rate exceeded

Wenn eine API Anforderungsrate überschritten wird

  • Wenn der AWS Control Tower das Limit erreicht und gedrosselt wird, unterbrechen wir die Ausführung des Audits und setzen es zu einem späteren Zeitpunkt fort.

  • Wenn Ihr Workload das Limit erreicht und gedrosselt wird, kann das Ergebnis, je nachdem, wie der Workload konfiguriert ist, von einer leichten Latenz bis hin zu einem schwerwiegenden Fehler in der Arbeitslast reichen. Dieser Grenzfall ist etwas, das Sie beachten sollten.

Ein täglicher SCP Scan besteht aus

  1. Ihre kürzlich aktiven OUs Daten werden abgerufen.

  2. Für jede registrierte Organisationseinheit werden alle von AWS Control Tower SCPs verwalteten Organisationseinheiten abgerufen, die an die Organisationseinheit angeschlossen sind. Verwaltete SCPs haben Kennungen, die mit beginnen. aws-guardrails

  3. Überprüfen Sie für jede präventive Kontrolle, die auf der Organisationseinheit aktiviert ist, ob die Richtlinienerklärung der Kontrolle in den verwalteten Organisationseinheiten enthalten ist. SCPs

Eine Organisationseinheit kann über eine oder mehrere verwaltete SCPs Organisationseinheiten verfügen.

Arten von Abweichungen, die sofort behoben werden müssen

Die meisten Arten von Abweichungen können von Administratoren behoben werden. Einige Arten von Abweichungen müssen sofort behoben werden, einschließlich der Löschung einer Organisationseinheit, die für die landing zone des AWS Control Tower erforderlich ist. Hier sind einige Beispiele für größere Abweichungen, die Sie vielleicht vermeiden möchten:

  • Löschen Sie die Sicherheits-OU nicht: Die Organisationseinheit, die ursprünglich bei der Einrichtung der landing zone durch AWS Control Tower Security benannt wurde, sollte nicht gelöscht werden. Wenn du es löschst, wird eine Fehlermeldung angezeigt, in der du aufgefordert wirst, die landing zone sofort zurückzusetzen. Sie können im AWS Control Tower keine weiteren Aktionen ausführen, bis der Reset abgeschlossen ist.

  • Löschen Sie keine erforderlichen Rollen: AWS Control Tower überprüft bestimmte AWS Identity and Access Management (IAM) Rollen, wenn Sie sich an der Konsole anmelden, auf IAMRollenabweichungen. Wenn diese Rollen fehlen oder nicht zugänglich sind, wird eine Fehlerseite angezeigt, auf der Sie aufgefordert werden, Ihre landing zone zurückzusetzen. Diese Rollen sind. AWSControlTowerAdmin AWSControlTowerCloudTrailRole AWSControlTowerStackSetRole

    Weitere Informationen zu diesen Rollen finden Sie unterFür die Nutzung der AWS Control Tower Tower-Konsole sind Berechtigungen erforderlich.

  • Löschen Sie nicht alles ZusätzlicheOUs: Wenn Sie die Organisationseinheit, die ursprünglich Sandbox genannt wurde, während der Einrichtung der landing zone durch den AWS Control Tower löschen, befindet sich Ihre landing zone im Drift-Zustand, aber Sie können den AWS Control Tower weiterhin verwenden. Für den Betrieb von AWS Control Tower ist mindestens eine zusätzliche Organisationseinheit erforderlich, es muss sich jedoch nicht um die Sandbox-Organisationseinheit handeln.

  • Geteilte Konten nicht entfernen: Wenn Sie gemeinsame Konten aus Foundational entfernenOUs, z. B. wenn Sie das Logging-Konto aus der Security OU entfernen, befindet sich Ihre landing zone in einem Drift-Zustand. Die landing zone muss zurückgesetzt werden, bevor Sie die AWS Control Tower Tower-Konsole weiter verwenden können.

Reparierbare Änderungen an Ressourcen

Hier ist eine Liste der Änderungen an den AWS Control Tower Tower-Ressourcen, die zulässig sind, obwohl sie zu behebbaren Abweichungen führen. Die Ergebnisse dieser erlaubten Operationen können in der AWS Control Tower Tower-Konsole eingesehen werden, obwohl möglicherweise eine Aktualisierung erforderlich ist.

Weitere Informationen zur Behebung der daraus resultierenden Abweichung finden Sie unter Ressourcen außerhalb des AWS Control Tower verwalten.

Zulässige Änderungen außerhalb der AWS Control Tower Tower-Konsole

  • Ändern Sie den Namen einer registrierten Organisationseinheit.

  • Ändern Sie den Namen der Sicherheits-OU.

  • Ändern Sie den Namen der Mitgliedskonten in Non-FoundationalOUs.

  • Ändern Sie den Namen der gemeinsam genutzten AWS Control Tower Tower-Konten in der Security OU.

  • Löschen Sie eine Organisationseinheit, die nicht zu den Grundlagen gehört.

  • Löscht ein registriertes Konto aus einer Organisationseinheit, die nicht zu den Grundlagen gehört.

  • Ändern Sie die E-Mail-Adresse eines gemeinsam genutzten Kontos in der Security OU.

  • Ändern Sie die E-Mail-Adresse eines Mitgliedskontos in einer registrierten Organisationseinheit.

Anmerkung

Das Verschieben von Konten zwischen Konten OUs gilt als Drift und muss gelöst werden.

Abweichungen und Bereitstellung neuer Konten

Wenn sich Ihre landing zone im Drift-Zustand befindet, funktioniert die Funktion „Konto registrieren“ im AWS Control Tower nicht. In diesem Fall müssen Sie neue Konten über AWS Service Catalog bereitstellen. Detaillierte Anweisungen finden Sie unter Konten mit AWS Service Catalog Account Factory bereitstellen .

Insbesondere wenn Sie mit Service Catalog bestimmte Änderungen an Ihren Konten vorgenommen haben, z. B. den Namen Ihres Portfolios geändert haben, funktioniert die Funktion Konto registrieren nicht.