Détectez et corrigez les dérives dans AWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Détectez et corrigez les dérives dans AWS Control Tower

L'identification et la résolution des problèmes de dérive font partie des tâches opérationnelles habituelles des administrateurs de comptes de gestion de AWS Control Tower. La résolution de la dérive contribue à garantir votre conformité aux exigences de gouvernance.

Lorsque vous créez votre zone d'atterrissage, celle-ci ainsi que toutes les unités organisationnelles (OUs), comptes et ressources sont conformes aux règles de gouvernance appliquées par les contrôles que vous avez choisis. Lorsque vous et les membres de votre organisation utilisez la zone d'atterrissage, des modifications de ce statut de conformité peuvent se produire. Certaines modifications peuvent être accidentelles, et d'autres peuvent être apportées intentionnellement pour répondre aux événements opérationnels prioritaires.

La détection de la dérive vous aide à identifier les ressources qui ont besoin de modifications ou de mises à jour de la configuration pour résoudre la dérive.

Détection de la dérive

AWSControl Tower détecte automatiquement la dérive. Pour détecter la dérive, le AWSControlTowerAdmin rôle nécessite un accès permanent à votre compte de gestion afin que AWS Control Tower puisse passer des API appels en lecture seule. AWS Organizations Ces API appels apparaissent sous forme d' AWS CloudTrail événements.

La dérive apparaît dans les notifications Amazon Simple Notification Service (AmazonSNS) qui sont agrégées dans le compte d'audit. Les notifications de chaque compte membre envoient des alertes à une SNS rubrique Amazon locale et à une fonction Lambda.

Pour les contrôles faisant partie du AWS Security Hub Service-Managed Standard : AWS Control Tower, la dérive est indiquée sur les pages du compte et des détails du compte de la console AWS Control Tower, ainsi que par le biais d'une notification AmazonSNS.

Les administrateurs des comptes des membres peuvent (et c'est la meilleure pratique, ils devraient) s'abonner aux notifications de SNS dérive pour des comptes spécifiques. Par exemple, la aws-controltower-AggregateSecurityNotifications SNS rubrique fournit des notifications de dérive. La console AWS Control Tower indique aux administrateurs des comptes de gestion en cas de dérive. Pour plus d'informations sur les SNS sujets relatifs à la détection et à la notification de la dérive, voir Prévention et notification de la dérive.

Déduplication des notifications de dérive

Si le même type de dérive se produit plusieurs fois sur le même ensemble de ressources, AWS Control Tower envoie une SNS notification uniquement pour l'instance initiale de dérive. Si AWS Control Tower détecte que cette instance de dérive a été corrigée, elle envoie une autre notification uniquement si la dérive se reproduit pour ces ressources identiques.

Exemples : La dérive et la SCP dérive des comptes sont gérées de la manière suivante
  • Si vous modifiez le même gestionnaire à SCP plusieurs reprises, vous recevez une notification lorsque vous le modifiez pour la première fois.

  • Si vous modifiez un objet géréSCP, puis que vous corrigez une dérive, puis que vous le modifiez à nouveau, vous recevrez deux notifications.

  • Si un compte est déplacé OUs plusieurs fois entre la même source et la même destination, sans que la dérive soit réparée au préalable, une seule notification est envoyée, même si le compte a été transféré de l'une à l'autre à OUs plusieurs reprises.

Types de dérive des comptes
  • Le compte a été transféré entre OUs

  • Compte supprimé de l'organisation

Note

Lorsque vous déplacez un compte d'une unité organisationnelle à une autre, les commandes de l'unité d'organisation précédente ne sont pas supprimées. Si vous activez un nouveau contrôle basé sur le crochet sur l'unité d'organisation de destination, l'ancien le contrôle basé sur un crochet est supprimé du compte et le nouveau contrôle le remplace. Les contrôles mis en œuvre SCPs et AWS Config les règles doivent toujours être supprimés manuellement lorsqu'un compte changeOUs.

Types de dérive politique
  • SCPmis à jour

  • SCPattaché à l'OU

  • SCPdétaché de l'OU

  • SCPattaché au compte

Pour plus d'informations, consultez la section Types de dérive de la gouvernance.

Résolution de la dérive

Bien que la détection soit automatique, les étapes pour résoudre l'écart sont manuelles et doivent être effectuées via la console.

  • De nombreux types de dérive peuvent être résolus via la page des paramètres de la zone d'atterrissage. Vous pouvez cliquer sur le bouton Réinitialiser dans la section Versions pour résoudre ces types de dérive.

  • Si votre unité d'organisation compte moins de 1 000 comptes, vous pouvez résoudre le problème de dérive dans les comptes provisionnés par Account Factory, ou de SCP dérive, en sélectionnant Réenregistrer l'unité d'organisation sur la page de l'organisation ou sur la page des détails de l'unité d'organisation.

  • Vous pouvez peut-être résoudre le problème de la dérive du compte, par exemple en Déplacement du compte membre mettant à jour un compte individuel. Pour de plus amples informations, veuillez consulter Mettre à jour le compte dans la console.

Lorsque vous prenez des mesures pour résoudre le problème de dérive sur une version en zone d'atterrissage, deux comportements sont possibles.
  • Si vous utilisez la dernière version de la zone d'atterrissage, lorsque vous sélectionnez Réinitialiser puis Confirmer, les ressources de votre zone d'atterrissage dérivée sont réinitialisées selon la configuration enregistrée de la AWS Control Tower. La version de la zone d'atterrissage reste la même.

  • Si vous n'utilisez pas la dernière version, vous devez sélectionner Mettre à jour. La zone d'atterrissage est mise à niveau vers la dernière version de la zone d'atterrissage. La dérive est résolue dans le cadre de ce processus.

Considérations relatives à la dérive et aux SCP scans

AWSControl Tower scanne SCPs quotidiennement votre appareil géré pour vérifier que les commandes correspondantes sont correctement appliquées et qu'elles n'ont pas dérivé. Pour les récupérer SCPs et les vérifier, AWS Control Tower appelle en votre AWS Organizations nom, en utilisant un rôle dans votre compte de gestion.

Si un scan AWS de la Control Tower détecte une dérive, vous recevrez une notification. AWSControl Tower envoie une seule notification par problème de dérive. Ainsi, si votre zone d'atterrissage est déjà en état de dérive, vous ne recevrez aucune notification supplémentaire à moins qu'un nouvel objet de dérive ne soit trouvé.

AWS Organizations limite la fréquence à laquelle chacun d'entre eux APIs peut être appelé. Cette limite est exprimée en transactions par seconde (TPS) et est connue sous le nom de TPSlimite, de taux de limitation ou de taux de APIdemandes. Lorsque AWS Control Tower effectue un audit de vos appels AWS Organizations, les API appels passés SCPs par AWS Control Tower sont pris en compte dans le calcul de votre TPS limite, car AWS Control Tower utilise le compte de gestion pour effectuer les appels.

Dans de rares cas, cette limite peut être atteinte lorsque vous appelez la même personne APIs à plusieurs reprises, que ce soit par le biais d'une solution tierce ou d'un script personnalisé que vous avez écrit. Par exemple, si vous et AWS Control Tower appelez le même appel AWS Organizations APIs au même moment (dans un délai d'une seconde) et que les TPS limites sont atteintes, les appels suivants sont limités. C'est-à-dire que ces appels renvoient une erreur telle queRate exceeded.

Si le taux de API demandes est dépassé
  • Si AWS Control Tower atteint la limite et est limitée, nous interrompons l'exécution de l'audit et le reprenons ultérieurement.

  • Si votre charge de travail atteint la limite et est limitée, le résultat peut aller d'une légère latence à une erreur fatale dans la charge de travail, selon la façon dont la charge de travail est configurée. Il faut être conscient de cette coque Edge.

Un SCP scan quotidien consiste en
  1. Récupération de votre activité OUs récente.

  2. Pour chaque unité d'organisation enregistrée, récupération de toutes les unités SCPs gérées par AWS Control Tower qui sont rattachées à l'unité d'organisation. SCPsLes personnes gérées ont des identifiants qui commencent aws-guardrails par.

  3. Pour chaque contrôle préventif activé sur l'unité d'organisation, vérifier que l'énoncé de politique du contrôle est présent dans l'unité d'organisation géréeSCPs.

Une unité d'organisation peut en avoir une ou plusieurs géréesSCPs.

Types de dérive à résoudre immédiatement

La plupart des types de dérive peuvent être résolus par les administrateurs. Certains types de dérive doivent être résolus immédiatement, notamment la suppression d'une unité organisationnelle requise par la zone d'atterrissage de la AWS Control Tower. Voici quelques exemples de dérives majeures que vous souhaiterez peut-être éviter :

  • Ne supprimez pas l'unité organisationnelle de sécurité : l'unité organisationnelle initialement nommée Security lors de la configuration de la zone d'atterrissage par AWS Control Tower ne doit pas être supprimée. Si vous le supprimez, vous verrez un message d'erreur vous demandant de réinitialiser immédiatement la zone d'atterrissage. Vous ne pourrez effectuer aucune autre action dans AWS Control Tower tant que la réinitialisation ne sera pas terminée.

  • Ne supprimez pas les rôles obligatoires : AWS Control Tower vérifie que certains AWS Identity and Access Management (IAM) rôles ne sont pas déviés lorsque vous vous connectez à IAM la console. Si ces rôles sont absents ou inaccessibles, vous verrez une page d'erreur vous demandant de réinitialiser votre zone de landing zone. Ces rôles sont AWSControlTowerAdmin AWSControlTowerCloudTrailRoleAWSControlTowerStackSetRole.

    Pour plus d'informations sur ces rôles, consultezAutorisations requises pour utiliser la console AWS Control Tower.

  • Ne supprimez pas tous les éléments supplémentaires OUs : si vous supprimez l'unité organisationnelle initialement nommée Sandbox lors de la configuration de la zone d'atterrissage par AWS Control Tower, votre zone d'atterrissage sera en état de dérive, mais vous pourrez toujours utiliser AWS Control Tower. Au moins une unité d'organisation supplémentaire est requise pour que AWS Control Tower fonctionne, mais il n'est pas nécessaire que ce soit l'unité d'organisation Sandbox.

  • Ne supprimez pas les comptes partagés : si vous supprimez des comptes partagés de FoundationalOUs, par exemple si vous supprimez le compte de connexion de l'unité d'organisation de sécurité, votre zone de landing sera en état de dérive. La zone d'atterrissage doit être réinitialisée pour que vous puissiez continuer à utiliser la console AWS Control Tower.

Modifications réparables apportées aux ressources

Voici une liste des modifications autorisées apportées aux ressources de la AWS Control Tower, bien qu'elles puissent entraîner une dérive résoluble. Les résultats de ces opérations autorisées sont visibles dans la console AWS Control Tower, mais une actualisation peut être nécessaire.

Pour plus d'informations sur la manière de résoudre la dérive qui en résulte, consultez Managing Resources Outside of AWS Control Tower.

Modifications autorisées en dehors de la console AWS Control Tower
  • Modifiez le nom d'une unité d'organisation enregistrée.

  • Modifiez le nom de l'unité d'organisation de sécurité.

  • Changez le nom des comptes des membres dans Non-FoundationalOUs.

  • Modifiez le nom des comptes partagés AWS Control Tower dans l'unité d'organisation de sécurité.

  • Supprimez une unité d'organisation non fondamentale.

  • Supprimez un compte inscrit d'une unité d'organisation non fondamentale.

  • Modifiez l'adresse e-mail d'un compte partagé dans l'unité d'organisation de sécurité.

  • Modifiez l'adresse e-mail d'un compte membre dans une unité d'organisation enregistrée.

Note

Le transfert de comptes d'OUsun compte à un autre est considéré comme une dérive, et il faut y remédier.

Dérive et provisionnement de compte

Si votre zone d'atterrissage est en état de dérive, la fonction d'inscription du compte dans AWS Control Tower ne fonctionnera pas. Dans ce cas, vous devez créer de nouveaux comptes via AWS Service Catalog. Pour obtenir des instructions, consultez Provisionner des comptes avec AWS Service Catalog Account Factory .

En particulier, si vous avez apporté certaines modifications à vos comptes par le biais du Service Catalog, telles que le nom de votre portefeuille, la fonctionnalité d'inscription au compte ne fonctionnera pas.