Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Événements du cycle de vie dans AWS Control Tower
Certains événements enregistrés par AWS Control Tower sont des événements du cycle de vie. L'objectif d'un événement du cycle de vie est de marquer l'achèvement de certaines actions de la AWS Control Tower qui modifient l'état des ressources. Les événements du cycle de vie s'appliquent aux ressources créées ou gérées par AWS Control Tower, telles que les unités organisationnelles (OUs), les comptes et les contrôles.
Caractéristiques des événements du cycle de vie de la AWS Control Tower
-
Pour chaque événement du cycle de vie, le journal des événements indique si l'action Control Tower d'origine s'est terminée avec succès ou a échoué.
-
AWS CloudTrail enregistre automatiquement chaque événement du cycle de vie en tant qu'événement non API AWS lié au service. Pour plus d'informations, consultez le guide de AWS CloudTrail l'utilisateur.
-
Chaque événement du cycle de vie est également transmis aux services Amazon EventBridge et Amazon CloudWatch Events.
Les événements du cycle de vie dans AWS Control Tower offrent deux avantages principaux :
-
Étant donné qu'un événement du cycle de vie enregistre la fin d'une action de la AWS Control Tower, vous pouvez créer une EventBridge règle Amazon ou une règle Amazon CloudWatch Events qui peut déclencher les étapes suivantes de votre flux de travail d'automatisation, en fonction de l'état de l'événement du cycle de vie.
-
Les journaux fournissent des détails supplémentaires pour aider les administrateurs et les auditeurs à examiner certains types d'activités dans vos organisations.
Fonctionnement des événements de cycle de vie
AWSControl Tower s'appuie sur de multiples services pour mettre en œuvre ses actions. Par conséquent, chaque événement de cycle de vie est enregistré une fois qu'une série d'actions est terminée. Par exemple, lorsque vous activez un contrôle sur une unité d'organisation, AWS Control Tower lance une série de sous-étapes qui mettent en œuvre la demande. Le résultat final de l'ensemble de la série de sous-étapes est enregistré dans le journal comme état de l'événement de cycle de vie.
-
Si chaque sous-étape sous-jacente a abouti, l'état de l'événement de cycle de vie est enregistré comme Succeeded (Réussite).
-
Si l'une des sous-étapes sous-jacentes n'a pas abouti, l'état de l'événement de cycle de vie est enregistré comme Failed (Échec).
Chaque événement du cycle de vie inclut un horodatage enregistré indiquant le moment où l'action AWS Control Tower a été lancée, et un autre horodatage indiquant la fin de l'événement du cycle de vie, marquant le succès ou l'échec.
Afficher les événements du cycle de vie dans Control Tower
Vous pouvez consulter les événements du cycle de vie sur la page Activités de votre tableau de bord AWS Control Tower.
-
Pour accéder à la page Activities (Activités), choisissez Activities (Activités) dans le panneau de navigation de gauche.
-
Pour obtenir de plus amples informations sur un événement spécifique, sélectionnez l'événement, puis cliquez sur le bouton View details (Afficher les détails) en haut à droite.
Pour plus d'informations sur la manière d'intégrer les événements du cycle de vie de la AWS Control Tower dans vos flux de travail, consultez ce billet de blog intitulé Utiliser les événements du cycle de vie pour suivre les actions de la AWS Control Tower et déclencher des flux de travail automatisés
Comportement attendu CreateManagedAccount et événements UpdateManagedAccount du cycle de vie
Lorsque vous créez un compte ou que vous inscrivez un compte dans AWS Control Tower, ces deux actions font appel au même appel interneAPI. Si une erreur se produit au cours du processus, elle se produit généralement après la création du compte, mais il n'est pas entièrement provisionné. Lorsque vous essayez à nouveau de créer le compte après l'erreur, ou lorsque vous essayez de mettre à jour le produit approvisionné, AWS Control Tower constate que le compte existe déjà.
Comme le compte existe, AWS Control Tower enregistre l'événement du UpdateManagedAccount
cycle de vie plutôt que l'événement du CreateManagedAccount
cycle de vie à la fin de la demande de nouvelle tentative. Vous vous attendiez peut-être à un autre CreateManagedAccount
événement à cause de cette erreur. Cependant, l'événement UpdateManagedAccount
du cycle de vie correspond au comportement attendu et souhaité.
Si vous envisagez de créer ou d'inscrire des comptes dans AWS Control Tower à l'aide de méthodes automatisées, programmez la fonction Lambda UpdateManagedAccountpour rechercher les événements du cycle de vie CreateManagedAccountainsi que les événements du cycle de vie.
Noms de l'événement de cycle de vie
Chaque événement du cycle de vie est nommé de manière à correspondre à l'action AWS Control Tower d'origine, qui est également enregistrée par AWS CloudTrail. Ainsi, par exemple, un événement du cycle de vie créé par l'CreateManagedAccount
CloudTrail événement AWS Control Tower est nomméCreateManagedAccount
.
Chaque nom de la liste qui suit constitue un lien vers un exemple de détail consigné au format JSON
. Les informations supplémentaires présentées dans ces exemples sont extraites des journaux d' CloudWatch événements Amazon.
Bien que JSON
ne prenne pas en charge les commentaires, certains commentaires ont été ajoutés dans les exemples à des fins explicatives. Les commentaires sont précédés de « // » et apparaissent à droite des exemples.
Dans ces exemples, certains noms de comptes et d'organisations sont masqués. Un accountId
est toujours une séquence de 12 chiffres, qui a été remplacée par « xxxxxxxxxxxx » dans les exemples. Un organizationalUnitID
est une chaîne unique de lettres et de chiffres. Sa forme est préservée dans les exemples.
-
CreateManagedAccount: Le journal indique si AWS Control Tower a effectué avec succès toutes les actions nécessaires pour créer et approvisionner un nouveau compte à l'aide de Account Factory.
-
UpdateManagedAccount: Le journal indique si AWS Control Tower a effectué avec succès toutes les actions de mise à jour d'un produit approvisionné associé à un compte que vous aviez créé précédemment à l'aide de Account Factory.
-
EnableGuardrail: Le journal indique si AWS Control Tower a effectué avec succès toutes les actions nécessaires pour activer un contrôle sur une unité d'organisation créée par AWS Control Tower.
-
DisableGuardrail: Le journal indique si AWS Control Tower a effectué avec succès toutes les actions visant à désactiver un contrôle sur une unité d'organisation créée par AWS Control Tower.
-
SetupLandingZone: Le journal indique si AWS Control Tower a effectué avec succès toutes les actions nécessaires pour configurer une zone d'atterrissage.
-
UpdateLandingZone: Le journal indique si AWS Control Tower a effectué avec succès toutes les actions nécessaires pour mettre à jour votre zone d'atterrissage existante.
-
RegisterOrganizationalUnit: Le journal indique si AWS Control Tower a effectué avec succès toutes les actions nécessaires pour activer ses fonctionnalités de gouvernance sur une unité d'organisation.
-
DeregisterOrganizationalUnit: Le journal indique si AWS Control Tower a effectué avec succès toutes les actions visant à désactiver ses fonctionnalités de gouvernance sur une unité d'organisation.
-
PrecheckOrganizationalUnit: Le journal indique si AWS Control Tower a détecté une ressource susceptible d'empêcher le bon déroulement de l'opération de gouvernance Extend.
Les sections suivantes fournissent une liste des événements du cycle de vie de la AWS Control Tower, avec des exemples des détails enregistrés pour chaque type d'événement du cycle de vie.
CreateManagedAccount
Cet événement du cycle de vie indique si AWS Control Tower a correctement créé et provisionné un nouveau compte à l'aide de Account Factory. Cet événement correspond à l'CreateManagedAccount
CloudTrail événement AWS Control Tower. Le journal des événements de cycle de vie inclut les éléments accountName
et accountId
du compte nouvellement créé, ainsi que les éléments organizationalUnitName
et organizationalUnitId
de l'unité d'organisation dans laquelle le compte a été placé.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "CreateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "createManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"XXXXXXXXXXXX" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully created a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }
UpdateManagedAccount
Cet événement du cycle de vie indique si AWS Control Tower a correctement mis à jour le produit provisionné associé à un compte créé précédemment à l'aide de Account Factory. Cet événement correspond à l'UpdateManagedAccount
CloudTrailévénement AWS Control Tower. Le journal des événements de cycle de vie inclut les éléments accountName
et accountId
du compte associé, ainsi que les éléments organizationalUnitName
et organizationalUnitId
de l'unité d'organisation dans laquelle le compte mis à jour est placé.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // AWS Control Tower organization management account. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"624281831893" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully updated a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }
EnableGuardrail
Cet événement du cycle de vie enregistre si AWS Control Tower a activé avec succès un contrôle sur une unité d'organisation gérée par AWS Control Tower. Cet événement correspond à l'EnableGuardrail
CloudTrail événement AWS Control Tower. Le journal des événements du cycle de vie inclut le guardrailId
et guardrailBehavior
du contrôle, ainsi que le organizationalUnitName
et organizationalUnitId
de l'unité d'organisation sur laquelle le contrôle est activé.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "EnableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "enableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }
DisableGuardrail
Cet événement du cycle de vie enregistre si AWS Control Tower a correctement désactivé un contrôle sur une unité d'organisation gérée par AWS Control Tower. Cet événement correspond à l'DisableGuardrail
CloudTrail événement AWS Control Tower. Le journal des événements du cycle guardrailBehavior
de vie inclut le guardrailId
et du contrôle et le organizationalUnitName
et organizationalUnitId
de l'unité d'organisation sur laquelle le contrôle est désactivé.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DisableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "disableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }
SetupLandingZone
Cet événement du cycle de vie enregistre si AWS Control Tower a correctement configuré une zone d'atterrissage. Cet événement correspond à l'SetupLandingZone
CloudTrail événement AWS Control Tower. Le journal des événements du cycle de vie inclut lerootOrganizationalId
, qui est l'identifiant de l'organisation créée par AWS Control Tower à partir du compte de gestion. L'entrée du journal inclut également le organizationalUnitName
et organizationalUnitId
pour chacun des comptesOUs, ainsi que le accountName
et accountId
pour chaque compte, créés lorsque AWS Control Tower configure la zone de landing zone.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management-account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "SetupLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "setupLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire lifecycle operation. "message": "AWS Control Tower successfully set up a new landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
UpdateLandingZone
Cet événement du cycle de vie enregistre si AWS Control Tower a correctement mis à jour votre zone d'atterrissage existante. Cet événement correspond à l'UpdateLandingZone
CloudTrail événement AWS Control Tower. Le journal des événements du cycle de vie inclut lerootOrganizationalId
, qui est l'ID de l'organisation (mise à jour) gouvernée par AWS Control Tower. L'entrée du journal inclut également le organizationalUnitName
et organizationalUnitId
pour chacun des comptesOUs, ainsi que le accountName
et accountId
pour chaque compte, qui ont été créés précédemment, lorsque AWS Control Tower a initialement configuré la zone de landing zone.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire operation. "message": "AWS Control Tower successfully updated a landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
RegisterOrganizationalUnit
Cet événement du cycle de vie indique si AWS Control Tower a activé avec succès ses fonctionnalités de gouvernance sur une unité d'organisation. Cet événement correspond à l'RegisterOrganizationalUnit
CloudTrail événement AWS Control Tower. Le journal des événements du cycle de vie inclut le organizationalUnitName
et organizationalUnitId
de l'unité d'AWSorganisation que Control Tower a placée sous sa gouvernance.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "123456789012", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "RegisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "registerOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully registered an organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", "organizationalUnitId": "ou-adpf-302pk332" } "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
DeregisterOrganizationalUnit
Cet événement du cycle de vie indique si AWS Control Tower a correctement désactivé ses fonctionnalités de gouvernance sur une unité d'organisation. Cet événement correspond à l'DeregisterOrganizationalUnit
CloudTrail événement AWS Control Tower. Le journal des événements du cycle de vie inclut le organizationalUnitName
et organizationalUnitId
de l'unité d'organisation sur laquelle AWS Control Tower a désactivé ses fonctionnalités de gouvernance.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DeregisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "deregisterOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", // Foundational OU name. "organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID. }, "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
PrecheckOrganizationalUnit
Cet événement du cycle de vie enregistre si AWS Control Tower a correctement effectué les prévérifications sur une unité d'organisation. Cet événement correspond à l'PrecheckOrganizationalUnit
CloudTrail événement AWS Control Tower. Le journal des événements du cycle de vie contient un champ pour les Id
Name
, et failedPrechecks
les valeurs pour chaque ressource sur laquelle AWS Control Tower a effectué des prévérifications lors du processus d'enregistrement de l'unité d'organisation.
Le journal des événements contient également des informations sur les comptes imbriqués sur lesquels les prévérifications ont été effectuées, notamment les accountName
champsaccountId
, etfailedPrechecks
.
Si la failedPrechecks
valeur est vide, cela signifie que tous les précontrôles pour cette ressource ont été effectués avec succès.
-
Cet événement n'est émis qu'en cas d'échec de la prévérification.
-
Cet événement n'est pas émis si vous enregistrez une unité d'organisation vide.
Exemple d'événement :
{ "eventVersion": "1.08", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2021-09-20T22:45:43Z", "eventSource": "controltower.amazonaws.com", "eventName": "PrecheckOrganizationalUnit", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "XXXXXXXXXXXX", "serviceEventDetails": { "precheckOrganizationalUnitStatus": { "organizationalUnit": { "organizationalUnitName": "Ou-123", "organizationalUnitId": "ou-abcd-123456", "failedPrechecks": [ "SCP_CONFLICT" ] }, "accounts": [ { "accountName": "Child Account 1", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Child Account 2", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Management Account", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "MISSING_PERMISSIONS_AF_PRODUCT" ] }, { "accountName": "Child Account 3", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [] }, ... ], "state": "FAILED", "message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.", "requestedTimestamp": "2021-09-20T22:44:02+0000", "completedTimestamp": "2021-09-20T22:45:43+0000" } }, "eventCategory": "Management" }