Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Peristiwa Siklus Hidup di AWS Control Tower
Beberapa peristiwa yang dicatat oleh AWS Control Tower adalah peristiwa siklus hidup. Tujuan peristiwa siklus hidup adalah untuk menandai penyelesaian tindakan AWS Control Tower tertentu yang mengubah status sumber daya. Peristiwa siklus hidup berlaku untuk sumber daya yang dibuat atau dikelola AWS Control Tower, seperti unit organisasi (OU), akun, dan kontrol.
Karakteristik peristiwa siklus hidup AWS Control Tower
-
Untuk setiap peristiwa siklus hidup, log peristiwa menunjukkan apakah tindakan Control Tower yang berasal berhasil diselesaikan, atau gagal.
-
AWS CloudTrail secara otomatis mencatat setiap peristiwa siklus hidup sebagai acara layanan non-API AWS . Untuk informasi selengkapnya, lihat Panduan AWS CloudTrail Pengguna.
-
Setiap acara siklus hidup juga dikirimkan ke layanan Amazon dan EventBridge Amazon CloudWatch Events.
Peristiwa siklus hidup di AWS Control Tower menawarkan dua manfaat utama:
-
Karena peristiwa siklus hidup mendaftarkan penyelesaian tindakan AWS Control Tower, Anda dapat membuat aturan Amazon EventBridge atau aturan CloudWatch Acara Amazon yang dapat memicu langkah selanjutnya dalam alur kerja otomatisasi Anda, berdasarkan status peristiwa siklus hidup.
-
Log memberikan detail tambahan untuk membantu administrator dan auditor dalam meninjau jenis aktivitas tertentu di organisasi Anda.
Cara kerja peristiwa siklus hidup
AWS Control Tower mengandalkan beberapa layanan untuk mengimplementasikan tindakannya. Oleh karena itu, setiap peristiwa siklus hidup direkam hanya setelah serangkaian tindakan selesai. Misalnya, saat Anda mengaktifkan kontrol pada OU, AWS Control Tower meluncurkan serangkaian sub-langkah yang mengimplementasikan permintaan. Hasil akhir dari seluruh rangkaian sub-langkah dicatat dalam log sebagai status peristiwa siklus hidup.
-
Jika setiap sub-langkah yang mendasari telah berhasil diselesaikan, status peristiwa siklus hidup dicatat sebagai Berhasil.
-
Jika salah satu sub-langkah yang mendasari tidak berhasil diselesaikan, status peristiwa siklus hidup dicatat sebagai Gagal.
Setiap peristiwa siklus hidup menyertakan stempel waktu yang dicatat yang menunjukkan kapan tindakan AWS Control Tower dimulai, dan stempel waktu lain yang ditampilkan saat peristiwa siklus hidup selesai, menandai keberhasilan atau kegagalan.
Melihat peristiwa siklus hidup di Control Tower
Anda dapat melihat peristiwa siklus hidup dari halaman Aktivitas di dasbor AWS Control Tower.
-
Untuk menavigasi ke halaman Aktivitas, pilih Aktivitas dari panel navigasi kiri.
-
Untuk mendapatkan detail lebih lanjut tentang acara tertentu, pilih acara dan kemudian pilih tombol Lihat detail di kanan atas.
Untuk informasi selengkapnya tentang cara mengintegrasikan peristiwa siklus hidup AWS Control Tower ke dalam alur kerja Anda, lihat posting blog ini, Menggunakan peristiwa siklus hidup untuk melacak tindakan AWS Control Tower dan memicu alur kerja otomatis
Perilaku yang diharapkan dari CreateManagedAccount dan UpdateManagedAccount peristiwa siklus hidup
Saat Anda membuat akun atau mendaftarkan akun di AWS Control Tower, kedua tindakan tersebut memanggil API internal yang sama. Jika ada kesalahan selama proses, biasanya terjadi setelah akun dibuat tetapi tidak sepenuhnya disediakan. Saat Anda mencoba lagi membuat akun setelah kesalahan, atau saat Anda mencoba memperbarui produk yang disediakan, AWS Control Tower melihat bahwa akun tersebut sudah ada.
Karena akun ada, AWS Control Tower merekam peristiwa UpdateManagedAccount siklus hidup alih-alih peristiwa CreateManagedAccount siklus hidup di akhir permintaan coba lagi. Anda mungkin mengharapkan untuk melihat CreateManagedAccount peristiwa lain karena kesalahan. Namun, peristiwa UpdateManagedAccount siklus hidup adalah perilaku yang diharapkan dan diinginkan.
Jika Anda berencana untuk membuat atau mendaftarkan akun ke AWS Control Tower menggunakan metode otomatis, program fungsi Lambda UpdateManagedAccountuntuk mencari peristiwa siklus hidup serta peristiwa siklus hidup. CreateManagedAccount
Nama acara siklus hidup
Setiap peristiwa siklus hidup diberi nama sedemikian rupa sehingga sesuai dengan tindakan AWS Control Tower yang berasal, yang juga direkam oleh AWS. CloudTrail Jadi, misalnya, peristiwa siklus hidup yang berasal dari peristiwa AWS Control Tower CreateManagedAccount CloudTrail diberi nama. CreateManagedAccount
Setiap nama dalam daftar berikut adalah tautan ke contoh detail yang dicatat dalam JSON format. Detail tambahan yang ditunjukkan dalam contoh ini diambil dari log CloudWatch peristiwa Amazon.
Meskipun JSON tidak mendukung komentar, beberapa komentar telah ditambahkan dalam contoh untuk tujuan penjelasan. Komentar didahului oleh “//” dan muncul di sisi kanan contoh.
Dalam contoh ini, beberapa nama akun dan nama organisasi dikaburkan. An selalu accountId merupakan urutan 12 angka, yang telah diganti dengan “xxxxxxxxxxxx” dalam contoh. An organizationalUnitID adalah rangkaian huruf dan angka yang unik. Bentuknya dipertahankan dalam contoh.
-
CreateManagedAccount: Log mencatat apakah AWS Control Tower berhasil menyelesaikan setiap tindakan untuk membuat dan menyediakan akun baru menggunakan pabrik akun.
-
UpdateManagedAccount: Log mencatat apakah AWS Control Tower berhasil menyelesaikan setiap tindakan untuk memperbarui produk yang disediakan yang terkait dengan akun yang sebelumnya Anda buat dengan menggunakan account factory.
-
EnableGuardrail: Log mencatat apakah AWS Control Tower berhasil menyelesaikan setiap tindakan untuk mengaktifkan kontrol pada OU yang dibuat oleh AWS Control Tower.
-
DisableGuardrail: Log mencatat apakah AWS Control Tower berhasil menyelesaikan setiap tindakan untuk menonaktifkan kontrol pada OU yang dibuat oleh AWS Control Tower.
-
SetupLandingZone: Log mencatat apakah AWS Control Tower berhasil menyelesaikan setiap tindakan untuk menyiapkan landing zone.
-
UpdateLandingZone: Log mencatat apakah AWS Control Tower berhasil menyelesaikan setiap tindakan untuk memperbarui landing zone yang ada.
-
RegisterOrganizationalUnit: Log mencatat apakah AWS Control Tower berhasil menyelesaikan setiap tindakan untuk mengaktifkan fitur tata kelola pada OU.
-
DeregisterOrganizationalUnit: Log mencatat apakah AWS Control Tower berhasil menyelesaikan setiap tindakan untuk menonaktifkan fitur tata kelola pada OU.
-
PrecheckOrganizationalUnit: Log mencatat apakah AWS Control Tower mendeteksi sumber daya apa pun yang akan mencegah operasi tata kelola Perpanjang selesai dengan sukses.
Bagian berikut menyediakan daftar peristiwa siklus hidup AWS Control Tower, dengan contoh detail yang dicatat untuk setiap jenis peristiwa siklus hidup.
CreateManagedAccount
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil membuat dan menyediakan akun baru menggunakan account factory. Acara ini sesuai dengan peristiwa AWS Control Tower CreateManagedAccount CloudTrail . Log peristiwa siklus hidup mencakup accountName dan accountId dari akun yang baru dibuat, dan organizationalUnitName dan organizationalUnitId dari OU di mana akun telah ditempatkan.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "CreateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "createManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"XXXXXXXXXXXX" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully created a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }
UpdateManagedAccount
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil memperbarui produk yang disediakan yang terkait dengan akun yang dibuat sebelumnya dengan menggunakan account factory. Acara ini sesuai dengan peristiwa AWS Control Tower UpdateManagedAccount CloudTrail. Log peristiwa siklus hidup mencakup accountName dan accountId dari akun terkait, dan organizationalUnitName dan organizationalUnitId dari OU di mana akun yang diperbarui ditempatkan.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // AWS Control Tower organization management account. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"624281831893" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully updated a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }
EnableGuardrail
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil mengaktifkan kontrol pada OU yang dikelola oleh AWS Control Tower. Acara ini sesuai dengan peristiwa AWS Control Tower EnableGuardrail CloudTrail . Log peristiwa siklus hidup mencakup guardrailId dan guardrailBehavior kontrol, dan organizationalUnitName dan organizationalUnitId dari OU tempat kontrol diaktifkan.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "EnableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "enableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }
DisableGuardrail
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil menonaktifkan kontrol pada OU yang dikelola oleh AWS Control Tower. Acara ini sesuai dengan peristiwa AWS Control Tower DisableGuardrail CloudTrail . Log peristiwa siklus hidup mencakup guardrailId dan guardrailBehavior kontrol, dan organizationalUnitName dan organizationalUnitId dari OU tempat kontrol dinonaktifkan.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DisableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "disableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }
SetupLandingZone
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil menyiapkan landing zone. Acara ini sesuai dengan peristiwa AWS Control Tower SetupLandingZone CloudTrail . Log peristiwa siklus hidup menyertakanrootOrganizationalId, yang merupakan ID organisasi yang dibuat AWS Control Tower dari akun manajemen. Entri log juga mencakup organizationalUnitName dan organizationalUnitId untuk masing-masing OU, dan accountName dan accountId untuk setiap akun, yang dibuat saat AWS Control Tower menyiapkan landing zone.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management-account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "SetupLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "setupLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire lifecycle operation. "message": "AWS Control Tower successfully set up a new landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
UpdateLandingZone
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil memperbarui landing zone yang ada. Acara ini sesuai dengan peristiwa AWS Control Tower UpdateLandingZone CloudTrail . Log peristiwa siklus hidup menyertakanrootOrganizationalId, yang merupakan ID organisasi (diperbarui) yang diatur oleh AWS Control Tower. Entri log juga mencakup organizationalUnitName dan organizationalUnitId untuk masing-masing OU, dan accountName dan accountId untuk setiap akun, yang dibuat sebelumnya, ketika AWS Control Tower awalnya mengatur landing zone.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire operation. "message": "AWS Control Tower successfully updated a landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
RegisterOrganizationalUnit
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil mengaktifkan fitur tata kelola pada OU. Acara ini sesuai dengan peristiwa AWS Control Tower RegisterOrganizationalUnit CloudTrail . Log peristiwa siklus hidup mencakup organizationalUnitName dan organizationalUnitId dari OU yang dibawa AWS Control Tower di bawah tata kelolanya.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "123456789012", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "RegisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "registerOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully registered an organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", "organizationalUnitId": "ou-adpf-302pk332" } "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
DeregisterOrganizationalUnit
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil menonaktifkan fitur tata kelola pada OU. Acara ini sesuai dengan peristiwa AWS Control Tower DeregisterOrganizationalUnit CloudTrail . Log peristiwa siklus hidup mencakup organizationalUnitName dan organizationalUnitId OU tempat AWS Control Tower menonaktifkan fitur tata kelolanya.
{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DeregisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "deregisterOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", // Foundational OU name. "organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID. }, "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }
PrecheckOrganizationalUnit
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil melakukan pemeriksaan awal pada OU. Acara ini sesuai dengan peristiwa AWS Control Tower PrecheckOrganizationalUnit CloudTrail . Log peristiwa siklus hidup berisi bidang untuk,, dan failedPrechecks nilai IdName, untuk setiap sumber daya tempat AWS Control Tower telah melakukan pemeriksaan awal selama proses pendaftaran OU.
Log peristiwa juga berisi informasi tentang akun bersarang tempat precheck dilakukan, termasuk, accountNameaccountId, dan failedPrechecks bidang.
Jika failedPrechecks nilainya kosong, itu berarti semua precheck untuk sumber daya itu berhasil lolos.
-
Acara ini dipancarkan hanya jika ada kegagalan precheck.
-
Acara ini tidak dipancarkan jika Anda mendaftarkan OU kosong.
Contoh acara:
{ "eventVersion": "1.08", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2021-09-20T22:45:43Z", "eventSource": "controltower.amazonaws.com", "eventName": "PrecheckOrganizationalUnit", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "XXXXXXXXXXXX", "serviceEventDetails": { "precheckOrganizationalUnitStatus": { "organizationalUnit": { "organizationalUnitName": "Ou-123", "organizationalUnitId": "ou-abcd-123456", "failedPrechecks": [ "SCP_CONFLICT" ] }, "accounts": [ { "accountName": "Child Account 1", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Child Account 2", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Management Account", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "MISSING_PERMISSIONS_AF_PRODUCT" ] }, { "accountName": "Child Account 3", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [] }, ... ], "state": "FAILED", "message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.", "requestedTimestamp": "2021-09-20T22:44:02+0000", "completedTimestamp": "2021-09-20T22:45:43+0000" } }, "eventCategory": "Management" }
