Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Jenis penyimpangan tata kelola
Pergeseran tata kelola, juga disebut penyimpangan organisasi terjadi ketika OUs, SCPs, dan akun anggota diubah atau diperbarui. Jenis drift tata kelola yang dapat dideteksi di AWS Control Tower adalah sebagai berikut:
Jenis drift lainnya adalah landing zone drift, yang dapat ditemukan melalui akun manajemen. Pergeseran zona pendaratan terdiri dari penyimpangan peran IAM, atau jenis penyimpangan organisasi apa pun yang secara khusus memengaruhi akun OUs Foundational dan bersama.
Kasus khusus drift landing zone adalah role drift, yang terdeteksi ketika peran yang diperlukan tidak tersedia. Jika jenis penyimpangan ini terjadi, konsol menampilkan halaman peringatan dan beberapa instruksi tentang cara mengembalikan peran. Landing zone Anda tidak tersedia sampai drift peran diselesaikan. Untuk informasi selengkapnya tentang drift, lihat Jangan menghapus peran yang diperlukan di bagian yang dipanggilJenis drift untuk segera diselesaikan.
AWS Control Tower melaporkan penyimpangan kontrol terkait kontrol yang diterapkan dengan kebijakan kontrol sumber daya (RCPs), dan kontrol yang merupakan bagian dari Standar yang AWS Security Hub dikelola Layanan: AWS Control Tower.
AWS Control Tower tidak mencari penyimpangan terkait layanan lain yang bekerja dengan akun manajemen, termasuk CloudTrail CloudWatch, Pusat Identitas IAM,, AWS CloudFormation AWS Config, dan sebagainya. Tidak ada deteksi drift yang tersedia di akun anak, karena akun ini dilindungi oleh kontrol wajib preventif.
Akun anggota yang dipindahkan
Jenis penyimpangan ini terjadi pada akun daripada OU. Jenis drift ini dapat terjadi ketika akun anggota AWS Control Tower, akun audit, atau akun arsip log dipindahkan dari AWS Control Tower OU terdaftar ke OU lainnya. Berikut ini adalah contoh notifikasi Amazon SNS saat jenis drift ini terdeteksi.
{ "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }
Resolusi
Ketika jenis drift ini terjadi untuk akun yang disediakan Account Factory di OU dengan hingga 1000 akun, Anda dapat menyelesaikannya dengan:
-
Menavigasi ke halaman Organisasi di konsol AWS Control Tower, memilih akun, dan memilih Perbarui akun di kanan atas (opsi tercepat untuk akun individual).
-
Menavigasi ke halaman Organisasi di konsol AWS Control Tower, lalu memilih Daftar ulang untuk OU yang berisi akun (opsi tercepat untuk beberapa akun). Untuk informasi selengkapnya, lihat Daftarkan unit organisasi yang ada dengan AWS Control Tower.
-
Memperbarui produk yang disediakan di Account Factory. Untuk informasi selengkapnya, lihat Perbarui dan pindahkan akun pabrik akun dengan AWS Control Tower atau dengan AWS Service Catalog.
catatan
Jika Anda memiliki beberapa akun individual untuk diperbarui, lihat juga metode ini untuk membuat pembaruan dengan skrip:Menyediakan dan memperbarui akun menggunakan otomatisasi.
-
Ketika jenis penyimpangan ini terjadi di OU dengan lebih dari 1000 akun, resolusi drift mungkin tergantung pada jenis akun mana yang telah dipindahkan, seperti yang dijelaskan dalam paragraf berikutnya. Untuk informasi selengkapnya, lihat Perbarui landing zone Anda.
-
Jika akun yang disediakan Account Factory dipindahkan - Di OU dengan kurang dari 1000 akun, Anda dapat menyelesaikan penyimpangan akun dengan memperbarui produk yang disediakan di Account Factory, dengan mendaftarkan ulang OU, atau dengan memperbarui landing zone Anda.
Dalam OU dengan lebih dari 1000 akun, Anda harus menyelesaikan penyimpangan dengan membuat pembaruan ke setiap akun yang dipindahkan, baik melalui konsol AWS Control Tower atau produk yang disediakan, karena Registrasi ulang OU tidak akan melakukan pembaruan. Untuk informasi selengkapnya, lihat Perbarui dan pindahkan akun pabrik akun dengan AWS Control Tower atau dengan AWS Service Catalog.
-
Jika akun bersama dipindahkan — Anda dapat mengatasi penyimpangan dari memindahkan akun audit atau arsip log dengan memperbarui landing zone Anda. Untuk informasi selengkapnya, lihat Perbarui landing zone Anda.
-
Nama bidang yang tidak digunakan lagi
Nama bidang MasterAccountID telah diubah ManagementAccountID untuk mematuhi AWS pedoman. Nama lama sudah usang. Sejak 2022, skrip yang berisi nama bidang usang tidak lagi berfungsi.
Akun anggota yang dihapus
Jenis penyimpangan ini dapat terjadi ketika akun anggota dihapus dari unit organisasi AWS Control Tower yang terdaftar. Contoh berikut menunjukkan notifikasi Amazon SNS saat jenis drift ini terdeteksi.
{ "Message" : "AWS Control Tower has detected that the member account012345678909has been removed from organizationo-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }
Resolusi
-
Ketika jenis drift ini terjadi di akun anggota, Anda dapat menyelesaikan drift dengan memperbarui akun di konsol AWS Control Tower, atau di Account Factory. Misalnya, Anda dapat menambahkan akun ke OU terdaftar lain dari panduan pembaruan Account Factory. Untuk informasi selengkapnya, lihat Perbarui dan pindahkan akun pabrik akun dengan AWS Control Tower atau dengan AWS Service Catalog.
-
Jika akun bersama dihapus dari Foundational OU, Anda harus menyelesaikan drift dengan mengatur ulang landing zone Anda. Sampai penyimpangan ini teratasi, Anda tidak akan dapat menggunakan konsol AWS Control Tower.
-
Untuk informasi selengkapnya tentang menyelesaikan drift untuk akun dan OUs, lihat. Jika Anda mengelola sumber daya di luar AWS Control Tower
catatan
Di Service Catalog, produk yang disediakan Account Factory yang mewakili akun tidak diperbarui untuk menghapus akun. Sebagai gantinya, produk yang disediakan ditampilkan sebagai TAINTED dan dalam status kesalahan. Untuk membersihkan, buka Service Catalog, pilih produk yang disediakan, lalu pilih Terminate.
Pembaruan yang tidak direncanakan ke SCP terkelola
Jenis drift ini dapat terjadi ketika SCP untuk kontrol diperbarui di AWS Organizations konsol atau secara terprogram menggunakan AWS CLI atau salah satu AWS. SDKs Berikut ini adalah contoh notifikasi Amazon SNS saat jenis drift ini terdeteksi.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_UPDATED", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Resolusi
Ketika jenis penyimpangan ini terjadi di OU dengan hingga 1000 akun, Anda dapat menyelesaikannya dengan:
-
Menavigasi ke halaman Organisasi di konsol AWS Control Tower untuk mendaftarkan ulang OU (opsi tercepat). Untuk informasi selengkapnya, lihat Daftarkan unit organisasi yang ada dengan AWS Control Tower.
-
Memperbarui landing zone Anda (opsi lebih lambat). Untuk informasi selengkapnya, lihat Perbarui landing zone Anda.
Ketika jenis drift ini terjadi di OU dengan lebih dari 1000 akun, selesaikan dengan memperbarui landing zone Anda. Untuk informasi selengkapnya, lihat Perbarui landing zone Anda.
SCP melekat pada OU terkelola
Jenis drift ini dapat terjadi ketika SCP untuk kontrol terpasang ke OU lainnya. Kejadian ini sangat umum terjadi ketika Anda mengerjakan OUs dari luar konsol AWS Control Tower. Berikut ini adalah contoh notifikasi Amazon SNS saat jenis drift ini terdeteksi.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Resolusi
Ketika jenis penyimpangan ini terjadi di OU dengan hingga 1000 akun, Anda dapat menyelesaikannya dengan:
-
Menavigasi ke halaman Organisasi di konsol AWS Control Tower untuk mendaftarkan ulang OU (opsi tercepat). Untuk informasi selengkapnya, lihat Daftarkan unit organisasi yang ada dengan AWS Control Tower.
-
Memperbarui landing zone Anda (opsi lebih lambat). Untuk informasi selengkapnya, lihat Perbarui landing zone Anda.
Ketika jenis drift ini terjadi di OU dengan lebih dari 1000 akun, selesaikan dengan memperbarui landing zone Anda. Untuk informasi selengkapnya, lihat Perbarui landing zone Anda.
SCP terlepas dari OU yang dikelola
Jenis drift ini dapat terjadi ketika SCP untuk kontrol telah terlepas dari OU yang dikelola oleh AWS Control Tower. Kejadian ini sangat umum terjadi saat Anda bekerja dari luar konsol AWS Control Tower. Berikut ini adalah contoh notifikasi Amazon SNS saat jenis drift ini terdeteksi.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_DETACHED_FROM_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Resolusi
Ketika jenis penyimpangan ini terjadi di OU dengan hingga 1000 akun, Anda dapat menyelesaikannya dengan:
-
Menavigasi ke OU di konsol AWS Control Tower untuk mendaftarkan ulang OU (opsi tercepat). Untuk informasi selengkapnya, lihat Daftarkan unit organisasi yang ada dengan AWS Control Tower.
-
Memperbarui landing zone Anda (opsi lebih lambat). Jika drift memengaruhi kontrol wajib, proses pembaruan membuat kebijakan kontrol layanan baru (SCP) dan menempelkannya ke OU untuk menyelesaikan penyimpangan. Untuk informasi selengkapnya tentang cara memperbarui landing zone Anda, lihatPerbarui landing zone Anda.
Ketika jenis drift ini terjadi di OU dengan lebih dari 1000 akun, selesaikan dengan memperbarui landing zone Anda. Jika drift memengaruhi kontrol wajib, proses pembaruan membuat kebijakan kontrol layanan baru (SCP) dan menempelkannya ke OU untuk menyelesaikan penyimpangan. Untuk informasi selengkapnya tentang cara memperbarui landing zone Anda, lihatPerbarui landing zone Anda.
SCP dilampirkan ke akun anggota
Jenis drift ini dapat terjadi ketika SCP untuk kontrol dilampirkan ke akun di konsol Organizations. Guardrails dan mereka SCPs dapat diaktifkan OUs (dan dengan demikian diterapkan ke semua akun terdaftar OU) melalui konsol AWS Control Tower. Berikut ini adalah contoh notifikasi Amazon SNS saat jenis drift ini terdeteksi.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_ACCOUNT", "RemediationStep" : "Re-register this organizational unit (OU)", "AccountId" : "012345678909", "PolicyId" : "p-tEXAMPLE" }
Resolusi
Jenis penyimpangan ini terjadi pada akun daripada OU.
Ketika jenis drift ini terjadi untuk akun di Foundational OU, seperti Security OU, resolusinya adalah memperbarui landing zone Anda. Untuk informasi selengkapnya, lihat Perbarui landing zone Anda.
Ketika jenis penyimpangan ini terjadi di OU non-dasar dengan hingga 1000 akun, Anda dapat menyelesaikannya dengan:
-
Melepaskan AWS Control Tower SCP dari akun pabrik akun.
-
Menavigasi ke OU di konsol AWS Control Tower untuk mendaftarkan ulang OU (opsi tercepat). Untuk informasi selengkapnya, lihat Daftarkan unit organisasi yang ada dengan AWS Control Tower.
Ketika jenis penyimpangan ini terjadi di OU dengan lebih dari 1000 akun, Anda dapat mencoba menyelesaikannya dengan memperbarui konfigurasi pabrik akun untuk akun tersebut. Mungkin tidak mungkin untuk menyelesaikannya dengan sukses. Untuk informasi selengkapnya, lihat Perbarui landing zone Anda.
Dihapus Foundational OU
Jenis drift ini hanya berlaku untuk AWS Control Tower Foundational OUs, seperti Security OU. Hal ini dapat terjadi jika Foundational OU dihapus di luar konsol AWS Control Tower. Foundational OUs tidak dapat dipindahkan tanpa membuat jenis drift ini, karena memindahkan OU sama dengan menghapusnya dan kemudian menambahkannya di tempat lain. Saat Anda menyelesaikan drift dengan memperbarui landing zone, AWS Control Tower menggantikan Foundational OU di lokasi aslinya. Contoh berikut menunjukkan notifikasi Amazon SNS yang mungkin Anda terima saat jenis drift ini terdeteksi.
{ "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ORGANIZATIONAL_UNIT_DELETED", "RemediationStep" : "Delete organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }
Resolusi
Karena drift ini terjadi OUs hanya untuk Foundational, resolusinya adalah memperbarui landing zone. Ketika jenis lain OUs dihapus, AWS Control Tower diperbarui secara otomatis.
Untuk informasi selengkapnya tentang menyelesaikan drift untuk akun dan OUs, lihat. Jika Anda mengelola sumber daya di luar AWS Control Tower
Drift kontrol Security Hub
Jenis drift ini terjadi ketika kontrol yang merupakan bagian dari AWS Security Hub Service-Managed Standard: AWS Control Tower melaporkan keadaan drift. AWS Security Hub Layanan itu sendiri tidak melaporkan keadaan drift untuk kontrol ini. Sebagai gantinya, layanan mengirimkan temuannya ke AWS Control Tower.
Drift kontrol Security Hub juga dapat dideteksi jika AWS Control Tower belum menerima pembaruan status dari Security Hub lebih dari 24 jam. Jika temuan tersebut tidak diterima seperti yang diharapkan, AWS Control Tower memverifikasi bahwa kontrol dalam drift. Contoh berikut menunjukkan notifikasi Amazon SNS yang mungkin Anda terima saat jenis drift ini terdeteksi.
{ "Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard", "MasterAccountId" : "123456789XXX", "ManagementAccountId" : "123456789XXX", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SECURITY_HUB_CONTROL_DISABLED", "RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.", "AccountId" : "7876543219XXX", "ControlId" : "SH.XXXXXXX.1", "ControlName" : "EBS snapshots should not be publicly restorable", "ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>". "Region" : "us-east-1" }
Resolusi
Untuk OUs dengan kurang dari 1000 akun, resolusi yang disarankan adalah memanggil ResetEnabledControlAPI untuk kontrol drifted. Di konsol, Anda dapat memilih Daftar ulang untuk OU, yang mengatur ulang kontrol ke keadaan semula. Atau, untuk setiap OU, Anda dapat menghapus dan mengaktifkan kembali kontrol melalui konsol atau AWS Control Tower APIs, yang juga mengatur ulang kontrol.
Untuk informasi selengkapnya tentang menyelesaikan drift untuk akun dan OUs, lihat. Jika Anda mengelola sumber daya di luar AWS Control Tower
Pengendalian kebijakan drift
Jenis drift ini terjadi ketika kontrol yang diterapkan dengan kebijakan kontrol sumber daya (RCPs) atau kebijakan deklaratif melaporkan keadaan drift. Ini mengembalikan statusCONTROL_INEFFECTIVE, yang dapat Anda lihat di konsol AWS Control Tower dan dalam pesan drift. Pesan drift untuk jenis drift ini juga mencakup EnabledControlIdentifier untuk kontrol yang terpengaruh.
Jenis drift ini tidak dilaporkan untuk kontrol berbasis SCP.
Contoh berikut menunjukkan notifikasi Amazon SNS yang mungkin Anda terima saat jenis drift ini terdeteksi.
{ "Message": "AWS Control Tower detects that a policy it owns was updated unexpectedly. This mismatch indicates that configuration changes were made outside of AWS Control Tower.", "MasterAccountId": "123456789XXX", "ManagementAccountId": "123456789XXX", "OrganizationId": "o-123EXAMPLE", "DriftType": "CONTROL_INEFFECTIVE", "RemediationStep": "To remediate the issue, Reset the DRIFTED enabled control if permitted or Re-register the OU. If the problem persists, contact AWS support.", "TargetIdentifier": "arn:aws:::organizations/o-123456/ou-1234-4567", "ControlId": "CT.XXXXXXX.PV.1", "ControlName": "EBS snapshots should not be publicly restorable", "ApiControlIdentifier": "arn:aws:controlcatalog:::control/<UNIQUE_ID>", "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/<UNIQUE_ID>" }
Resolusi
Resolusi termudah untuk penyimpangan kebijakan kontrol pada kontrol RCP, kontrol kebijakan deklaratif, dan kontrol Security Hub yang diaktifkan di AWS Control Tower adalah dengan memanggil API. ResetEnabledControl
Untuk OUs dengan kurang dari 1000 akun, resolusi lain dari konsol atau API adalah mendaftarkan ulang OU, yang mengatur ulang kontrol ke status semula.
Untuk setiap individu OU, Anda dapat menghapus dan mengaktifkan kembali kontrol melalui konsol atau AWS Control Tower APIs, yang juga mengatur ulang kontrol.
Untuk informasi selengkapnya tentang menyelesaikan drift untuk akun dan OUs, lihat. Jika Anda mengelola sumber daya di luar AWS Control Tower
Akses tepercaya dinonaktifkan
Jenis drift ini berlaku untuk zona pendaratan AWS Control Tower. Ini terjadi ketika Anda menonaktifkan akses tepercaya ke AWS Control Tower AWS Organizations setelah Anda menyiapkan zona landing zone AWS Control Tower.
Saat akses tepercaya dinonaktifkan, AWS Control Tower tidak lagi menerima peristiwa perubahan dari AWS Organizations. AWS Control Tower mengandalkan peristiwa perubahan ini agar tetap disinkronkan. AWS Organizations Akibatnya, AWS Control Tower mungkin melewatkan perubahan organisasi dalam akun dan OUs. Itulah mengapa penting untuk mendaftarkan ulang setiap OU, setiap kali Anda memperbarui landing zone Anda.
Contoh: Pemberitahuan Amazon SNS
Berikut ini adalah contoh notifikasi Amazon SNS yang Anda terima saat jenis drift ini terjadi.
{ "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "TRUSTED_ACCESS_DISABLED", "RemediationStep" : "Reset Control Tower landing zone." }
Resolusi
AWS Control Tower memberi tahu Anda saat jenis drift ini terjadi di konsol AWS Control Tower. Resolusinya adalah mengatur ulang landing zone AWS Control Tower Anda. Untuk informasi selengkapnya, lihat Menyelesaikan penyimpangan.
