Arten von Governance-Abweichungen - AWS Control Tower
Moved Member Account (Mitgliedskonto verschoben)Removed Member Account (Mitgliedskonto entfernt)Ungeplantes Update auf Verwaltet SCPSCPAn die verwaltete Organisationseinheit angehängtSCPVon der verwalteten Organisationseinheit getrenntSCPAn das Mitgliedskonto angehängtDie grundlegende Organisationseinheit wurde gelöschtSecurity Hub steuert DriftVertrauenswürdiger Zugriff deaktiviert

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arten von Governance-Abweichungen

Abweichungen in der Unternehmensführung, auch organisatorisches Drift genannt, treten auf OUsSCPs, wenn, und Mitgliedskonten geändert oder aktualisiert werden. Im AWS Control Tower lassen sich folgende Arten von Abweichungen in der Unternehmensführung erkennen:

Eine andere Art von Drift ist die Landezonendrift, die über das Verwaltungskonto ermittelt werden kann. Ein Drift in der Landezone besteht aus IAM Rollenverschiebungen oder jeder Art von organisatorischer Drift, die sich speziell auf Grundkonten OUs und gemeinsame Konten auswirkt.

Ein Sonderfall von Landezonendrift ist die Rollendrift, die erkannt wird, wenn eine benötigte Rolle nicht verfügbar ist. Wenn diese Art von Abweichung auftritt, zeigt die Konsole eine Warnseite und einige Anweisungen zur Wiederherstellung der Rolle an. Ihre landing zone ist nicht verfügbar, bis der Rollenwechsel behoben ist. Weitere Informationen zu Drift finden Sie im Abschnitt Erforderliche Rollen nicht löschenArten von Abweichungen, die sofort behoben werden müssen.

AWSControl Tower sucht nicht nach Abweichungen in Bezug auf andere Dienste, die mit dem Verwaltungskonto funktionieren CloudTrail CloudWatch, einschließlich AWS CloudFormation, IAM Identity Center AWS Config,, usw. Für Konten von Kindern ist keine Erkennung von Abweichungen verfügbar, da diese Konten durch präventive, obligatorische Kontrollen geschützt sind.

Es werden jedoch Abweichungen in Bezug auf Steuerungen gemeldet, die Teil des vom AWS Security Hub Service verwalteten Standards sind: AWS Control Tower.

Moved Member Account (Mitgliedskonto verschoben)

Diese Art von Abweichung tritt eher auf dem Konto als auf der Organisationseinheit auf. Diese Art von Abweichung kann auftreten, wenn ein AWS Control Tower Tower-Mitgliedskonto, das Auditkonto oder das Protokollarchiv-Konto von einer registrierten AWS Control Tower Tower-OU in eine andere OU verschoben wird. Das Folgende ist ein Beispiel für die SNS Amazon-Benachrichtigung, wenn diese Art von Drift erkannt wird.


{
  "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS",
  "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.",
  "AccountId" : "012345678909",
  "SourceId" : "012345678909",
  "DestinationId" : "ou-3210-1EXAMPLE"
}

Lösungen

Wenn diese Art von Abweichung bei einem von Account Factory bereitgestellten Konto in einer Organisationseinheit mit bis zu 1000 Konten auftritt, können Sie sie wie folgt beheben:

  • Navigieren Sie in der AWS Control Tower Tower-Konsole zur Organisationsseite, wählen Sie das Konto aus und wählen Sie oben rechts Konto aktualisieren (schnellste Option für einzelne Konten).

  • Navigieren Sie in der AWS Control Tower Tower-Konsole zur Organisationsseite und wählen Sie dann Erneut registrieren für die Organisationseinheit, die das Konto enthält (schnellste Option für mehrere Konten). Weitere Informationen finden Sie unter Registrieren Sie eine bestehende Organisationseinheit bei AWS Control Tower.

  • Aktualisierung des bereitgestellten Produkts in Account Factory. Weitere Informationen finden Sie unter Accounts auf Werkseinstellungen aktualisieren und verschieben mit AWS Control Tower oder mit AWS Service Catalog.

    Anmerkung

    Wenn Sie mehrere individuelle Konten aktualisieren müssen, finden Sie auch diese Methode zum Durchführen von Aktualisierungen mit einem Skript:Konten mithilfe von Automatisierung bereitstellen und aktualisieren.

  • Wenn diese Art von Abweichung in einer Organisationseinheit mit mehr als 1000 Konten auftritt, kann die Auflösung der Abweichung davon abhängen, welcher Kontotyp verschoben wurde, wie in den nächsten Absätzen erläutert. Weitere Informationen finden Sie unter Aktualisiere deine landing zone.

    • Wenn ein von Account Factory bereitgestelltes Konto verschoben wird — In einer OU mit weniger als 1000 Konten können Sie die Kontoverschiebung beheben, indem Sie das bereitgestellte Produkt in Account Factory aktualisieren, die OU erneut registrieren oder Ihre landing zone aktualisieren.

      In einer Organisationseinheit mit mehr als 1000 Konten müssen Sie die Abweichung beheben, indem Sie für jedes verschobene Konto ein Update vornehmen, entweder über die AWS Control Tower Tower-Konsole oder das bereitgestellte Produkt, da eine erneute Registrierung der Organisationseinheit das Update nicht durchführt. Weitere Informationen finden Sie unter Accounts auf Werkseinstellungen aktualisieren und verschieben mit AWS Control Tower oder mit AWS Service Catalog.

    • Wenn ein geteiltes Konto verschoben wird — Sie können die Abweichung vom Verschieben des Audit- oder Protokollarchiv-Kontos beheben, indem Sie Ihre landing zone aktualisieren. Weitere Informationen finden Sie unter Aktualisiere deine landing zone.

Veralteter Feldname

Der Feldname MasterAccountID wurde so geändert, dass er ManagementAccountID den Richtlinien entspricht AWS . Der alte Name ist veraltet. Ab 2022 funktionieren Skripts, die den veralteten Feldnamen enthalten, nicht mehr.

Removed Member Account (Mitgliedskonto entfernt)

Diese Art von Abweichung kann auftreten, wenn ein Mitgliedskonto aus einer registrierten AWS Control Tower Tower-Organisationseinheit entfernt wird. Das folgende Beispiel zeigt die SNS Amazon-Benachrichtigung, wenn diese Art von Drift erkannt wird.


{
  "Message" : "AWS Control Tower has detected that the member account 012345678909 has been removed from organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION",
  "RemediationStep" : "Add account to Organization and update Account Factory provisioned product",
  "AccountId" : "012345678909"
}

Auflösung

  • Wenn diese Art von Abweichung in einem Mitgliedskonto auftritt, können Sie die Abweichung beheben, indem Sie das Konto in der AWS Control Tower Tower-Konsole oder in Account Factory aktualisieren. Sie können das Konto beispielsweise über den Account Factory Factory-Update-Assistenten zu einer anderen registrierten Organisationseinheit hinzufügen. Weitere Informationen finden Sie unter Accounts auf Werkseinstellungen aktualisieren und verschieben mit AWS Control Tower oder mit AWS Service Catalog.

  • Wenn ein gemeinsam genutzter Account aus einer Foundational OU entfernt wird, müssen Sie die Abweichung beheben, indem Sie Ihre landing zone zurücksetzen. Solange dieser Fehler nicht behoben ist, können Sie die AWS Control Tower Tower-Konsole nicht verwenden.

  • Weitere Informationen zur Behebung von Abweichungen bei Konten und finden Sie OUs unterWenn Sie Ressourcen außerhalb von AWS Control Tower verwalten.

Anmerkung

In Service Catalog wird das von Account Factory bereitgestellte Produkt, das das Konto darstellt, nicht aktualisiert, um das Konto zu entfernen. Stattdessen wird das bereitgestellte Produkt als TAINTED und in einem Fehlerzustand angezeigt. Gehen Sie zum Aufräumen zum Service Catalog, wählen Sie das bereitgestellte Produkt aus und klicken Sie dann auf Terminate.

Ungeplantes Update auf Verwaltet SCP

Diese Art von Abweichung kann auftreten, wenn ein SCP Steuerelement in der AWS Organizations Konsole oder programmgesteuert mit dem AWS CLI oder einem der Steuerelemente aktualisiert wird. AWS SDKs Das Folgende ist ein Beispiel für die SNS Amazon-Benachrichtigung, wenn diese Art von Drift erkannt wird.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_UPDATED",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

Auflösung

Wenn diese Abweichung in einer Organisationseinheit mit bis zu 1000 Konten auftritt, können Sie sie wie folgt beheben:

Wenn diese Art von Abweichung in einer Organisationseinheit mit mehr als 1000 Konten auftritt, beheben Sie das Problem, indem Sie Ihre landing zone aktualisieren. Weitere Informationen finden Sie unter Aktualisiere deine landing zone.

SCPAn die verwaltete Organisationseinheit angehängt

Diese Art von Abweichung kann auftreten, wenn ein SCP Steuerelement an eine andere Organisationseinheit angehängt ist. Dieses Ereignis tritt besonders häufig auf, wenn Sie OUs von außerhalb der AWS Control Tower Tower-Konsole an Ihrem arbeiten. Das Folgende ist ein Beispiel für die SNS Amazon-Benachrichtigung, wenn diese Art von Drift erkannt wird.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

Auflösung

Wenn diese Abweichung in einer Organisationseinheit mit bis zu 1000 Konten auftritt, können Sie sie wie folgt beheben:

Wenn diese Art von Abweichung in einer Organisationseinheit mit mehr als 1000 Konten auftritt, beheben Sie das Problem, indem Sie Ihre landing zone aktualisieren. Weitere Informationen finden Sie unter Aktualisiere deine landing zone.

SCPVon der verwalteten Organisationseinheit getrennt

Diese Art von Drift kann auftreten, wenn ein SCP Steuerelement von einer OU getrennt wurde, die vom AWS Control Tower verwaltet wird. Dieses Ereignis tritt besonders häufig auf, wenn Sie von außerhalb der AWS Control Tower Tower-Konsole arbeiten. Das Folgende ist ein Beispiel für die SNS Amazon-Benachrichtigung, wenn diese Art von Drift erkannt wird.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_DETACHED_FROM_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

Auflösung

Wenn diese Abweichung in einer Organisationseinheit mit bis zu 1000 Konten auftritt, können Sie sie wie folgt beheben:

  • Navigieren Sie in der AWS Control Tower Tower-Konsole zur OU, um die OU erneut zu registrieren (schnellste Option). Weitere Informationen finden Sie unter Registrieren Sie eine bestehende Organisationseinheit bei AWS Control Tower.

  • Aktualisierung Ihrer landing zone (langsamere Option). Wenn sich die Abweichung auf eine obligatorische Kontrolle auswirkt, erstellt der Aktualisierungsprozess eine neue Dienststeuerungsrichtlinie (SCP) und fügt sie der Organisationseinheit hinzu, um die Abweichung zu beheben. Weitere Informationen zum Aktualisieren Ihrer landing zone finden Sie unterAktualisiere deine landing zone.

Wenn diese Art von Abweichung in einer Organisationseinheit mit mehr als 1000 Konten auftritt, beheben Sie das Problem, indem Sie Ihre landing zone aktualisieren. Wenn sich die Abweichung auf eine obligatorische Kontrolle auswirkt, erstellt der Aktualisierungsprozess eine neue Dienststeuerungsrichtlinie (SCP) und fügt sie der Organisationseinheit hinzu, um die Abweichung zu beheben. Weitere Informationen zum Aktualisieren Ihrer landing zone finden Sie unterAktualisiere deine landing zone.

SCPAn das Mitgliedskonto angehängt

Diese Art von Abweichung kann auftreten, wenn einem SCP Konto in der Organisationskonsole ein Steuerelement zugeordnet ist. Guardrails und ihre SCPs können über die AWS Control Tower Tower-Konsole aktiviert OUs (und somit auf alle registrierten Konten einer Organisationseinheit angewendet) werden. Das Folgende ist ein Beispiel für die SNS Amazon-Benachrichtigung, wenn diese Art von Drift erkannt wird.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_ACCOUNT",
  "RemediationStep" : "Re-register this organizational unit (OU)",
  "AccountId" : "012345678909",
  "PolicyId" : "p-tEXAMPLE"
}

Auflösung

Diese Art von Abweichung tritt eher auf dem Konto als auf der Organisationseinheit auf.

Wenn diese Art von Abweichung bei Konten in einer Foundational OU, wie der Security OU, auftritt, besteht die Lösung darin, Ihre landing zone zu aktualisieren. Weitere Informationen finden Sie unter Aktualisiere deine landing zone.

Wenn diese Art von Abweichung in einer Organisationseinheit auftritt, die nicht zu den Grundlagen gehört, mit bis zu 1000 Konten, können Sie sie wie folgt beheben:

Wenn diese Art von Abweichung in einer Organisationseinheit mit mehr als 1000 Konten auftritt, können Sie versuchen, das Problem zu beheben, indem Sie die werkseitige Konfiguration des Kontos für das Konto aktualisieren. Es ist möglicherweise nicht möglich, das Problem erfolgreich zu lösen. Weitere Informationen finden Sie unter Aktualisiere deine landing zone.

Die grundlegende Organisationseinheit wurde gelöscht

Diese Art von Abweichung gilt nur für AWS Control Tower FoundationalOUs, wie z. B. die Security OU. Es kann vorkommen, wenn eine Foundational OU außerhalb der AWS Control Tower Tower-Konsole gelöscht wird. Eine grundlegende Organisationseinheit OUs kann nicht verschoben werden, ohne dass es zu einer solchen Abweichung kommt, da das Verschieben einer Organisationseinheit dasselbe ist, als würde man sie löschen und sie dann an einer anderen Stelle hinzufügen. Wenn Sie die Abweichung beheben, indem Sie Ihre landing zone aktualisieren, ersetzt der AWS Control Tower die Foundational OU am ursprünglichen Standort. Das folgende Beispiel zeigt eine SNS Amazon-Benachrichtigung, die Sie möglicherweise erhalten, wenn diese Art von Drift erkannt wird.


{
  "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ORGANIZATIONAL_UNIT_DELETED",
  "RemediationStep" : "Delete organizational unit in Control Tower",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE"
}

Auflösung

Da diese Abweichung OUs nur bei Foundational auftritt, besteht die Lösung darin, die landing zone zu aktualisieren. Wenn andere Typen gelöscht OUs werden, wird der AWS Control Tower automatisch aktualisiert.

Weitere Informationen zur Behebung von Abweichungen bei Konten und finden Sie OUs unterWenn Sie Ressourcen außerhalb von AWS Control Tower verwalten.

Security Hub steuert Drift

Diese Art von Drift tritt auf, wenn eine Steuerung, die Teil des AWS Security Hub Service-Managed Standard: AWS Control Tower ist, einen Driftzustand meldet. Der AWS Security Hub Service selbst meldet bei diesen Kontrollen keinen Drift-Status. Stattdessen sendet der Dienst seine Ergebnisse an den AWS Control Tower.

Kontrollabweichungen im Security Hub können auch erkannt werden, wenn AWS Control Tower seit mehr als 24 Stunden kein Status-Update vom Security Hub erhalten hat. Wenn diese Ergebnisse nicht wie erwartet eingehen, verifiziert der AWS Control Tower, ob die Kontrolle driftet. Das folgende Beispiel zeigt eine SNS Amazon-Benachrichtigung, die Sie möglicherweise erhalten, wenn diese Art von Drift erkannt wird.

{
"Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard",
"MasterAccountId" : "123456789XXX",
"ManagementAccountId" : "123456789XXX",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "SECURITY_HUB_CONTROL_DISABLED",
"RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.",
"AccountId" : "7876543219XXX",
"ControlId" : "PYBETSAGNUZB",
"ControlName" : "EBS snapshots should not be publicly restorable",
"ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB",
"Region" : "us-east-1"
}

Auflösung

OUsBei weniger als 1000 Konten besteht die Lösung darin, die Organisationseinheit erneut zu registrieren, wodurch die Steuerung auf den ursprünglichen Zustand zurückgesetzt wird. Für jede Organisationseinheit können Sie die Steuerung über die Konsole oder den Control Tower entfernen und wieder aktivierenAPIs, wodurch auch die AWS Steuerung zurückgesetzt wird.

Weitere Informationen zur Behebung von Abweichungen bei Konten und OUs finden Sie unter. Wenn Sie Ressourcen außerhalb von AWS Control Tower verwalten

Vertrauenswürdiger Zugriff deaktiviert

Diese Art von Drift gilt für Landezonen im AWS Control Tower. Es tritt auf, wenn Sie den vertrauenswürdigen Zugriff auf den AWS Control Tower deaktivieren, AWS Organizations nachdem Sie Ihre AWS Control Tower Tower-Landezone eingerichtet haben.

Wenn der vertrauenswürdige Zugriff deaktiviert ist, empfängt AWS Control Tower keine Änderungsereignisse mehr von AWS Organizations. AWSControl Tower ist darauf angewiesen, dass diese Änderungsereignisse synchronisiert bleiben AWS Organizations. Infolgedessen übersieht AWS Control Tower möglicherweise organisatorische Änderungen an Konten undOUs. Aus diesem Grund ist es wichtig, dass Sie jedes Mal, wenn Sie Ihre landing zone aktualisieren, jede Organisationseinheit neu registrieren.

Beispiel: SNS Amazon-Benachrichtigung

Im Folgenden finden Sie ein Beispiel für die SNS Amazon-Benachrichtigung, die Sie erhalten, wenn diese Art von Abweichung auftritt. 

{
  "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "TRUSTED_ACCESS_DISABLED",
  "RemediationStep" : "Reset Control Tower landing zone."
}

Auflösung

AWSControl Tower benachrichtigt Sie, wenn diese Art von Drift in der AWS Control Tower Tower-Konsole auftritt. Die Lösung besteht darin, die landing zone Ihres AWS Control Tower zurückzusetzen. Weitere Informationen finden Sie unter Drift beheben.