Hindari tata kelola campuran saat mengonfigurasi Wilayah - AWSControl Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Hindari tata kelola campuran saat mengonfigurasi Wilayah

Penting untuk memperbarui semua akun di OU setelah Anda memperluas tata kelola AWS Control Tower ke yang baru Wilayah AWS, dan setelah Anda menghapus tata kelola AWS Control Tower dari suatu Wilayah.

Tata kelola campuran adalah situasi yang tidak diinginkan yang dapat terjadi jika kontrol yang mengatur OU tidak sepenuhnya cocok dengan kontrol yang mengatur setiap akun dalam OU. Tata kelola campuran terjadi di OU jika akun tidak diperbarui setelah AWS Control Tower memperluas tata kelola ke yang baru Wilayah AWS, atau menghapus tata kelola.

Dalam situasi ini, akun tertentu dalam OU mungkin memiliki kontrol yang berbeda yang diterapkan di Wilayah yang berbeda, jika dibandingkan dengan akun lain di OU, atau jika dibandingkan dengan postur tata kelola zona pendaratan secara keseluruhan.

Dalam OU dengan tata kelola campuran, jika Anda menyediakan akun baru, akun baru tersebut menerima postur tata kelola Wilayah dan OU yang sama (diperbarui) dengan landing zone. Namun, akun yang ada yang belum diperbarui tidak menerima postur tata kelola Wilayah yang diperbarui.

Secara umum, tata kelola campuran dapat menciptakan indikator status yang kontradiktif atau tidak akurat di konsol AWS Control Tower. Misalnya, selama tata kelola campuran, Wilayah keikutsertaan ditampilkan dengan status Tidak diatur, terdaftarOUs, untuk akun yang belum diperbarui.

catatan

AWSControl Tower tidak mengizinkan kontrol diaktifkan selama keadaan pemerintahan campuran.

Perilaku kontrol selama tata kelola campuran

  • Selama pemerintahan campuran, AWS Control Tower tidak dapat secara konsisten menerapkan kontrol yang didasarkan pada AWS Config aturan (yaitu, kontrol detektif) di Wilayah yang sudah ditunjukkan oleh OU sebagai Governed, karena beberapa akun di OU belum diperbarui. Anda mungkin menerima pesan FAILED_TO_ENABLE kesalahan.

  • Selama tata kelola campuran, jika Anda memperluas tata kelola zona pendaratan ke Wilayah opt-in sementara akun apa pun di OU belum diperbarui, EnableControl API operasi di OU gagal untuk kontrol detektif dan proaktif. Anda akan menerima pesan FAILED_TO_ENABLE kesalahan, karena akun anggota yang tidak diperbarui dalam OU belum dipilih ke Wilayah tersebut.

  • Selama tata kelola campuran, kontrol yang merupakan bagian dari Standar yang dikelola Layanan Security Hub: AWS Control Tower tidak dapat melaporkan kepatuhan secara akurat di Wilayah di mana terdapat ketidakcocokan antara konfigurasi landing zone dan akun yang tidak diperbarui.

  • Tata kelola campuran tidak mengubah perilaku kontrol SCP berbasis (kontrol preventif), yang berlaku secara seragam untuk setiap akun di OU, di setiap Wilayah yang diatur.

catatan

Tata kelola campuran tidak sama dengan drift, dan tidak dilaporkan sebagai drift.

Untuk memperbaiki tata kelola campuran

  • Pilih Perbarui akun untuk setiap akun di OU yang menampilkan Perbarui status yang tersedia di halaman Organizations di konsol.

  • Pilih Daftar Ulang OU di halaman Organizations, yang secara otomatis memperbarui semua akun di OU, OUs dengan kurang dari 1000 akun.