Mendeteksi dan mengatasi penyimpangan di AWS Control Tower - AWSControl Tower
Mendeteksi driftMenyelesaikan driftPertimbangan tentang drift dan scan SCPJenis drift untuk segera diselesaikanPerubahan sumber daya yang dapat diperbaikiDrift dan penyediaan akun baru

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mendeteksi dan mengatasi penyimpangan di AWS Control Tower

Mengidentifikasi dan menyelesaikan drift adalah tugas operasi reguler untuk administrator akun manajemen AWS Control Tower. Menyelesaikan drift membantu memastikan kepatuhan Anda terhadap persyaratan tata kelola.

Saat Anda membuat landing zone, landing zone dan semua unit organisasi (OUs), akun, dan sumber daya sesuai dengan aturan tata kelola yang diberlakukan oleh kontrol yang Anda pilih. Saat Anda dan anggota organisasi Anda menggunakan landing zone, perubahan status kepatuhan ini dapat terjadi. Beberapa perubahan mungkin tidak disengaja, dan beberapa mungkin dibuat dengan sengaja untuk menanggapi peristiwa operasional yang sensitif terhadap waktu.

Deteksi drift membantu Anda dalam mengidentifikasi sumber daya yang memerlukan perubahan atau pembaruan konfigurasi untuk menyelesaikan penyimpangan.

Mendeteksi drift

AWSControl Tower mendeteksi drift secara otomatis. Untuk mendeteksi drift, AWSControlTowerAdmin peran memerlukan akses terus-menerus ke akun manajemen Anda sehingga AWS Control Tower dapat melakukan panggilan hanya-bacaAPI. AWS Organizations APIPanggilan ini muncul sebagai AWS CloudTrail acara.

Drift muncul di notifikasi Amazon Simple Notification Service SNS (Amazon) yang digabungkan dalam akun audit. Pemberitahuan di setiap akun anggota mengirim peringatan ke SNS topik Amazon lokal, dan ke fungsi Lambda.

Untuk kontrol yang merupakan bagian dari AWS Security Hub Service-Managed Standard: AWS Control Tower, drift ditampilkan pada halaman detail Akun dan Akun di konsol AWS Control Tower, serta melalui pemberitahuan Amazon. SNS

Administrator akun anggota dapat (dan sebagai praktik terbaik, mereka harus) berlangganan pemberitahuan SNS drift untuk akun tertentu. Misalnya, aws-controltower-AggregateSecurityNotifications SNS topik menyediakan pemberitahuan drift. Konsol AWS Control Tower menunjukkan kepada administrator akun manajemen ketika drift telah terjadi. Untuk informasi selengkapnya tentang SNS topik deteksi dan notifikasi drift, lihat Pencegahan dan pemberitahuan drift.

De-duplikasi pemberitahuan drift

Jika jenis drift yang sama terjadi pada kumpulan sumber daya yang sama beberapa kali, AWS Control Tower mengirimkan SNS pemberitahuan hanya untuk contoh awal drift. Jika AWS Control Tower mendeteksi bahwa instance drift ini telah diperbaiki, ia mengirimkan pemberitahuan lain hanya jika drift terjadi kembali untuk sumber daya yang identik tersebut.

Contoh: Penyimpangan dan SCP penyimpangan akun ditangani dengan cara berikut

  • Jika Anda memodifikasi pengelola yang sama SCP beberapa kali, Anda menerima pemberitahuan untuk pertama kalinya Anda memodifikasinya.

  • Jika Anda memodifikasi yang dikelolaSCP, lalu memulihkan drift, lalu memodifikasinya lagi, Anda akan menerima dua notifikasi.

  • Jika akun dipindahkan antara sumber dan tujuan yang sama OUs beberapa kali, tanpa memperbaiki drift terlebih dahulu, satu notifikasi dikirim, meskipun akun tersebut berpindah di antara akun tersebut OUs lebih dari satu kali.

Jenis penyimpangan akun

  • Akun dipindahkan antara OUs

  • Akun dihapus dari organisasi

catatan

Ketika Anda memindahkan akun dari satu OU ke yang lain, kontrol dari OU sebelumnya tidak dihapus. Jika Anda mengaktifkan kontrol berbasis kait baru di OU tujuan, yang lama Kontrol berbasis kait dihapus dari akun, dan kontrol baru menggantikannya. Kontrol yang diterapkan dengan SCPs dan AWS Config aturan selalu harus dihapus secara manual saat akun berubahOUs.

Jenis penyimpangan kebijakan

  • SCPdiperbarui

  • SCPmelekat pada OU

  • SCPterpisah dari OU

  • SCPdilampirkan ke akun

Untuk informasi selengkapnya, lihat Tipe of Governance Drift.

Menyelesaikan drift

Meskipun deteksi otomatis, langkah-langkah untuk menyelesaikan drift harus dilakukan secara manual melalui konsol, atau untuk kontrol, dengan memanggil file. ResetEnabledControlAPI

  • Banyak jenis drift dapat diselesaikan melalui halaman pengaturan zona pendaratan. Anda dapat memilih tombol Reset di bagian Versi untuk mengatasi jenis penyimpangan ini.

  • Jika OU Anda memiliki kurang dari 1000 akun, Anda dapat menyelesaikan penyimpangan di akun yang disediakan Account Factory, atau SCP drift, dengan memilih Registrasi ulang OU di halaman Organisasi atau halaman detail OU.

  • Anda mungkin dapat mengatasi penyimpangan akun, sepertiAkun anggota yang dipindahkan, dengan memperbarui akun individual. Untuk informasi selengkapnya, lihat Perbarui akun di konsol.

  • Untuk kontrol, banyak jenis drift dapat diselesaikan dengan memanggil file. ResetEnabledControlAPI

Saat Anda mengambil tindakan untuk mengatasi drift pada versi landing zone, dua perilaku dimungkinkan.

  • Jika Anda menggunakan versi landing zone terbaru, ketika Anda memilih Reset dan kemudian memilih Confirm, sumber daya drifted landing zone Anda akan diatur ulang ke konfigurasi AWS Control Tower yang disimpan. Versi landing zone tetap sama.

  • Jika Anda tidak menggunakan versi terbaru, Anda harus memilih Perbarui. Landing zone ditingkatkan ke versi landing zone terbaru. Drift diselesaikan sebagai bagian dari proses ini.

Pertimbangan tentang drift dan scan SCP

AWSControl Tower memindai kontrol yang Anda kelola SCPs setiap hari untuk memverifikasi bahwa kontrol yang sesuai diterapkan dengan benar dan tidak melayang. Untuk mengambil SCPs dan menjalankan pemeriksaan pada mereka, AWS Control Tower memanggil AWS Organizations atas nama Anda, menggunakan peran dalam akun manajemen Anda.

Jika pemindaian AWS Control Tower menemukan drift, Anda akan menerima pemberitahuan. AWS Control Tower hanya mengirimkan satu notifikasi per masalah drift, jadi jika landing zone Anda sudah dalam keadaan drift, Anda tidak akan menerima pemberitahuan tambahan kecuali item drift baru ditemukan.

AWS Organizations membatasi seberapa sering masing-masing APIs dapat dipanggil. Batas ini dinyatakan dalam transaksi per detik (TPS), dan dikenal sebagai TPSlimit, throttling rate, atau APIrequest rate. Ketika AWS Control Tower mengaudit Anda SCPs dengan menelepon AWS Organizations, API panggilan yang dilakukan AWS Control Tower dihitung terhadap TPS batas Anda, karena AWS Control Tower menggunakan akun manajemen untuk melakukan panggilan.

Dalam situasi yang jarang terjadi, batas ini dapat dicapai ketika Anda menelepon yang sama APIs berulang kali, baik melalui solusi pihak ketiga atau skrip khusus yang Anda tulis. Misalnya, jika Anda dan AWS Control Tower memanggil hal yang sama AWS Organizations APIs pada saat yang sama dalam waktu (dalam 1 detik), dan TPS batasnya tercapai, panggilan berikutnya akan dibatasi. Artinya, panggilan ini mengembalikan kesalahan sepertiRate exceeded.

Jika tingkat API permintaan terlampaui

  • Jika AWS Control Tower mencapai batas dan dibatasi, kami menghentikan sementara eksekusi audit dan melanjutkannya di lain waktu.

  • Jika beban kerja Anda mencapai batas dan dibatasi, hasilnya dapat berkisar dari sedikit latensi hingga kesalahan fatal dalam beban kerja, tergantung pada bagaimana beban kerja dikonfigurasi. Kasus tepi ini adalah sesuatu yang harus diperhatikan.

SCPPemindaian harian terdiri dari

  1. Mengambil kembali Anda yang baru saja aktifOUs.

  2. Untuk setiap OU terdaftar, mengambil semua yang SCPs dikelola oleh AWS Control Tower yang dilampirkan ke OU. Dikelola SCPs memiliki pengidentifikasi yang dimulai denganaws-guardrails.

  3. Untuk setiap kontrol preventif yang diaktifkan pada OU, memverifikasi bahwa pernyataan kebijakan kontrol hadir dalam OU yang dikelolaSCPs.

OU mungkin memiliki satu atau lebih yang dikelolaSCPs.

Jenis drift untuk segera diselesaikan

Sebagian besar jenis drift dapat diselesaikan oleh administrator. Beberapa jenis drift harus segera diselesaikan, termasuk penghapusan unit organisasi yang dibutuhkan oleh zona landing zone AWS Control Tower. Berikut adalah beberapa contoh penyimpangan utama yang mungkin ingin Anda hindari:

  • Jangan hapus OU Keamanan: Unit organisasi yang awalnya bernama Security selama pengaturan landing zone oleh AWS Control Tower tidak boleh dihapus. Jika Anda menghapusnya, Anda akan melihat pesan kesalahan yang menginstruksikan Anda untuk segera mengatur ulang landing zone. Anda tidak akan dapat mengambil tindakan lain di AWS Control Tower sampai reset selesai.

  • Jangan hapus peran yang diperlukan: AWS Control Tower memeriksa peran AWS Identity and Access Management (IAM) tertentu saat Anda masuk ke konsol untuk IAMpergeseran peran. Jika peran ini hilang atau tidak dapat diakses, Anda akan melihat halaman kesalahan yang menginstruksikan Anda untuk mengatur ulang landing zone Anda. Peran ini adalah AWSControlTowerAdmin AWSControlTowerCloudTrailRoleAWSControlTowerStackSetRole.

    Untuk informasi lebih lanjut tentang peran ini, lihatIzin Diperlukan untuk Menggunakan AWS Control Tower Console.

  • Jangan hapus semua TambahanOUs: Jika Anda menghapus unit organisasi yang awalnya bernama Sandbox selama pengaturan landing zone oleh AWS Control Tower, landing zone Anda akan berada dalam keadaan drift, tetapi Anda masih dapat menggunakan AWS Control Tower. Setidaknya satu OU Tambahan diperlukan untuk AWS Control Tower untuk beroperasi, tetapi tidak harus menjadi Sandbox OU.

  • Jangan hapus akun bersama: Jika Anda menghapus akun bersama dari FoundationalOUs, seperti menghapus akun logging dari Security OU, landing zone Anda akan berada dalam keadaan drift. Landing zone harus diatur ulang sebelum Anda dapat melanjutkan menggunakan konsol AWS Control Tower.

Perubahan sumber daya yang dapat diperbaiki

Berikut adalah daftar perubahan pada sumber daya AWS Control Tower yang diizinkan, meskipun mereka membuat drift yang dapat diselesaikan. Hasil operasi yang diizinkan ini dapat dilihat di konsol AWS Control Tower, meskipun penyegaran mungkin diperlukan.

Untuk informasi selengkapnya tentang cara mengatasi penyimpangan yang dihasilkan, lihat Mengelola Sumber Daya Di Luar AWS Control Tower.

Perubahan diizinkan di luar konsol AWS Control Tower

  • Ubah nama OU terdaftar.

  • Ubah nama Security OU.

  • Ubah nama akun anggota di Non-FoundationalOUs.

  • Ubah nama akun bersama AWS Control Tower di Security OU.

  • Hapus OU Non-Foundational.

  • Hapus akun terdaftar dari OU non-dasar.

  • Ubah alamat email akun bersama di Security OU.

  • Ubah alamat email akun anggota di OU terdaftar.

catatan

Memindahkan akun di antara OUs dianggap drift, dan itu harus diselesaikan.

Drift dan penyediaan akun baru

Jika landing zone Anda dalam keadaan drift, fitur akun Enroll di AWS Control Tower tidak akan berfungsi. Dalam hal ini, Anda harus menyediakan akun baru melalui AWS Service Catalog. Untuk petunjuk, silakan lihat Menyediakan akun dengan AWS Service Catalog Account Factory .

Khususnya, jika Anda telah membuat perubahan tertentu pada akun Anda melalui Service Catalog, seperti mengubah nama portofolio Anda, fitur akun Daftar tidak akan berfungsi.