Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Arten von Abweichungen in der Unternehmensführung
Abweichungen in der Unternehmensführung, auch als organisatorische Drift bezeichnet OUs, treten auf SCPs, wenn, und Mitgliedskonten geändert oder aktualisiert werden. Folgende Arten von Governance-Abweichungen können in AWS Control Tower erkannt werden:
Eine andere Art von Drift ist die Landezonendrift, die über das Verwaltungskonto ermittelt werden kann. Ein Drift in der Landezone besteht aus einer Verschiebung der IAM-Rollen oder jeder Art von organisatorischer Drift, die sich speziell auf Foundational Accounts OUs und Shared Accounts auswirkt.
Ein Sonderfall von Landezonendrift ist die Rollendrift, die erkannt wird, wenn eine benötigte Rolle nicht verfügbar ist. Wenn diese Art von Abweichung auftritt, zeigt die Konsole eine Warnseite und einige Anweisungen zur Wiederherstellung der Rolle an. Ihre landing zone ist nicht verfügbar, bis der Rollenwechsel behoben ist. Weitere Informationen zu Drift finden Sie im Abschnitt Erforderliche Rollen nicht löschenArten von Abweichungen, die sofort behoben werden müssen.
AWS Control Tower meldet Kontrollabweichungen in Bezug auf Kontrollen, die mit Ressourcenkontrollrichtlinien (RCPs) implementiert wurden, und Kontrollen, die Teil des AWS Security Hub Service-Managed Standard sind: AWS Control Tower.
AWS Control Tower sucht nicht nach Abweichungen in Bezug auf andere Services, die mit dem Verwaltungskonto funktionieren CloudTrail CloudWatch, einschließlich,, IAM Identity Center AWS CloudFormation AWS Config,, usw. Bei Konten von Kindern ist keine Erkennung von Abweichungen verfügbar, da diese Konten durch präventive obligatorische Kontrollen geschützt sind.
Mitgliedskonto wurde verschoben
Diese Art von Abweichung tritt eher auf dem Konto als auf der Organisationseinheit auf. Diese Art von Abweichung kann auftreten, wenn ein AWS Control Tower Tower-Mitgliedskonto, das Auditkonto oder das Protokollarchiv-Konto von einer registrierten AWS Control Tower Tower-Organisationseinheit in eine andere Organisationseinheit verschoben wird. Im Folgenden finden Sie ein Beispiel für die Amazon SNS SNS-Benachrichtigung, wenn diese Art von Abweichung erkannt wird.
{ "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }
Lösungen
Wenn diese Art von Abweichung bei einem von Account Factory bereitgestellten Konto in einer Organisationseinheit mit bis zu 1000 Konten auftritt, können Sie sie wie folgt beheben:
-
Navigieren Sie in der AWS Control Tower Tower-Konsole zur Organisationsseite, wählen Sie das Konto aus und wählen Sie oben rechts Konto aktualisieren (schnellste Option für einzelne Konten).
-
Navigieren Sie in der AWS Control Tower Tower-Konsole zur Organisationsseite und wählen Sie dann Erneut registrieren für die Organisationseinheit, die das Konto enthält (schnellste Option für mehrere Konten). Weitere Informationen finden Sie unter Registrieren Sie eine bestehende Organisationseinheit bei AWS Control Tower.
-
Aktualisierung des bereitgestellten Produkts in Account Factory. Weitere Informationen finden Sie unter Aktualisierung und Verschiebung von Accountfactory-Konten mit AWS Control Tower oder mit AWS Service Catalog.
Anmerkung
Wenn Sie mehrere individuelle Konten aktualisieren müssen, finden Sie auch diese Methode zum Durchführen von Aktualisierungen mit einem Skript:Konten mithilfe von Automatisierung bereitstellen und aktualisieren.
-
Wenn diese Art von Abweichung in einer Organisationseinheit mit mehr als 1000 Konten auftritt, kann die Auflösung der Abweichung davon abhängen, welcher Kontotyp verschoben wurde, wie in den nächsten Absätzen erläutert. Weitere Informationen finden Sie unter Aktualisiere deine landing zone.
-
Wenn ein von Account Factory bereitgestelltes Konto verschoben wird — In einer OU mit weniger als 1000 Konten können Sie die Kontoverschiebung beheben, indem Sie das bereitgestellte Produkt in Account Factory aktualisieren, die OU erneut registrieren oder Ihre landing zone aktualisieren.
In einer Organisationseinheit mit mehr als 1000 Konten müssen Sie die Abweichung beheben, indem Sie für jedes verschobene Konto eine Aktualisierung vornehmen, entweder über die AWS Control Tower Tower-Konsole oder das bereitgestellte Produkt, da die Aktualisierung durch die erneute Registrierung der Organisationseinheit nicht durchgeführt wird. Weitere Informationen finden Sie unter Aktualisierung und Verschiebung von Accountfactory-Konten mit AWS Control Tower oder mit AWS Service Catalog.
-
Wenn ein geteiltes Konto verschoben wird — Sie können die Abweichung vom Verschieben des Audit- oder Protokollarchiv-Kontos beheben, indem Sie Ihre landing zone aktualisieren. Weitere Informationen finden Sie unter Aktualisiere deine landing zone.
-
Veralteter Feldname
Der Feldname MasterAccountID wurde geändert, sodass er den Richtlinien ManagementAccountID entspricht AWS . Der alte Name ist veraltet. Seit 2022 funktionieren Skripten, die den veralteten Feldnamen enthalten, nicht mehr.
Mitgliedskonto wurde entfernt
Diese Art von Abweichung kann auftreten, wenn ein Mitgliedskonto aus einer registrierten AWS Control Tower Tower-Organisationseinheit entfernt wird. Das folgende Beispiel zeigt die Amazon SNS SNS-Benachrichtigung, wenn diese Art von Drift erkannt wird.
{ "Message" : "AWS Control Tower has detected that the member account012345678909has been removed from organizationo-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }
Auflösung
-
Wenn diese Art von Abweichung in einem Mitgliedskonto auftritt, können Sie die Abweichung beheben, indem Sie das Konto in der AWS Control Tower Tower-Konsole oder in Account Factory aktualisieren. Sie können das Konto beispielsweise über den Account Factory Factory-Update-Assistenten zu einer anderen registrierten Organisationseinheit hinzufügen. Weitere Informationen finden Sie unter Aktualisierung und Verschiebung von Accountfactory-Konten mit AWS Control Tower oder mit AWS Service Catalog.
-
Wenn ein gemeinsam genutzter Account aus einer Foundational OU entfernt wird, müssen Sie die Abweichung beheben, indem Sie Ihre landing zone zurücksetzen. Solange dieser Fehler nicht behoben ist, können Sie die AWS Control Tower Tower-Konsole nicht verwenden.
-
Weitere Informationen zur Behebung von Abweichungen bei Konten und finden Sie OUs unterWenn Sie Ressourcen außerhalb von AWS Control Tower verwalten.
Anmerkung
In Service Catalog wird das von Account Factory bereitgestellte Produkt, das das Konto darstellt, nicht aktualisiert, um das Konto zu entfernen. Stattdessen wird das bereitgestellte Produkt als TAINTED und in einem Fehlerzustand angezeigt. Gehen Sie zum Aufräumen zum Service Catalog, wählen Sie das bereitgestellte Produkt aus und klicken Sie dann auf Terminate.
Ungeplantes Update auf Managed SCP
Diese Art von Abweichung kann auftreten, wenn ein SCP für ein Steuerelement in der AWS Organizations Konsole oder programmgesteuert mithilfe der AWS CLI oder einer der AWS aktualisiert wird. SDKs Im Folgenden finden Sie ein Beispiel für die Amazon SNS SNS-Benachrichtigung, wenn diese Art von Abweichung erkannt wird.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_UPDATED", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Auflösung
Wenn diese Abweichung in einer Organisationseinheit mit bis zu 1000 Konten auftritt, können Sie sie wie folgt beheben:
-
Navigieren Sie zur Organisationsseite in der AWS Control Tower Tower-Konsole, um die Organisationseinheit erneut zu registrieren (schnellste Option). Weitere Informationen finden Sie unter Registrieren Sie eine bestehende Organisationseinheit bei AWS Control Tower.
-
Aktualisierung Ihrer landing zone (langsamere Option). Weitere Informationen finden Sie unter Aktualisiere deine landing zone.
Wenn diese Art von Abweichung in einer Organisationseinheit mit mehr als 1000 Konten auftritt, beheben Sie das Problem, indem Sie Ihre landing zone aktualisieren. Weitere Informationen finden Sie unter Aktualisiere deine landing zone.
SCP ist an die verwaltete Organisationseinheit angehängt
Diese Art von Abweichung kann auftreten, wenn ein SCP für eine Steuerung an eine andere Organisationseinheit angehängt ist. Dieses Vorkommnis tritt besonders häufig auf, wenn Sie OUs von außerhalb der AWS Control Tower Tower-Konsole an Ihrem Gerät arbeiten. Im Folgenden finden Sie ein Beispiel für die Amazon SNS SNS-Benachrichtigung, wenn diese Art von Abweichung erkannt wird.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Auflösung
Wenn diese Abweichung in einer Organisationseinheit mit bis zu 1000 Konten auftritt, können Sie sie wie folgt beheben:
-
Navigieren Sie zur Organisationsseite in der AWS Control Tower Tower-Konsole, um die Organisationseinheit erneut zu registrieren (schnellste Option). Weitere Informationen finden Sie unter Registrieren Sie eine bestehende Organisationseinheit bei AWS Control Tower.
-
Aktualisierung Ihrer landing zone (langsamere Option). Weitere Informationen finden Sie unter Aktualisiere deine landing zone.
Wenn diese Art von Abweichung in einer Organisationseinheit mit mehr als 1000 Konten auftritt, beheben Sie das Problem, indem Sie Ihre landing zone aktualisieren. Weitere Informationen finden Sie unter Aktualisiere deine landing zone.
SCP wurde von der verwalteten Organisationseinheit getrennt
Diese Art von Abweichung kann auftreten, wenn ein SCP für eine Steuerung von einer OU getrennt wurde, die von AWS Control Tower verwaltet wird. Dieses Ereignis tritt besonders häufig auf, wenn Sie von außerhalb der AWS Control Tower Tower-Konsole arbeiten. Im Folgenden finden Sie ein Beispiel für die Amazon SNS SNS-Benachrichtigung, wenn diese Art von Abweichung erkannt wird.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_DETACHED_FROM_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Auflösung
Wenn diese Abweichung in einer Organisationseinheit mit bis zu 1000 Konten auftritt, können Sie sie wie folgt beheben:
-
Navigieren Sie zur OU in der AWS Control Tower Tower-Konsole, um die OU erneut zu registrieren (schnellste Option). Weitere Informationen finden Sie unter Registrieren Sie eine bestehende Organisationseinheit bei AWS Control Tower.
-
Aktualisierung Ihrer landing zone (langsamere Option). Wenn sich die Abweichung auf eine obligatorische Kontrolle auswirkt, erstellt der Aktualisierungsprozess eine neue Service Control Policy (SCP) und fügt sie der OU hinzu, um die Abweichung zu beheben. Weitere Informationen zum Aktualisieren Ihrer landing zone finden Sie unterAktualisiere deine landing zone.
Wenn diese Art von Abweichung in einer Organisationseinheit mit mehr als 1000 Konten auftritt, beheben Sie das Problem, indem Sie Ihre landing zone aktualisieren. Wenn sich die Abweichung auf eine obligatorische Kontrolle auswirkt, erstellt der Aktualisierungsprozess eine neue Service Control Policy (SCP) und fügt sie der OU hinzu, um die Abweichung zu beheben. Weitere Informationen zum Aktualisieren Ihrer landing zone finden Sie unterAktualisiere deine landing zone.
SCP ist an das Mitgliedskonto angehängt
Diese Art von Abweichung kann auftreten, wenn ein SCP für eine Kontrolle mit einem Konto in der Organisationskonsole verknüpft ist. Guardrails und ihre SCPs können über die AWS Control Tower Tower-Konsole aktiviert OUs (und somit auf alle registrierten Konten einer Organisationseinheit angewendet) werden. Im Folgenden finden Sie ein Beispiel für die Amazon SNS SNS-Benachrichtigung, wenn diese Art von Abweichung erkannt wird.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_ACCOUNT", "RemediationStep" : "Re-register this organizational unit (OU)", "AccountId" : "012345678909", "PolicyId" : "p-tEXAMPLE" }
Auflösung
Diese Art von Abweichung tritt eher auf dem Konto als auf der Organisationseinheit auf.
Wenn diese Art von Abweichung bei Konten in einer Foundational OU, wie der Security OU, auftritt, besteht die Lösung darin, Ihre landing zone zu aktualisieren. Weitere Informationen finden Sie unter Aktualisiere deine landing zone.
Wenn eine solche Abweichung in einer Organisationseinheit auftritt, die nicht zu den Grundlagen gehört, mit bis zu 1000 Konten, können Sie sie wie folgt beheben:
-
Trennen des AWS Control Tower SCP vom Account Factory-Konto.
-
Navigieren Sie zur OU in der AWS Control Tower Tower-Konsole, um die OU erneut zu registrieren (schnellste Option). Weitere Informationen finden Sie unter Registrieren Sie eine bestehende Organisationseinheit bei AWS Control Tower.
Wenn diese Art von Abweichung in einer Organisationseinheit mit mehr als 1000 Konten auftritt, können Sie versuchen, das Problem zu beheben, indem Sie die werkseitige Konfiguration des Kontos für das Konto aktualisieren. Es ist möglicherweise nicht möglich, das Problem erfolgreich zu lösen. Weitere Informationen finden Sie unter Aktualisiere deine landing zone.
Die grundlegende Organisationseinheit wurde gelöscht
Diese Art von Abweichung gilt nur für AWS Control Tower Foundational OUs, wie z. B. die Security OU. Es kann vorkommen, wenn eine Foundational OU außerhalb der AWS Control Tower Tower-Konsole gelöscht wird. Foundational OUs kann nicht verschoben werden, ohne dass es zu einer solchen Abweichung kommt, da das Verschieben einer Organisationseinheit dasselbe ist wie das Löschen und das anschließende Hinzufügen an einer anderen Stelle. Wenn Sie die Abweichung beheben, indem Sie Ihre landing zone aktualisieren, ersetzt AWS Control Tower die Foundational OU am ursprünglichen Standort. Das folgende Beispiel zeigt eine Amazon SNS SNS-Benachrichtigung, die Sie möglicherweise erhalten, wenn diese Art von Abweichung erkannt wird.
{ "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ORGANIZATIONAL_UNIT_DELETED", "RemediationStep" : "Delete organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }
Auflösung
Da diese Abweichung OUs nur bei Foundational auftritt, besteht die Lösung darin, die landing zone zu aktualisieren. Wenn andere Typen gelöscht OUs werden, wird AWS Control Tower automatisch aktualisiert.
Weitere Informationen zur Behebung von Abweichungen bei Konten und finden Sie OUs unterWenn Sie Ressourcen außerhalb von AWS Control Tower verwalten.
Security Hub steuert Drift
Diese Art von Abweichung tritt auf, wenn eine Steuerung, die Teil des AWS Security Hub Service-Managed Standard: AWS Control Tower ist, einen Drift-Status meldet. Der AWS Security Hub Service selbst meldet keinen Drift-Status für diese Kontrollen. Stattdessen sendet der Service seine Ergebnisse an AWS Control Tower.
Kontrollabweichungen im Security Hub können auch festgestellt werden, wenn AWS Control Tower seit mehr als 24 Stunden kein Status-Update von Security Hub erhalten hat. Wenn diese Ergebnisse nicht wie erwartet eingehen, überprüft AWS Control Tower, ob die Kontrolle nicht stimmt. Das folgende Beispiel zeigt eine Amazon SNS SNS-Benachrichtigung, die Sie möglicherweise erhalten, wenn diese Art von Abweichung erkannt wird.
{ "Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard", "MasterAccountId" : "123456789XXX", "ManagementAccountId" : "123456789XXX", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SECURITY_HUB_CONTROL_DISABLED", "RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.", "AccountId" : "7876543219XXX", "ControlId" : "SH.XXXXXXX.1", "ControlName" : "EBS snapshots should not be publicly restorable", "ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>". "Region" : "us-east-1" }
Auflösung
OUs Bei weniger als 1000 Konten besteht die empfohlene Lösung darin, die ResetEnabledControlAPI für die Drifted Control aufzurufen. In der Konsole können Sie die Option Erneut registrieren für die Organisationseinheit auswählen, wodurch die Steuerung auf den ursprünglichen Zustand zurückgesetzt wird. Alternativ können Sie für jede Organisationseinheit die Steuerung über die Konsole oder den AWS Control Tower entfernen und wieder aktivieren APIs, wodurch die Steuerung ebenfalls zurückgesetzt wird.
Weitere Informationen zur Behebung von Abweichungen bei Konten und OUs finden Sie unter. Wenn Sie Ressourcen außerhalb von AWS Control Tower verwalten
Beherrschen Sie Richtlinienabweichungen
Diese Art von Abweichung tritt auf, wenn eine Kontrolle, die mit Ressourcenkontrollrichtlinien (RCPs) oder deklarativen Richtlinien implementiert wurde, eine Abweichung meldet. Es gibt einen Status von zurückCONTROL_INEFFECTIVE, den Sie in der AWS Control Tower Tower-Konsole und in der Drift-Nachricht sehen können. Die Drift-Nachricht für diese Art von Drift beinhaltet auch die EnabledControlIdentifier für die betroffene Kontrolle.
Diese Art von Drift wird für SCP-basierte Kontrollen nicht gemeldet.
Das folgende Beispiel zeigt eine Amazon SNS SNS-Benachrichtigung, die Sie möglicherweise erhalten, wenn diese Art von Abweichung erkannt wird.
{ "Message": "AWS Control Tower detects that a policy it owns was updated unexpectedly. This mismatch indicates that configuration changes were made outside of AWS Control Tower.", "MasterAccountId": "123456789XXX", "ManagementAccountId": "123456789XXX", "OrganizationId": "o-123EXAMPLE", "DriftType": "CONTROL_INEFFECTIVE", "RemediationStep": "To remediate the issue, Reset the DRIFTED enabled control if permitted or Re-register the OU. If the problem persists, contact AWS support.", "TargetIdentifier": "arn:aws:::organizations/o-123456/ou-1234-4567", "ControlId": "CT.XXXXXXX.PV.1", "ControlName": "EBS snapshots should not be publicly restorable", "ApiControlIdentifier": "arn:aws:controlcatalog:::control/<UNIQUE_ID>", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>" }
Auflösung
Die einfachste Lösung für Abweichungen von Kontrollrichtlinien bei RCP-Kontrollen, deklarativen Richtlinienkontrollen und Security Hub-Steuerungen, die in AWS Control Tower aktiviert sind, besteht darin, die ResetEnabledControl API aufzurufen.
OUs Bei weniger als 1000 Konten besteht eine weitere Lösung von der Konsole oder API aus darin, die Organisationseinheit erneut zu registrieren, wodurch die Steuerung auf den ursprünglichen Zustand zurückgesetzt wird.
Für jede einzelne Organisationseinheit können Sie die Steuerung über die Konsole oder den AWS Control Tower entfernen und wieder aktivieren APIs, wodurch die Steuerung ebenfalls zurückgesetzt wird.
Weitere Informationen zur Behebung von Abweichungen bei Konten und OUs finden Sie unter. Wenn Sie Ressourcen außerhalb von AWS Control Tower verwalten
Vertrauenswürdiger Zugriff deaktiviert
Diese Art von Drift gilt für Landezonen im AWS Control Tower. Es tritt auf, wenn Sie den vertrauenswürdigen Zugriff auf AWS Control Tower deaktivieren, AWS Organizations nachdem Sie Ihre AWS Control Tower Tower-Landezone eingerichtet haben.
Wenn der vertrauenswürdige Zugriff deaktiviert ist, empfängt AWS Control Tower keine Änderungsereignisse mehr von AWS Organizations. AWS Control Tower ist darauf angewiesen, dass diese Änderungsereignisse synchronisiert bleiben AWS Organizations. Infolgedessen kann es sein, dass AWS Control Tower organisatorische Änderungen an Konten und übersieht OUs. Aus diesem Grund ist es wichtig, dass Sie jedes Mal, wenn Sie Ihre landing zone aktualisieren, jede Organisationseinheit neu registrieren.
Beispiel: Amazon SNS SNS-Benachrichtigung
Im Folgenden finden Sie ein Beispiel für die Amazon SNS SNS-Benachrichtigung, die Sie erhalten, wenn diese Art von Abweichung auftritt.
{ "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "TRUSTED_ACCESS_DISABLED", "RemediationStep" : "Reset Control Tower landing zone." }
Auflösung
AWS Control Tower benachrichtigt Sie, wenn diese Art von Abweichung in der AWS Control Tower Tower-Konsole auftritt. Die Lösung besteht darin, Ihre AWS Control Tower Tower-Landezone zurückzusetzen. Weitere Informationen finden Sie unter Drift beheben.
