Elusión de la gobernanza mixta al configurar regiones

Es importante actualizar todas las cuentas de una OU después de ampliar la gobernanza de AWS Control Tower a una nueva Región de AWS y después de eliminar la gobernanza de AWS Control Tower de una región.

La gobernanza mixta es una situación no deseada que puede producirse si los controles que rigen una OU no coinciden completamente con los controles que rigen cada una de las cuentas de una OU. La gobernanza mixta se produce en una OU si las cuentas no se actualizan después de que AWS Control Tower amplíe la gobernanza a una nueva Región de AWS o la elimine.

En esta situación, es posible que determinadas cuentas de una OU tengan diferentes controles aplicados en distintas regiones, en comparación con otras cuentas de la OU o con respecto a la postura de gobernanza general de la zona de aterrizaje.

En una OU con gobernanza mixta, si aprovisiona una cuenta nueva, dicha cuenta recibe la misma postura de gobernanza de región y OU (actualizada) que la zona de aterrizaje. Sin embargo, las cuentas existentes que aún no están actualizadas no reciben la postura de gobernanza de región actualizada.

En general, la gobernanza mixta puede crear indicadores de estado contradictorios o inexactos en la consola de AWS Control Tower. Por ejemplo, durante la gobernanza mixta, las regiones de inscripción se muestran con el estado No regido en las OU registradas de las cuentas que aún no están actualizadas.

nota

AWS Control Tower no permite habilitar controles durante un estado de gobernanza mixta.

Comportamiento de los controles durante la gobernanza mixta

Durante la gobernanza mixta, AWS Control Tower no puede implementar de manera coherente controles basados en reglas de AWS Config (es decir, controles de detección) en regiones en las que la OU ya aparece como regida, ya que algunas cuentas de la OU no se han actualizado. Es posible que reciba un mensaje de error FAILED_TO_ENABLE.
Durante la gobernanza mixta, si amplía la gobernanza de la zona de aterrizaje a una región de inscripción cuando aún no se ha actualizado ninguna cuenta de la OU, la operación de la API EnableControl en la OU fallará en los controles proactivos y de detección. Recibirá un mensaje de error FAILED_TO_ENABLE debido a que las cuentas de miembro no actualizadas de la OU aún no se han incluido en dichas regiones.
Durante la gobernanza mixta, controles que forman parte del Estándar administrado por servicios de Security Hub: AWS Control Tower no puede informar de la conformidad con precisión en las regiones en las que no coinciden la configuración de la zona de aterrizaje y las cuentas que no están actualizadas.
La gobernanza mixta no cambia el comportamiento de los controles basados en SCP (controles preventivos) que se aplican de manera uniforme a todas las cuentas de una OU y a todas las regiones gobernadas.

nota

La gobernanza mixta no es lo mismo que la desviación, y no se notifica como tal.

Reparación de la gobernanza mixta

Elija Actualizar cuenta en cada cuenta de la OU que muestre el estado Actualización disponible en la página Organizaciones de la consola.
Seleccione Volver a registrar una unidad organizativa (OU) en la página Organizaciones, que actualiza automáticamente todas las cuentas de la OU en caso de OU con menos de 1000 cuentas.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración de las regiones

Acerca de regiones registradas