Rileva e risolvi la deriva in AWS Control Tower - AWS Control Tower
Rilevamento della derivaRisolvere la derivaConsiderazioni sulla deriva e sulle scansioni SCPTipi di deriva da risolvere immediatamenteModifiche riparabili alle risorseProvisioning di nuovi account e deviazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Rileva e risolvi la deriva in AWS Control Tower

Identificare e risolvere la deriva è un'attività operativa regolare per gli amministratori degli account di gestione AWS di Control Tower. Risolvere la deriva aiuta a garantire la conformità ai requisiti di governance.

Quando crei la landing zone, la landing zone e tutte le unità organizzative (OUs), gli account e le risorse sono conformi alle regole di governance applicate dai controlli scelti. Man mano che tu e i membri della tua organizzazione utilizzate la landing zone, potrebbero verificarsi cambiamenti in questo stato di conformità. Alcune modifiche potrebbero essere accidentali mentre altre potrebbero essere apportate intenzionalmente per rispondere a eventi operativi prioritari.

Il rilevamento della deviazione aiuta a identificare le risorse che richiedono modifiche o aggiornamenti di configurazione per risolvere la deviazione.

Rilevamento della deriva

AWSControl Tower rileva automaticamente la deriva. Per rilevare la deriva, il AWSControlTowerAdmin ruolo richiede un accesso persistente all'account di gestione in modo che AWS Control Tower possa effettuare chiamate di sola lettura API verso. AWS Organizations Queste API chiamate vengono visualizzate come eventi. AWS CloudTrail

Drift viene visualizzato nelle notifiche di Amazon Simple Notification Service SNS (Amazon) aggregate nell'account di controllo. Le notifiche in ogni account membro inviano avvisi a un SNS argomento Amazon locale e a una funzione Lambda.

Per i controlli che fanno parte del AWS Security Hub Service-Managed Standard: AWS Control Tower, la deriva viene mostrata nelle pagine Account e Account dei dettagli dell'account nella console AWS Control Tower, nonché tramite una notifica Amazon. SNS

Gli amministratori degli account membri possono (e come best practice dovrebbero) iscriversi alle notifiche di SNS drift per account specifici. Ad esempio, l'aws-controltower-AggregateSecurityNotificationsSNSargomento fornisce notifiche di deriva. La console AWS Control Tower indica agli amministratori degli account di gestione quando si è verificata una deriva. Per ulteriori informazioni sugli SNS argomenti relativi al rilevamento e alla notifica delle deviazioni, consulta Prevenzione e notifica delle deviazioni.

Deduplicazione delle notifiche Drift

Se lo stesso tipo di deriva si verifica più volte sullo stesso set di risorse, AWS Control Tower invia una SNS notifica solo per l'istanza iniziale di drift. Se AWS Control Tower rileva che questa istanza di deriva è stata risolta, invia un'altra notifica solo se la deriva si ripresenta per quelle risorse identiche.

Esempi: lo scostamento e lo scostamento dell'account vengono gestiti nel modo SCP seguente

  • Se modifichi lo stesso gestore SCP più volte, ricevi una notifica per la prima volta che lo modifichi.

  • Se modifichi una deriva gestitaSCP, quindi correggi e poi la modifichi nuovamente, riceverai due notifiche.

  • Se un account viene spostato OUs più volte tra la stessa origine e la stessa destinazione, senza prima correggere la deriva, viene inviata una sola notifica, anche se l'account è stato spostato da una destinazione all'altra più di una volta. OUs

Tipi di deviazione dell'account

  • Account trasferito tra OUs

  • Account rimosso dall'organizzazione

Nota

Quando si sposta un account da un'unità organizzativa all'altra, i controlli dell'unità organizzativa precedente non vengono rimossi. Se si abilita un nuovo controllo basato su hook sull'unità organizzativa di destinazione, il vecchio il controllo basato su hook viene rimosso dall'account e il nuovo controllo lo sostituisce. I controlli SCPs e AWS Config le regole implementati con devono sempre essere rimossi manualmente quando un account cambia. OUs

Tipi di deviazione delle politiche

  • SCPaggiornato

  • SCPallegato a OU

  • SCPstaccato da OU

  • SCPcollegato all'account

Per ulteriori informazioni, vedere Types of Governance Drift.

Risolvere la deriva

Mentre il rilevamento è automatico, la procedura per risolvere la deviazione deve essere eseguita tramite la console.

  • Molti tipi di deriva possono essere risolti tramite la pagina delle impostazioni della zona di atterraggio. Puoi scegliere il pulsante Ripristina nella sezione Versioni per risolvere questi tipi di deriva.

  • Se l'unità organizzativa ha meno di 1000 account, è possibile risolvere la deriva negli account forniti da Account Factory, o SCP drift, selezionando Registra nuovamente l'unità organizzativa nella pagina Organizzazione o nella pagina dei dettagli dell'unità organizzativa.

  • È possibile risolvere il problema della deriva dell'account, ad esempio aggiornando un singolo Account membro spostato account. Per ulteriori informazioni, consulta Aggiorna l'account nella console.

Quando si interviene per risolvere la deriva in una versione con landing zone, sono possibili due comportamenti.

  • Se utilizzi la versione più recente della landing zone, quando scegli Reimposta e poi scegli Conferma, le risorse della tua drifted landing zone vengono ripristinate alla configurazione AWS Control Tower salvata. La versione landing zone rimane la stessa.

  • Se non utilizzi la versione più recente, devi scegliere Aggiorna. La landing zone viene aggiornata alla versione più recente della landing zone. La deriva viene risolta come parte di questo processo.

Considerazioni sulla deriva e sulle scansioni SCP

AWSControl Tower esegue SCPs quotidianamente una scansione del file gestito per verificare che i controlli corrispondenti siano applicati correttamente e che non abbiano subito variazioni. Per recuperarli SCPs ed eseguirne i controlli, AWS Control Tower chiama per tuo AWS Organizations conto, utilizzando un ruolo nel tuo account di gestione.

Se una scansione AWS del Control Tower rileva una deriva, riceverai una notifica. AWSControl Tower invia una sola notifica per problema di deriva, quindi se la tua landing zone è già in stato di deriva, non riceverai notifiche aggiuntive a meno che non venga trovato un nuovo oggetto di deriva.

AWS Organizations limita la frequenza con cui ciascuno di essi APIs può essere chiamato. Questo limite è espresso in transazioni al secondo (TPS) ed è noto come TPSlimite, velocità di limitazione o frequenza di API richiesta. Quando AWS Control Tower effettua una verifica SCPs chiamando AWS Organizations, le API chiamate effettuate da AWS Control Tower vengono conteggiate ai fini del TPS limite, poiché AWS Control Tower utilizza l'account di gestione per effettuare le chiamate.

In rare situazioni, questo limite può essere raggiunto chiamando la stessa persona APIs ripetutamente, tramite una soluzione di terze parti o uno script personalizzato scritto dall'utente. Ad esempio, se tu e AWS Control Tower chiamate nello AWS Organizations APIs stesso momento (entro 1 secondo) e TPS i limiti vengono raggiunti, le chiamate successive vengono limitate. Cioè, queste chiamate restituiscono un errore del tipo. Rate exceeded

Se viene superata una frequenza di API richiesta

  • Se AWS Control Tower raggiunge il limite e viene rallentato, sospendiamo l'esecuzione dell'audit e la riprendiamo in un secondo momento.

  • Se il carico di lavoro raggiunge il limite e viene limitato, il risultato può variare da una leggera latenza fino a un errore fatale nel carico di lavoro, a seconda di come è configurato il carico di lavoro. Questo caso limite è qualcosa di cui essere consapevoli.

Una SCP scansione giornaliera è composta da

  1. Recupero dei dati attivi di recente. OUs

  2. Per ogni unità organizzativa registrata, recuperando tutte le unità SCPs gestite da AWS Control Tower collegate all'unità organizzativa. SCPsI Managed hanno identificatori che iniziano con. aws-guardrails

  3. Per ogni controllo preventivo abilitato sull'unità organizzativa, verifica che la dichiarazione sulla politica del controllo sia presente nell'unità organizzativa gestita dall'unità organizzativa. SCPs

Un'unità organizzativa può averne una o più gestiteSCPs.

Tipi di deriva da risolvere immediatamente

La maggior parte dei tipi di deviazione può essere risolta dagli amministratori. Alcuni tipi di deriva devono essere risolti immediatamente, inclusa la cancellazione di un'unità organizzativa richiesta dalla landing zone del AWS Control Tower. Ecco alcuni esempi di deriva grave che potresti voler evitare:

  • Non eliminare l'unità organizzativa di sicurezza: l'unità organizzativa originariamente denominata Security durante la configurazione della landing zone da parte di AWS Control Tower non deve essere eliminata. Se la elimini, vedrai un messaggio di errore che ti chiede di reimpostare immediatamente la landing zone. Non potrai intraprendere altre azioni in AWS Control Tower fino al completamento del ripristino.

  • Non eliminare i ruoli richiesti: AWS Control Tower controlla determinati AWS Identity and Access Management (IAM) ruoli quando accedi alla console per rilevare eventuali variazioni dei IAMruoli. Se questi ruoli sono mancanti o inaccessibili, vedrai una pagina di errore che ti chiederà di reimpostare la landing zone. Questi ruoli sono. AWSControlTowerAdmin AWSControlTowerCloudTrailRole AWSControlTowerStackSetRole

    Per ulteriori informazioni su questi ruoli, vedereAutorizzazioni necessarie per utilizzare la console AWS Control Tower.

  • Non eliminare tutte le informazioni aggiuntiveOUs: se elimini l'unità organizzativa originariamente denominata Sandbox durante la configurazione della landing zone da parte di AWS Control Tower, la tua landing zone si troverà in uno stato di deriva, ma potrai comunque utilizzare AWS Control Tower. È necessaria almeno un'unità organizzativa aggiuntiva per AWS il funzionamento di Control Tower, ma non deve essere necessariamente l'unità organizzativa Sandbox.

  • Non rimuovere gli account condivisi: se rimuovi gli account condivisi da FoundationalOUs, ad esempio rimuovendo l'account di registrazione dalla Security OU, la tua landing zone sarà in uno stato di deriva. La landing zone deve essere ripristinata prima di poter continuare a utilizzare la console AWS Control Tower.

Modifiche riparabili alle risorse

Di seguito è riportato un elenco delle modifiche consentite alle risorse AWS Control Tower, sebbene creino una deriva risolvibile. I risultati di queste operazioni consentite sono visualizzabili nella console AWS Control Tower, sebbene possa essere necessario un aggiornamento.

Per ulteriori informazioni su come risolvere la deriva risultante, vedere Managing Resources Outside of AWS Control Tower.

Modifiche consentite all'esterno della console AWS Control Tower

  • Modifica il nome di un'unità organizzativa registrata.

  • Modificare il nome dell'unità organizzativa di sicurezza.

  • Cambia il nome degli account dei membri in Non-FoundationalOUs.

  • Cambia il nome degli account condivisi di AWS Control Tower nell'unità organizzativa di sicurezza.

  • Eliminare un'unità organizzativa non fondamentale.

  • Eliminare un account registrato da un'unità organizzativa non fondamentale.

  • Modifica l'indirizzo e-mail di un account condiviso nell'unità organizzativa di sicurezza.

  • Modifica l'indirizzo e-mail di un account membro in un'unità organizzativa registrata.

Nota

Lo spostamento di account da OUs un account all'altro è considerato una deriva e deve essere risolto.

Provisioning di nuovi account e deviazioni

Se la tua landing zone è in uno stato di deriva, la funzione di registrazione dell'account in AWS Control Tower non funzionerà. In tal caso, è necessario effettuare il provisioning di nuovi account tramite AWS Service Catalog. Per istruzioni, consulta Fornire account con AWS Service Catalog Account Factory .

In particolare, se hai apportato alcune modifiche ai tuoi account tramite Service Catalog, come cambiare il nome del tuo portafoglio, la funzione di registrazione dell'account non funzionerà.