Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Detecte y resuelva desviaciones en la Torre de Control de AWS
Identificar y resolver las desviaciones es una tarea operativa habitual de los administradores de cuentas de administración de la Torre de Control Tower de AWS. Resolver los errores ayuda a garantizar el cumplimiento de los requisitos de gobierno.
Cuando creas tu landing zone, la zona de aterrizaje y todas las unidades organizativas (OU), cuentas y recursos cumplen con las normas de gobierno aplicadas por los controles que hayas elegido. A medida que tú y los miembros de tu organización uséis la landing zone, es posible que se produzcan cambios en este estado de conformidad. Algunos cambios pueden ser accidentales, mientras que otros pueden realizarse a propósito para dar respuesta a eventos operativos en los que el tiempo es crucial.
La detección de la desviación ayuda a identificar recursos que necesitan cambios o actualizaciones de configuración para resolver la desviación.
Detectando la deriva
AWS Control Tower detecta la desviación automáticamente. Para detectar desviaciones, el AWSControlTowerAdmin rol requiere un acceso permanente a su cuenta de administración para que AWS Control Tower pueda realizar llamadas a la API de solo lectura. AWS Organizations Estas llamadas a la API se muestran como AWS CloudTrail eventos.
La desviación aparece en las notificaciones del Amazon Simple Notification Service (Amazon SNS) que se agregan a la cuenta de auditoría. Las notificaciones de cada cuenta de miembro envían alertas a un tema local de Amazon SNS y a una función de Lambda.
En el caso de los controles que forman parte del AWS Security Hub estándar gestionado por servicios: AWS Control Tower, los cambios se muestran en las páginas Cuenta y Detalles de la cuenta de la consola de AWS Control Tower, así como mediante una notificación de Amazon SNS.
Los administradores de cuentas de miembro pueden (y, como práctica recomendada, deben) suscribirse a las notificaciones de desviación de SNS para cuentas específicas. Por ejemplo, en el tema aws-controltower-AggregateSecurityNotifications SNS se proporcionan notificaciones de desviaciones. La consola de AWS Control Tower indica a los administradores de cuentas de administración cuándo se ha producido un desvío. Para obtener más información sobre los temas de las redes sociales relacionados con la detección y notificación de desviaciones, consulte Prevención y notificación de desviaciones.
Deduplicación de notificaciones de deriva
Si se produce el mismo tipo de desviación en el mismo conjunto de recursos varias veces, AWS Control Tower envía una notificación de SNS solo para la instancia inicial de desviación. Si AWS Control Tower detecta que se ha corregido este caso de desviación, envía otra notificación solo si la desviación se repite en el caso de esos recursos idénticos.
Ejemplos: la desviación de cuentas y la desviación de SCP se gestionan de la siguiente manera
-
Si modifica el mismo SCP gestionado varias veces, recibirá una notificación la primera vez que lo modifique.
-
Si modifica un SCP gestionado, corrige la desviación y, a continuación, lo modifica de nuevo, recibirá dos notificaciones.
-
Si una cuenta se mueve entre las mismas unidades organizativas de origen y destino varias veces, sin reparar primero la desviación, se envía una única notificación, aunque la cuenta se haya trasladado de una unidad organizativa a otra más de una vez.
Tipos de desviaciones de cuentas
-
La cuenta se trasladó entre unidades organizativas
-
Cuenta eliminada de la organización
nota
Al mover una cuenta de una OU a otra, no se eliminan los controles de la OU anterior. Si habilita cualquier control nuevo basado en ganchos en la unidad organizativa de destino, la antigua El control basado en ganchos se elimina de la cuenta y el nuevo control lo reemplaza. Los controles implementados con los SCP y AWS Config las reglas siempre deben eliminarse manualmente cuando una cuenta cambia de unidad organizativa.
Tipos de desviaciones políticas
-
SCP actualizado
-
SCP adjunto a la OU
-
SCP separado de la OU
-
SCP adjunto a la cuenta
Para obtener más información, consulte Types of Governance Drift.
Resolver la deriva
Aunque la detección es automática, los pasos para resolver la desviación deben realizarse a través de la consola.
-
Se pueden resolver muchos tipos de deriva a través de la página de configuración de la zona de aterrizaje. Puedes pulsar el botón Restablecer en la sección de versiones para resolver estos tipos de deriva.
-
Si su OU tiene menos de 300 cuentas, puede resolver el problema de las cuentas aprovisionadas por Account Factory (SCP) seleccionando Volver a registrar la OU en la página de la organización o en la página de detalles de la OU.
-
Es posible que pueda resolver el cambio de cuenta, por ejemplo, actualizando una cuenta individual. Cuenta de miembro trasladada Para obtener más información, consulte Actualiza la cuenta en la consola.
Cuando tomas medidas para resolver la deriva en una versión de landing zone, es posible que se produzcan dos comportamientos.
-
Si utiliza la versión más reciente de landing zone, al seleccionar Restablecer y, a continuación, elegir Confirmar, los recursos de la zona de aterrizaje a la deriva se restablecerán a la configuración guardada de la Torre de Control de AWS. La versión de landing zone sigue siendo la misma.
-
Si no tienes la última versión, debes elegir Actualizar. La zona de aterrizaje se ha actualizado a la última versión de la zona de aterrizaje. La deriva se resuelve como parte de este proceso.
Consideraciones sobre la deriva y los escaneos SCP
AWS Control Tower escanea los SCP gestionados a diario para comprobar que los controles correspondientes se aplican correctamente y que no se han desviado. Para recuperar los SCP y comprobarlos, AWS Control Tower llama AWS Organizations en su nombre utilizando un rol en su cuenta de administración.
Si un escaneo de la Torre de Control de AWS detecta una desviación, recibirá una notificación. AWS Control Tower envía solo una notificación por cada problema de deriva, por lo que si su zona de aterrizaje ya se encuentra en un estado de deriva, no recibirá notificaciones adicionales a menos que encuentre un nuevo elemento de deriva.
AWS Organizations limita la frecuencia con la que se puede llamar a cada una de sus API. Este límite se expresa en transacciones por segundo (TPS) y se conoce como límite de TPS, tasa de aceleración o tasa de solicitudes de API. Cuando AWS Control Tower audita sus SCP mediante una llamada AWS Organizations, las llamadas a la API que realiza AWS Control Tower se tienen en cuenta para su límite de TPS, ya que AWS Control Tower utiliza la cuenta de administración para realizar las llamadas.
En raras ocasiones, este límite se puede alcanzar si llama repetidamente a las mismas API, ya sea a través de una solución de terceros o de un script personalizado que haya creado. Por ejemplo, si usted y AWS Control Tower llaman a las mismas AWS Organizations API en el mismo momento (en menos de 1 segundo) y se alcanzan los límites de TPS, las llamadas posteriores se limitan. Es decir, estas llamadas devuelven un error como: Rate exceeded
Si se supera una tasa de solicitudes de API
-
Si AWS Control Tower alcanza el límite y se ralentiza, pausaremos la ejecución de la auditoría y la reanudaremos más adelante.
-
Si su carga de trabajo alcanza el límite y se reduce, el resultado puede variar desde una latencia leve hasta un error grave en la carga de trabajo, en función de cómo esté configurada la carga de trabajo. Este caso extremo es algo que hay que tener en cuenta.
Un escaneo SCP diario consiste en
-
Recuperar sus unidades organizativas activas recientemente.
-
Para cada unidad organizativa registrada, se recuperan todos los SCP administrados por AWS Control Tower que están conectados a la unidad organizativa. Los SCP administrados tienen identificadores que comienzan por.
aws-guardrails -
Para cada control preventivo habilitado en la OU, verificar que la declaración de política del control esté presente en los SCP gestionados por la OU.
Una OU puede tener uno o más SCP administrados.
Tipos de deriva que se deben resolver de inmediato
Los administradores pueden resolver la mayoría de los tipos de desviación. Hay algunos tipos de errores que deben resolverse de inmediato, incluida la eliminación de una unidad organizativa que requiera la zona de aterrizaje de AWS Control Tower. Estos son algunos ejemplos de desviaciones importantes que tal vez desee evitar:
-
No elimine la unidad organizativa de seguridad: no se debe eliminar la unidad organizativa denominada originalmente Security during landing zone setup por AWS Control Tower. Si la eliminas, verás un mensaje de error en el que se te indica que debes restablecer la landing zone inmediatamente. No podrá realizar ninguna otra acción en AWS Control Tower hasta que se complete el restablecimiento.
-
No elimine las funciones obligatorias: AWS Control Tower comprueba determinadas funciones AWS Identity and Access Management (de IAM) al iniciar sesión en la consola para detectar la desviación de funciones de IAM. Si estas funciones faltan o son inaccesibles, verás una página de error en la que se te indica que restablezcas tu landing zone. Estos roles son.
AWSControlTowerAdminAWSControlTowerCloudTrailRoleAWSControlTowerStackSetRolePara obtener más información sobre estas funciones, consultePermisos necesarios para usar la consola de la Torre de Control de AWS.
-
No elimine todas las unidades organizativas adicionales: si elimina la unidad organizativa originalmente denominada Sandbox durante la configuración de la zona de aterrizaje por parte de AWS Control Tower, su zona de aterrizaje estará en un estado de deriva, pero podrá seguir utilizando AWS Control Tower. Se necesita al menos una OU adicional para que la Torre de Control de AWS funcione, pero no tiene que ser la OU Sandbox.
-
No elimines las cuentas compartidas: si eliminas las cuentas compartidas de las unidades organizativas fundamentales, por ejemplo, si eliminas la cuenta de registro de la unidad organizativa de seguridad, tu landing zone estará en un estado de deriva. Debe restablecer la zona de aterrizaje para poder seguir utilizando la consola de AWS Control Tower.
Cambios reparables en los recursos
Esta es una lista de los cambios en los recursos de la Torre de Control Tower de AWS que están permitidos, aunque generan desviaciones solucionables. Los resultados de estas operaciones permitidas se pueden ver en la consola de la Torre de Control Tower de AWS, aunque puede ser necesaria una actualización.
Para obtener más información sobre cómo resolver el problema resultante, consulte Administrar recursos fuera de la Torre de Control de AWS.
Se permiten cambios fuera de la consola de la Torre de Control de AWS
-
Cambie el nombre de una unidad organizativa registrada.
-
Cambie el nombre de la unidad organizativa de seguridad.
-
Cambie el nombre de las cuentas de los miembros en las unidades organizativas no fundamentales.
-
Cambie el nombre de las cuentas compartidas de AWS Control Tower en la unidad organizativa de seguridad.
-
Elimine una unidad organizativa que no sea fundamental.
-
Elimine una cuenta inscrita de una OU no fundacional.
-
Cambie la dirección de correo electrónico de una cuenta compartida en la OU de seguridad.
-
Cambie la dirección de correo electrónico de una cuenta de miembro en una OU registrada.
nota
Mover cuentas entre unidades organizativas se considera un error y debe resolverse.
Desviación y aprovisionamiento de nuevas cuentas
Si su landing zone se encuentra en un estado de deriva, la función Inscribir una cuenta de AWS Control Tower no funcionará. En ese caso, debe aprovisionar nuevas cuentas a través de AWS Service Catalog. Para ver instrucciones, consulte Aprovisione cuentas con AWS Service Catalog Account Factory .
En concreto, si ha realizado algunos cambios en sus cuentas a través de Service Catalog, como cambiar el nombre de su cartera, la función de inscripción de cuentas no funcionará.
