Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Vermeiden Sie gemischte Verwaltungsstrukturen bei der Konfiguration von Regionen
Es ist wichtig, alle Konten in einer Organisationseinheit zu aktualisieren AWS-Region, nachdem Sie AWS Control Tower Governance auf eine neue erweitert und AWS Control Tower Governance aus einer Region entfernt haben.
Eine gemischte Verwaltung ist eine unerwünschte Situation, die eintreten kann, wenn die für eine Organisationseinheit geltenden Kontrollen nicht vollständig mit den Kontrollen übereinstimmen, die für jedes Konto innerhalb einer Organisationseinheit gelten. In einer Organisationseinheit kommt es zu gemischter Governance, wenn Konten nicht aktualisiert werden AWS-Region, nachdem AWS Control Tower die Governance auf eine neue erweitert oder die Governance aufgehoben hat.
In dieser Situation können für bestimmte Konten innerhalb einer Organisationseinheit in verschiedenen Regionen unterschiedliche Kontrollen angewendet werden, wenn dies mit anderen Konten in der Organisationseinheit oder mit der allgemeinen Governance-Situation der Landing Zone verglichen wird.
Wenn Sie in einer Organisationseinheit mit gemischter Verwaltung ein neues Konto einrichten, erhält dieses neue Konto dieselbe (aktualisierte) Regions- und Organisationsstruktur wie die landing zone. Bestehende Konten, die noch nicht aktualisiert wurden, erhalten jedoch nicht den aktualisierten Status der Regionalverwaltung.
Im Allgemeinen kann eine gemischte Steuerung zu widersprüchlichen oder ungenauen Statusanzeigen in der AWS Control Tower Tower-Konsole führen. Bei gemischter Verwaltung werden Opt-in-Regionen beispielsweise für Konten, die noch nicht aktualisiert wurden, mit dem Status Nicht verwaltet (registriertOUs) angezeigt.
Anmerkung
AWSControl Tower erlaubt nicht, dass Kontrollen in einem Zustand gemischter Verwaltung aktiviert werden.
Verhalten der Kontrollen bei gemischter Verwaltung
-
Bei gemischter Governance kann AWS Control Tower in Regionen, die in der Organisationseinheit bereits als gesteuert angezeigt werden, nicht konsistent Kontrollen bereitstellen, die auf AWS Config Regeln basieren (d. h. detektive Kontrollen), da einige Konten in der Organisationseinheit nicht aktualisiert wurden. Möglicherweise erhalten Sie eine
FAILED_TO_ENABLEFehlermeldung. -
Wenn Sie bei gemischter Verwaltung die Governance der Landing Zone auf eine Opt-in-Region ausdehnen, während noch kein Konto in der Organisationseinheit aktualisiert wurde, schlägt der
EnableControlAPI Vorgang auf der Organisationseinheit bei detektiven und proaktiven Kontrollen fehl. Sie erhalten eineFAILED_TO_ENABLEFehlermeldung, da nicht aktualisierte Mitgliedskonten innerhalb der Organisationseinheit noch nicht für diese Regionen angemeldet wurden. -
Bei gemischter Verwaltung können Kontrollen, die Teil des vom Security Hub Service verwalteten Standards sind: AWS Control Tower in Regionen, in denen eine Diskrepanz zwischen der Konfiguration der landing zone und den Konten besteht, die nicht aktualisiert werden, nicht korrekt melden.
-
Eine gemischte Verwaltung hat keine Auswirkung auf das Verhalten SCP basierter Kontrollen (präventiver Kontrollen), die einheitlich für jedes Konto in einer Organisationseinheit und in jeder kontrollierten Region gelten.
Anmerkung
Eine gemischte Unternehmensführung ist nicht dasselbe wie Drift, und sie wird auch nicht als Drift gemeldet.
Um gemischte Regierungsführung zu reparieren
-
Wählen Sie für jedes Konto in der Organisationseinheit, für das auf der Seite Organizations in der Konsole der Status Update available angezeigt wird, die Option Konto aktualisieren aus.
-
Wählen Sie auf der Seite Organizations die Option Organisationseinheit erneut registrieren. Dadurch werden OUs bei weniger als 1000 Konten automatisch alle Konten in der Organisationseinheit aktualisiert.
