Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Evite la gobernanza mixta al configurar las regiones
Es importante actualizar todas las cuentas de una OU después de extender la gobernanza de la Torre de AWS Control a una nueva Región de AWS y después de eliminar la gobernanza de la Torre de AWS Control de una región.
La gobernanza mixta es una situación indeseable que puede producirse si los controles que rigen una OU no coinciden completamente con los controles que rigen cada cuenta de una OU. La gobernanza mixta se produce en una OU si las cuentas no se actualizan después de que AWS Control Tower amplíe la gobernanza a una nueva Región de AWS o la elimine.
En esta situación, determinadas cuentas de una OU pueden tener diferentes controles aplicados en distintas regiones, en comparación con otras cuentas de la OU o con la postura de gobierno general de la zona de destino.
En una OU con gobierno mixto, si aprovisionas una cuenta nueva, esa nueva cuenta recibe la misma postura de gobierno regional y de OU (actualizada) que la landing zone. Sin embargo, las cuentas existentes que aún no se han actualizado no reciben la postura de gobernanza regional actualizada.
En general, la gobernanza mixta puede crear indicadores de estado contradictorios o imprecisos en la consola de la Torre de AWS Control Tower. Por ejemplo, durante el gobierno mixto, las regiones que se han suscrito se muestran con el estado No gobernado, cuando están registradasOUs, en el caso de las cuentas que aún no se han actualizado.
nota
AWSLa Torre de Control no permite activar los controles durante un estado de gobierno mixto.
Comportamiento de los controles durante la gobernanza mixta
-
Durante la gobernanza mixta, AWS Control Tower no puede implementar de manera coherente controles basados en AWS Config reglas (es decir, controles de detección) en las regiones que la OU ya muestra como gobernadas, porque algunas cuentas de la OU no se han actualizado. Es posible que reciba un mensaje
FAILED_TO_ENABLEde error. -
Durante la gobernanza mixta, si se amplía la gobernanza de la zona de aterrizaje a una región en la que se haya optado por participar y alguna cuenta de la OU aún no se ha actualizado, la
EnableControlAPI operación en la OU fracasa debido a los controles preventivos y proactivos. Recibirá un mensaje deFAILED_TO_ENABLEerror porque las cuentas de miembros no actualizadas de la OU aún no se han incluido en esas regiones. -
Durante la gobernanza mixta, los controles que forman parte del Security Hub Service Managed Standard: AWS Control Tower no pueden informar de conformidad con precisión en las regiones en las que hay una discrepancia entre la configuración de landing zone y las cuentas que no están actualizadas.
-
La gobernanza mixta no modifica el comportamiento de los controles SCP basados (controles preventivos), que se aplican de manera uniforme a todas las cuentas de una unidad organizativa y en todas las regiones gobernadas.
nota
La gobernanza mixta no es lo mismo que una deriva y no se considera una desviación.
Reparar la gobernanza mixta
-
Elija Actualizar cuenta para cada cuenta de la OU que muestre el estado Actualizar disponible en la página Organizations de la consola.
-
Elija Reregistrar la OU en la página Organizations, que actualiza automáticamente todas las cuentas de la OU, para las cuentas OUs con menos de 1000 cuentas.
