Jenis penyimpangan tata kelola - AWS Control Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Jenis penyimpangan tata kelola

Pergeseran tata kelola, juga disebut penyimpangan organisasi terjadi ketikaOUs,SCPs, dan akun anggota diubah atau diperbarui. Jenis-jenis governance drift yang dapat dideteksi di AWS Control Tower adalah sebagai berikut:

Jenis drift lainnya adalah landing zone drift, yang dapat ditemukan melalui akun manajemen. Pergeseran zona pendaratan terdiri dari pergeseran IAM peran, atau jenis penyimpangan organisasi apa pun yang secara khusus memengaruhi akun Foundational OUs dan bersama.

Kasus khusus drift landing zone adalah role drift, yang terdeteksi ketika peran yang diperlukan tidak tersedia. Jika jenis penyimpangan ini terjadi, konsol menampilkan halaman peringatan dan beberapa instruksi tentang cara mengembalikan peran. Landing zone Anda tidak tersedia sampai drift peran diselesaikan. Untuk informasi selengkapnya tentang drift, lihat Jangan menghapus peran yang diperlukan di bagian yang dipanggilJenis drift untuk segera diselesaikan.

AWSControl Tower melaporkan penyimpangan kontrol terkait kontrol yang diterapkan dengan kebijakan kontrol sumber daya (RCPs), dan kontrol yang merupakan bagian dari Standar yang AWS Security Hub dikelola Layanan: Control Tower AWS.

AWSControl Tower tidak mencari penyimpangan mengenai layanan lain yang bekerja dengan akun manajemen, termasuk CloudTrail,, Pusat IAM Identitas CloudWatch,, AWS CloudFormation AWS Config, dan lain sebagainya. Tidak ada deteksi drift yang tersedia di akun anak, karena akun ini dilindungi oleh kontrol wajib preventif.

Akun anggota yang dipindahkan

Jenis penyimpangan ini terjadi pada akun daripada OU. Jenis drift ini dapat terjadi ketika akun anggota AWS Control Tower, akun audit, atau akun arsip log dipindahkan dari AWS Control Tower OU terdaftar ke OU lainnya. Berikut ini adalah contoh SNS pemberitahuan Amazon ketika jenis penyimpangan ini terdeteksi.

{ "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }

Resolusi

Ketika jenis drift ini terjadi untuk akun yang disediakan Account Factory di OU dengan hingga 1000 akun, Anda dapat menyelesaikannya dengan:

  • Menavigasi ke halaman Organisasi di konsol AWS Control Tower, memilih akun, dan memilih Perbarui akun di kanan atas (opsi tercepat untuk akun individual).

  • Menavigasi ke halaman Organisasi di konsol AWS Control Tower, lalu memilih Daftar ulang untuk OU yang berisi akun (opsi tercepat untuk beberapa akun). Untuk informasi selengkapnya, lihat Daftarkan unit organisasi yang ada dengan AWS Control Tower.

  • Memperbarui produk yang disediakan di Account Factory. Untuk informasi selengkapnya, lihat Perbarui dan pindahkan akun pabrik akun dengan AWS Control Tower atau dengan AWS Service Catalog.

    catatan

    Jika Anda memiliki beberapa akun individual untuk diperbarui, lihat juga metode ini untuk membuat pembaruan dengan skrip:Menyediakan dan memperbarui akun menggunakan otomatisasi.

  • Ketika jenis penyimpangan ini terjadi di OU dengan lebih dari 1000 akun, resolusi drift mungkin tergantung pada jenis akun mana yang telah dipindahkan, seperti yang dijelaskan dalam paragraf berikutnya. Untuk informasi selengkapnya, lihat Perbarui landing zone.

    • Jika akun yang disediakan Account Factory dipindahkan - Di OU dengan kurang dari 1000 akun, Anda dapat menyelesaikan penyimpangan akun dengan memperbarui produk yang disediakan di Account Factory, dengan mendaftarkan ulang OU, atau dengan memperbarui landing zone Anda.

      Dalam OU dengan lebih dari 1000 akun, Anda harus menyelesaikan penyimpangan dengan membuat pembaruan ke setiap akun yang dipindahkan, baik melalui konsol AWS Control Tower atau produk yang disediakan, karena Daftar ulang OU tidak akan melakukan pembaruan. Untuk informasi selengkapnya, lihat Perbarui dan pindahkan akun pabrik akun dengan AWS Control Tower atau dengan AWS Service Catalog.

    • Jika akun bersama dipindahkan — Anda dapat mengatasi penyimpangan dari memindahkan akun audit atau arsip log dengan memperbarui landing zone Anda. Untuk informasi selengkapnya, lihat Perbarui landing zone.

Nama bidang yang tidak digunakan lagi

Nama bidang MasterAccountID telah diubah ManagementAccountID untuk mematuhi AWS pedoman. Nama lama sudah usang. Sejak 2022, skrip yang berisi nama bidang usang tidak lagi berfungsi.

Akun anggota yang dihapus

Jenis drift ini dapat terjadi ketika akun anggota dihapus dari unit organisasi AWS Control Tower terdaftar. Contoh berikut menunjukkan SNS pemberitahuan Amazon ketika jenis penyimpangan ini terdeteksi.

{ "Message" : "AWS Control Tower has detected that the member account 012345678909 has been removed from organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }

Resolusi

catatan

Di Service Catalog, produk yang disediakan Account Factory yang mewakili akun tidak diperbarui untuk menghapus akun. Sebagai gantinya, produk yang disediakan ditampilkan sebagai TAINTED dan dalam status kesalahan. Untuk membersihkan, buka Service Catalog, pilih produk yang disediakan, lalu pilih Terminate.

Pembaruan yang tidak direncanakan untuk dikelola SCP

Jenis penyimpangan ini dapat terjadi ketika kontrol SCP untuk diperbarui di AWS Organizations konsol atau secara terprogram menggunakan AWS CLI atau salah satu. AWS SDKs Berikut ini adalah contoh SNS pemberitahuan Amazon ketika jenis penyimpangan ini terdeteksi.

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_UPDATED", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }

Resolusi

Ketika jenis penyimpangan ini terjadi di OU dengan hingga 1000 akun, Anda dapat menyelesaikannya dengan:

Ketika jenis drift ini terjadi di OU dengan lebih dari 1000 akun, selesaikan dengan memperbarui landing zone Anda. Untuk informasi selengkapnya, lihat Perbarui landing zone.

SCPmelekat pada OU yang dikelola

Jenis penyimpangan ini dapat terjadi ketika kontrol SCP untuk dipasang ke OU lainnya. Kejadian ini sangat umum ketika Anda mengerjakan OUs dari luar konsol AWS Control Tower. Berikut ini adalah contoh SNS notifikasi Amazon ketika jenis drift ini terdeteksi.

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }

Resolusi

Ketika jenis penyimpangan ini terjadi di OU dengan hingga 1000 akun, Anda dapat menyelesaikannya dengan:

Ketika jenis drift ini terjadi di OU dengan lebih dari 1000 akun, selesaikan dengan memperbarui landing zone Anda. Untuk informasi selengkapnya, lihat Perbarui landing zone.

SCPterlepas dari OU yang dikelola

Jenis drift ini dapat terjadi ketika SCP untuk kontrol telah terlepas dari OU yang dikelola oleh AWS Control Tower. Kejadian ini sangat umum terjadi ketika Anda bekerja dari luar konsol AWS Control Tower. Berikut ini adalah contoh SNS notifikasi Amazon ketika jenis drift ini terdeteksi.

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_DETACHED_FROM_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }

Resolusi

Ketika jenis penyimpangan ini terjadi di OU dengan hingga 1000 akun, Anda dapat menyelesaikannya dengan:

  • Menavigasi ke OU di konsol AWS Control Tower untuk mendaftarkan ulang OU (opsi tercepat). Untuk informasi selengkapnya, lihat Daftarkan unit organisasi yang ada dengan AWS Control Tower.

  • Memperbarui landing zone Anda (opsi lebih lambat). Jika drift memengaruhi kontrol wajib, proses pembaruan akan membuat kebijakan kontrol layanan baru (SCP) dan menempelkannya ke OU untuk menyelesaikan penyimpangan. Untuk informasi selengkapnya tentang cara memperbarui landing zone Anda, lihatPerbarui landing zone.

Ketika jenis drift ini terjadi di OU dengan lebih dari 1000 akun, selesaikan dengan memperbarui landing zone Anda. Jika drift memengaruhi kontrol wajib, proses pembaruan akan membuat kebijakan kontrol layanan baru (SCP) dan menempelkannya ke OU untuk menyelesaikan penyimpangan. Untuk informasi selengkapnya tentang cara memperbarui landing zone Anda, lihatPerbarui landing zone.

SCPdilampirkan ke akun anggota

Jenis penyimpangan ini dapat terjadi ketika kontrol SCP untuk dilampirkan ke akun di konsol Organizations. Guardrails dan mereka SCPs dapat diaktifkan OUs (dan dengan demikian diterapkan ke semua akun terdaftar OU) melalui konsol AWS Control Tower. Berikut ini adalah contoh SNS notifikasi Amazon ketika jenis drift ini terdeteksi.

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_ACCOUNT", "RemediationStep" : "Re-register this organizational unit (OU)", "AccountId" : "012345678909", "PolicyId" : "p-tEXAMPLE" }

Resolusi

Jenis penyimpangan ini terjadi pada akun daripada OU.

Ketika jenis drift ini terjadi untuk akun di Foundational OU, seperti Security OU, resolusinya adalah memperbarui landing zone Anda. Untuk informasi selengkapnya, lihat Perbarui landing zone.

Ketika jenis penyimpangan ini terjadi di OU non-dasar dengan hingga 1000 akun, Anda dapat menyelesaikannya dengan:

Ketika jenis penyimpangan ini terjadi di OU dengan lebih dari 1000 akun, Anda dapat mencoba menyelesaikannya dengan memperbarui konfigurasi pabrik akun untuk akun tersebut. Mungkin tidak mungkin untuk menyelesaikannya dengan sukses. Untuk informasi selengkapnya, lihat Perbarui landing zone.

Dihapus Foundational OU

Jenis drift ini hanya berlaku untuk AWS Control Tower FoundationalOUs, seperti Security OU. Hal ini dapat terjadi jika Foundational OU dihapus di luar konsol AWS Control Tower. Foundational OUs tidak dapat dipindahkan tanpa membuat jenis drift ini, karena memindahkan OU sama dengan menghapusnya dan kemudian menambahkannya di tempat lain. Ketika Anda menyelesaikan drift dengan memperbarui landing zone Anda, AWS Control Tower menggantikan Foundational OU di lokasi aslinya. Contoh berikut menunjukkan SNS notifikasi Amazon yang mungkin Anda terima saat jenis drift ini terdeteksi.

{ "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ORGANIZATIONAL_UNIT_DELETED", "RemediationStep" : "Delete organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }

Resolusi

Karena drift ini terjadi OUs hanya untuk Foundational, resolusinya adalah memperbarui landing zone. Ketika jenis lain OUs dihapus, AWS Control Tower diperbarui secara otomatis.

Untuk informasi selengkapnya tentang menyelesaikan drift untuk akun danOUs, lihat. Jika Anda mengelola sumber daya di luar AWS Control Tower

Drift kontrol Security Hub

Jenis drift ini terjadi ketika kontrol yang merupakan bagian dari AWS Security Hub Service-Managed Standard: AWS Control Tower melaporkan keadaan drift. AWS Security Hub Layanan itu sendiri tidak melaporkan keadaan drift untuk kontrol ini. Sebaliknya, layanan mengirimkan temuannya ke AWS Control Tower.

Drift kontrol Security Hub juga dapat dideteksi jika AWS Control Tower belum menerima pembaruan status dari Security Hub dalam waktu lebih dari 24 jam. Jika temuan tersebut tidak diterima seperti yang diharapkan, AWS Control Tower memverifikasi bahwa kontrol dalam drift. Contoh berikut menunjukkan SNS notifikasi Amazon yang mungkin Anda terima saat jenis drift ini terdeteksi.

{ "Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard", "MasterAccountId" : "123456789XXX", "ManagementAccountId" : "123456789XXX", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SECURITY_HUB_CONTROL_DISABLED", "RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.", "AccountId" : "7876543219XXX", "ControlId" : "SH.XXXXXXX.1", "ControlName" : "EBS snapshots should not be publicly restorable", "ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>". "Region" : "us-east-1" }

Resolusi

Untuk OUs dengan kurang dari 1000 akun, resolusi yang disarankan adalah memanggil ResetEnabledControlAPIkontrol drifted. Di konsol, Anda dapat memilih Daftar ulang untuk OU, yang mengatur ulang kontrol ke keadaan semula. Atau, untuk OU apa pun, Anda dapat menghapus dan mengaktifkan kembali kontrol melalui konsol atau AWS Control TowerAPIs, yang juga mengatur ulang kontrol.

Untuk informasi selengkapnya tentang menyelesaikan drift untuk akun danOUs, lihat. Jika Anda mengelola sumber daya di luar AWS Control Tower

Pengendalian kebijakan drift

Jenis drift ini terjadi ketika kontrol yang diterapkan dengan kebijakan kontrol sumber daya (RCPs) atau kebijakan deklaratif melaporkan keadaan drift. Ia mengembalikan statusCONTROL_INEFFECTIVE, yang dapat Anda lihat di konsol AWS Control Tower dan dalam pesan drift. Pesan drift untuk jenis drift ini juga mencakup EnabledControlIdentifier untuk kontrol yang terpengaruh.

Jenis drift ini tidak dilaporkan untuk kontrol SCP berbasis.

Contoh berikut menunjukkan SNS notifikasi Amazon yang mungkin Anda terima saat jenis drift ini terdeteksi.

{ "Message": "AWS Control Tower detects that a policy it owns was updated unexpectedly. This mismatch indicates that configuration changes were made outside of AWS Control Tower.", "MasterAccountId": "123456789XXX", "ManagementAccountId": "123456789XXX", "OrganizationId": "o-123EXAMPLE", "DriftType": "CONTROL_INEFFECTIVE", "RemediationStep": "To remediate the issue, Reset the DRIFTED enabled control if permitted or Re-register the OU. If the problem persists, contact AWS support.", "TargetIdentifier": "arn:aws:::organizations/o-123456/ou-1234-4567", "ControlId": "CT.XXXXXXX.PV.1", "ControlName": "EBS snapshots should not be publicly restorable", "ApiControlIdentifier": "arn:aws:controlcatalog:::control/<UNIQUE_ID>", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>" }

Resolusi

Resolusi termudah untuk penyimpangan kebijakan kontrol pada RCP kontrol, kontrol kebijakan deklaratif, dan kontrol Security Hub yang diaktifkan di AWS Control Tower adalah dengan memanggil file. ResetEnabledControl API

Untuk OUs dengan kurang dari 1000 akun, resolusi lain dari konsol atau API mendaftar ulang OU, yang mengatur ulang kontrol ke keadaan semula.

Untuk setiap individu OU, Anda dapat menghapus dan mengaktifkan kembali kontrol melalui konsol atau AWS Control TowerAPIs, yang juga mengatur ulang kontrol.

Untuk informasi selengkapnya tentang menyelesaikan drift untuk akun danOUs, lihat. Jika Anda mengelola sumber daya di luar AWS Control Tower

Akses tepercaya dinonaktifkan

Jenis drift ini berlaku untuk zona pendaratan AWS Control Tower. Ini terjadi ketika Anda menonaktifkan akses tepercaya ke AWS Control Tower AWS Organizations setelah Anda mengatur zona landing AWS Control Tower Anda.

Ketika akses tepercaya dinonaktifkan, AWS Control Tower tidak lagi menerima peristiwa perubahan dari AWS Organizations. AWS Control Tower bergantung pada peristiwa perubahan ini untuk tetap disinkronkan. AWS Organizations Akibatnya, AWS Control Tower mungkin kehilangan perubahan organisasi dalam akun danOUs. Itulah mengapa penting untuk mendaftarkan ulang setiap OU, setiap kali Anda memperbarui landing zone Anda.

Contoh: SNS Pemberitahuan Amazon

Berikut ini adalah contoh SNS notifikasi Amazon yang Anda terima saat jenis drift ini terjadi.

{ "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "TRUSTED_ACCESS_DISABLED", "RemediationStep" : "Reset Control Tower landing zone." }

Resolusi

AWSControl Tower memberi tahu Anda ketika jenis drift ini terjadi di konsol AWS Control Tower. Resolusinya adalah mengatur ulang landing zone AWS Control Tower Anda. Untuk informasi selengkapnya, lihat Menyelesaikan penyimpangan.