Detecta y resuelve desviaciones en la Torre AWS de Control - AWS Control Tower
Detectando la derivaResolver la derivaConsideraciones sobre la deriva y los SCP escaneosTipos de deriva que se deben resolver de inmediatoCambios reparables en los recursosDesviación y aprovisionamiento de nuevas cuentas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Detecta y resuelve desviaciones en la Torre AWS de Control

Identificar y resolver las desviaciones es una tarea operativa habitual para los administradores de cuentas de administración de la Torre de AWS Control Tower. Resolver los errores ayuda a garantizar el cumplimiento de los requisitos de gobierno.

Cuando creas tu landing zone, la zona de aterrizaje y todas las unidades organizativas (OUs), cuentas y recursos cumplen con las normas de gobierno aplicadas por los controles que hayas elegido. A medida que tú y los miembros de tu organización uséis la landing zone, es posible que se produzcan cambios en este estado de conformidad. Algunos cambios pueden ser accidentales, mientras que otros pueden realizarse a propósito para dar respuesta a eventos operativos en los que el tiempo es crucial.

La detección de la desviación ayuda a identificar recursos que necesitan cambios o actualizaciones de configuración para resolver la desviación.

Detectando la deriva

AWSLa Torre de Control detecta la deriva automáticamente. Para detectar desviaciones, el AWSControlTowerAdmin rol requiere un acceso permanente a tu cuenta de administración para que AWS Control Tower pueda realizar API llamadas de solo lectura. AWS Organizations Estas API llamadas se muestran como AWS CloudTrail eventos.

La desviación aparece en las notificaciones del Amazon Simple Notification Service (AmazonSNS) que se agregan a la cuenta de auditoría. Las notificaciones de cada cuenta de miembro envían alertas a un SNS tema local de Amazon y a una función de Lambda.

En el caso de los controles que forman parte del estándar AWS Security Hub gestionado por el servicio: AWS Control Tower, la desviación se muestra en las páginas Cuenta y Detalles de la cuenta de la consola de AWS Control Tower, así como mediante una notificación de AmazonSNS.

Los administradores de las cuentas de los miembros pueden suscribirse (y, como práctica recomendada, deberían hacerlo) a las notificaciones de SNS cambios de cuentas específicas. Por ejemplo, en el aws-controltower-AggregateSecurityNotifications SNS tema se proporcionan notificaciones de desviaciones. La consola de la Torre de AWS Control indica a los administradores de cuentas de administración cuándo se ha producido un desvío. Para obtener más información sobre SNS los temas relacionados con la detección y notificación de desviaciones, consulte Prevención y notificación de desviaciones.

Deduplicación de notificaciones de deriva

Si se produce el mismo tipo de desviación en el mismo conjunto de recursos varias veces, AWS Control Tower envía una SNS notificación solo para la instancia inicial de desviación. Si AWS Control Tower detecta que se ha corregido este caso de desviación, envía otra notificación solo si se repite la desviación en esos recursos idénticos.

Ejemplos: las desviaciones y SCP desviaciones de cuentas se gestionan de la siguiente manera

  • Si modificas el mismo producto gestionado SCP varias veces, recibirás una notificación la primera vez que lo modifiques.

  • Si modificas un archivo gestionadoSCP, corriges un error y lo vuelves a modificar, recibirás dos notificaciones.

  • Si una cuenta se mueve entre el mismo origen y el mismo destino OUs varias veces, sin reparar primero el error, se envía una única notificación, aunque la cuenta se haya trasladado de un lugar a otro OUs más de una vez.

Tipos de desviaciones de cuentas

  • La cuenta se trasladó de un lugar OUs

  • Cuenta eliminada de la organización

nota

Al mover una cuenta de una OU a otra, no se eliminan los controles de la OU anterior. Si habilita cualquier control nuevo basado en ganchos en la unidad organizativa de destino, la antigua El control basado en ganchos se elimina de la cuenta y el nuevo control lo reemplaza. Los controles implementados con AWS Config las reglas SCPs y las reglas siempre deben eliminarse manualmente cuando se cambia OUs una cuenta.

Tipos de desviaciones políticas

  • SCPactualizado

  • SCPadjunto a OU

  • SCPseparado de OU

  • SCPadjunto a la cuenta

Para obtener más información, consulte Types of Governance Drift.

Resolver la deriva

Aunque la detección es automática, los pasos para resolver la desviación deben realizarse a través de la consola.

  • Se pueden resolver muchos tipos de deriva a través de la página de configuración de la zona de aterrizaje. Puedes pulsar el botón Restablecer en la sección de versiones para resolver estos tipos de deriva.

  • Si su OU tiene menos de 1000 cuentas, puede resolver el problema en las cuentas aprovisionadas por Account Factory, o SCP derivación, seleccionando Volver a registrar la OU en la página de la organización o en la página de detalles de la OU.

  • Es posible que pueda resolver el desvío de una cuenta, por ejemploCuenta de miembro trasladada, actualizando una cuenta individual. Para obtener más información, consulte Actualiza la cuenta en la consola.

Cuando tomas medidas para resolver la deriva en una versión de landing zone, es posible que se produzcan dos comportamientos.

  • Si utilizas la última versión de landing zone, al seleccionar Restablecer y, a continuación, elegir Confirmar, los recursos de la zona de aterrizaje a la deriva se restablecerán a la configuración guardada de la Torre de AWS Control Tower. La versión de landing zone sigue siendo la misma.

  • Si no tienes la última versión, debes elegir Actualizar. La zona de aterrizaje se ha actualizado a la última versión de la zona de aterrizaje. La deriva se resuelve como parte de este proceso.

Consideraciones sobre la deriva y los SCP escaneos

AWSControl Tower escanea su gestión a SCPs diario para comprobar que los controles correspondientes se han aplicado correctamente y que no se han desviado. Para recuperarlos SCPs y comprobarlos, AWS Control Tower llama AWS Organizations en tu nombre y utiliza un rol en tu cuenta de administración.

Si un escáner AWS de la Torre de Control detecta una desviación, recibirás una notificación. AWSControl Tower envía solo una notificación por cada problema de deriva, por lo que si tu landing zone ya está en estado de deriva, no recibirás notificaciones adicionales a menos que encuentres un nuevo objeto de deriva.

AWS Organizations limita la frecuencia con la que se APIs puede llamar a cada uno de ellos. Este límite se expresa en transacciones por segundo (TPS) y se conoce como TPSlímite, tasa de aceleración o tasa de API solicitudes. Cuando AWS Control Tower te audita SCPs mediante llamadas AWS Organizations, las API llamadas que realiza AWS Control Tower se tienen en cuenta para tu TPS límite, ya que AWS Control Tower usa la cuenta de administración para realizar las llamadas.

En raras ocasiones, este límite se puede alcanzar si llamas a la misma persona APIs varias veces, ya sea a través de una solución de terceros o de un script personalizado que hayas creado. Por ejemplo, si usted y la Torre de AWS Control llaman AWS Organizations APIs al mismo tiempo (en menos de 1 segundo) y se alcanzan los TPS límites, las llamadas subsiguientes se limitan. Es decir, estas llamadas devuelven un error como: Rate exceeded

Si se supera una tasa de API solicitudes

  • Si AWS Control Tower llega al límite y se ralentiza, pausaremos la ejecución de la auditoría y la reanudaremos más adelante.

  • Si su carga de trabajo alcanza el límite y se reduce, el resultado puede variar desde una latencia leve hasta un error grave en la carga de trabajo, según cómo esté configurada la carga de trabajo. Este caso extremo es algo que hay que tener en cuenta.

Un SCP escaneo diario consiste en

  1. Recuperando tu actividad OUs reciente.

  2. Para cada unidad organizativa registrada, se SCPs recuperan todas las unidades gestionadas por la Torre de AWS Control que estén conectadas a la unidad organizativa. SCPsLos administradores tienen identificadores que comienzan por. aws-guardrails

  3. Para cada control preventivo habilitado en la OU, se verifica que la declaración de política del control esté presente en la OU gestionada. SCPs

Una OU puede tener uno o más gestionadosSCPs.

Tipos de deriva que se deben resolver de inmediato

Los administradores pueden resolver la mayoría de los tipos de desviación. Algunos tipos de desviaciones deben resolverse de inmediato, incluida la eliminación de una unidad organizativa que la zona de aterrizaje de la Torre de AWS Control Tower requiera. Estos son algunos ejemplos de desviaciones importantes que quizás quieras evitar:

  • No elimines la unidad organizativa de seguridad: la unidad organizativa originalmente denominada Seguridad durante la configuración de la landing zone por AWS Control Tower no debe eliminarse. Si la eliminas, verás un mensaje de error en el que se te indica que debes restablecer la landing zone inmediatamente. No podrás realizar ninguna otra acción en la Torre de AWS Control hasta que se complete el restablecimiento.

  • No elimines los roles obligatorios: la Torre de AWS Control comprueba ciertos roles AWS Identity and Access Management (IAM) cuando inicias sesión en la consola para ver si hay cambios de IAMrol. Si estas funciones faltan o no se puede acceder a ellas, aparecerá una página de error en la que se te indicará que restablezcas tu landing zone. Estos roles son. AWSControlTowerAdmin AWSControlTowerCloudTrailRole AWSControlTowerStackSetRole

    Para obtener más información acerca de estas funciones, consultePermisos necesarios para usar la consola de la Torre de Control de AWS.

  • No elimines todo lo adicionalOUs: si eliminas la unidad organizativa originalmente llamada Sandbox durante la configuración de la zona de aterrizaje por parte de AWS Control Tower, tu zona de aterrizaje estará a la deriva, pero podrás seguir usando AWS Control Tower. Se necesita al menos una unidad organizativa adicional para que la Torre de AWS Control funcione, pero no tiene por qué ser la unidad organizativa Sandbox.

  • No elimines las cuentas compartidas: si eliminas las cuentas compartidas de FoundationalOUs, por ejemplo, si eliminas la cuenta de registro de la unidad organizativa de seguridad, tu landing zone estará en un estado de deriva. Debes restablecer la zona de aterrizaje para poder seguir usando la consola de la Torre de AWS Control.

Cambios reparables en los recursos

Esta es una lista de los cambios en los recursos de la Torre de AWS Control que están permitidos, aunque generan desviaciones solucionables. Los resultados de estas operaciones permitidas se pueden ver en la consola de la Torre de AWS Control Tower, aunque es posible que sea necesario actualizarlos.

Para obtener más información sobre cómo resolver la desviación resultante, consulte Administración de recursos fuera de la Torre de AWS Control.

Se permiten cambios fuera de la consola de la Torre de AWS Control

  • Cambie el nombre de una unidad organizativa registrada.

  • Cambie el nombre de la unidad organizativa de seguridad.

  • Cambie el nombre de las cuentas de los miembros en Non-FoundationalOUs.

  • Cambie el nombre de las cuentas compartidas de la Torre de AWS Control en la unidad organizativa de seguridad.

  • Elimine una unidad organizativa que no sea fundamental.

  • Elimine una cuenta inscrita de una OU no fundacional.

  • Cambie la dirección de correo electrónico de una cuenta compartida en la OU de seguridad.

  • Cambie la dirección de correo electrónico de una cuenta de miembro en una OU registrada.

nota

El traslado de cuentas de un sitio a otro OUs se considera un error y debe resolverse.

Desviación y aprovisionamiento de nuevas cuentas

Si tu landing zone se encuentra en un estado de deriva, la función Inscribir cuenta de AWS Control Tower no funcionará. En ese caso, debe aprovisionar cuentas nuevas a través de AWS Service Catalog. Para obtener instrucciones, consulte Aprovisione cuentas con AWS Service Catalog Account Factory .

En concreto, si ha realizado algunos cambios en sus cuentas a través de Service Catalog, como cambiar el nombre de su cartera, la función de inscripción de cuentas no funcionará.