Tipi di deviazione dalla governance - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tipi di deviazione dalla governance

La deriva della governance, chiamata anche deriva organizzativa OUsSCPs, si verifica quando gli account dei membri vengono modificati o aggiornati. I tipi di deriva della governance che possono essere rilevati in AWS Control Tower sono i seguenti:

Un altro tipo di deriva è la deriva delle landing zone, che può essere trovata tramite l'account di gestione. La deriva dalla zona di atterraggio consiste nella deriva dei IAM ruoli o in qualsiasi tipo di deriva organizzativa che influisca in modo specifico sugli account Foundational e condivisi. OUs

Un caso particolare di deriva delle landing zone è la deriva dei ruoli, che viene rilevata quando un ruolo richiesto non è disponibile. Se si verifica questo tipo di deriva, la console visualizza una pagina di avviso e alcune istruzioni su come ripristinare il ruolo. La landing zone non è disponibile finché non viene risolto il problema del ruolo. Per ulteriori informazioni sulla deriva, consulta Non eliminare i ruoli richiesti nella sezione chiamata. Tipi di deriva da risolvere immediatamente

AWSControl Tower non cerca differenze rispetto ad altri servizi che funzionano con l'account di gestione CloudTrail CloudWatch, tra cui IAM Identity Center e così via. AWS CloudFormation AWS Config Negli account per bambini non è disponibile alcuna funzione di rilevamento delle deviazioni, in quanto tali account sono protetti da controlli preventivi obbligatori.

Tuttavia, segnala una deriva per quanto riguarda i controlli che fanno parte del AWS Security Hub Service-managed Standard: Control Tower AWS.

Account membro spostato

Questo tipo di deriva si verifica sull'account anziché sull'unità organizzativa. Questo tipo di deriva può verificarsi quando un account membro della AWS Control Tower, l'account di audit o l'account di archiviazione dei registri viene spostato da un'unità organizzativa AWS Control Tower registrata a qualsiasi altra unità organizzativa. Di seguito è riportato un esempio di SNS notifica Amazon quando viene rilevato questo tipo di deriva.

{ "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }

Risoluzioni

Quando si verifica questo tipo di deviazione per un account fornito da Account Factory in un'unità organizzativa con un massimo di 1000 account, è possibile risolverlo nei seguenti modi:

  • Vai alla pagina Organizzazione nella console AWS Control Tower, seleziona l'account e scegli Aggiorna account in alto a destra (l'opzione più veloce per i singoli account).

  • Accedere alla pagina Organizzazione nella console AWS Control Tower, quindi scegliere Registrati nuovamente per l'unità organizzativa che contiene l'account (l'opzione più veloce per più account). Per ulteriori informazioni, consulta Registra un'unità organizzativa esistente con AWS Control Tower.

  • Aggiornamento del prodotto fornito in Account Factory. Per ulteriori informazioni, consulta Aggiorna e sposta gli account di fabbrica dell'account con AWS Control Tower o con AWS Service Catalog.

    Nota

    Se hai diversi account individuali da aggiornare, consulta anche questo metodo per effettuare aggiornamenti con uno script:Fornisci e aggiorna gli account utilizzando l'automazione.

  • Quando si verifica questo tipo di deriva in un'unità organizzativa con più di 1000 account, la risoluzione della deriva può dipendere dal tipo di account spostato, come spiegato nei paragrafi successivi. Per ulteriori informazioni, consulta Aggiorna la tua landing zone.

    • Se un account dotato di Account Factory viene spostato: in un'unità organizzativa con meno di 1000 account, puoi risolvere il problema aggiornando il prodotto di cui hai effettuato il provisioning in Account Factory, registrando nuovamente l'unità organizzativa o aggiornando la landing zone.

      In un'unità organizzativa con più di 1000 account, è necessario risolvere il problema aggiornando ogni account spostato, tramite la console AWS Control Tower o il prodotto fornito, poiché la nuova registrazione dell'unità organizzativa non eseguirà l'aggiornamento. Per ulteriori informazioni, consulta Aggiorna e sposta gli account di fabbrica dell'account con AWS Control Tower o con AWS Service Catalog.

    • Se viene spostato un account condiviso: puoi risolvere il problema derivante dallo spostamento dell'account di controllo o dell'archivio dei log aggiornando la landing zone. Per ulteriori informazioni, consulta Aggiorna la tua landing zone.

Nome di campo obsoleto

Il nome del campo MasterAccountID è stato modificato in conformità ManagementAccountID alle linee guida. AWS Il vecchio nome è obsoleto. A partire dal 2022, gli script che contengono il nome di campo obsoleto non funzioneranno più.

Rimosso account membro

Questo tipo di deriva può verificarsi quando un account membro viene rimosso da un'unità organizzativa AWS Control Tower registrata. L'esempio seguente mostra la SNS notifica Amazon quando viene rilevato questo tipo di deriva.

{ "Message" : "AWS Control Tower has detected that the member account 012345678909 has been removed from organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }

Risoluzione

  • Quando si verifica questo tipo di deriva in un account membro, puoi risolvere il problema aggiornando l'account nella console AWS Control Tower o in Account Factory. Ad esempio, è possibile aggiungere l'account a un'altra unità organizzativa registrata dalla procedura guidata di aggiornamento di Account Factory. Per ulteriori informazioni, consulta Aggiorna e sposta gli account di fabbrica dell'account con AWS Control Tower o con AWS Service Catalog.

  • Se un account condiviso viene rimosso da un'unità organizzativa Foundational, devi risolvere il problema reimpostando la landing zone. Finché questa deriva non sarà risolta, non sarà possibile utilizzare la console AWS Control Tower.

  • Per ulteriori informazioni sulla risoluzione di drift per gli account eOUs, consulta. Se gestisci risorse al di fuori di AWS Control Tower

Nota

In Service Catalog, il prodotto fornito da Account Factory che rappresenta l'account non viene aggiornato per rimuovere l'account. Al contrario, il prodotto sottoposto a provisioning viene visualizzato come TAINTED e in uno stato di errore. Per eseguire la pulizia, vai al Service Catalog, scegli il prodotto fornito, quindi scegli Termina.

Aggiornamento non pianificato a Managed SCP

Questo tipo di deriva può verificarsi quando un controllo SCP for a viene aggiornato nella AWS Organizations console o programmaticamente utilizzando AWS CLI o uno dei. AWS SDKs Di seguito è riportato un esempio di SNS notifica Amazon quando viene rilevato questo tipo di deriva.

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_UPDATED", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }

Risoluzione

Quando si verifica questo tipo di deriva in un'unità organizzativa con un massimo di 1000 account, puoi risolverlo con:

Se si verifica questo tipo di deriva in un'unità organizzativa con più di 1000 account, risolvilo aggiornando la landing zone. Per ulteriori informazioni, consulta Aggiorna la tua landing zone.

SCPAllegato a Managed OU

Questo tipo di deriva può verificarsi quando un controllo SCP per un è collegato a qualsiasi altra unità organizzativa. Questo evento è particolarmente comune quando si lavora OUs dall'esterno della console AWS Control Tower. Di seguito è riportato un esempio di SNS notifica Amazon quando viene rilevato questo tipo di deriva.

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }

Risoluzione

Quando si verifica questo tipo di deriva in un'unità organizzativa con un massimo di 1000 account, puoi risolverlo con:

Se si verifica questo tipo di deriva in un'unità organizzativa con più di 1000 account, risolvilo aggiornando la landing zone. Per ulteriori informazioni, consulta Aggiorna la tua landing zone.

SCPDistaccato da Managed OU

Questo tipo di deriva può verificarsi quando un controllo SCP for a è stato scollegato da un'unità organizzativa gestita da AWS Control Tower. Questo evento è particolarmente comune quando si lavora dall'esterno della console AWS Control Tower. Di seguito è riportato un esempio di SNS notifica Amazon quando viene rilevato questo tipo di deriva.

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_DETACHED_FROM_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }

Risoluzione

Quando si verifica questo tipo di deriva in un'unità organizzativa con un massimo di 1000 account, puoi risolverlo con:

  • Accedere all'unità organizzativa nella console AWS Control Tower per registrare nuovamente l'unità organizzativa (opzione più rapida). Per ulteriori informazioni, consulta Registra un'unità organizzativa esistente con AWS Control Tower.

  • Aggiornamento della landing zone (opzione più lenta). Se la deriva influisce su un controllo obbligatorio, il processo di aggiornamento crea una nuova policy di controllo del servizio (SCP) e la collega all'unità organizzativa per risolvere la deriva. Per ulteriori informazioni su come aggiornare la landing zone, consultaAggiorna la tua landing zone.

Se si verifica questo tipo di deriva in un'unità organizzativa con più di 1000 account, risolvilo aggiornando la landing zone. Se la deriva influisce su un controllo obbligatorio, il processo di aggiornamento crea una nuova politica di controllo del servizio (SCP) e la collega all'unità organizzativa per risolvere la deriva. Per ulteriori informazioni su come aggiornare la landing zone, consultaAggiorna la tua landing zone.

SCPAllegato all'account del membro

Questo tipo di deriva può verificarsi quando un controllo SCP for a è collegato a un account nella console Organizations. Guardrail e i relativi SCPs possono essere attivati OUs (e quindi applicati a tutti gli account registrati di un'unità organizzativa) tramite la console AWS Control Tower. Di seguito è riportato un esempio di SNS notifica Amazon quando viene rilevato questo tipo di deriva.

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_ACCOUNT", "RemediationStep" : "Re-register this organizational unit (OU)", "AccountId" : "012345678909", "PolicyId" : "p-tEXAMPLE" }

Risoluzione

Questo tipo di deriva si verifica sull'account anziché sull'unità organizzativa.

Quando si verifica questo tipo di deriva per gli account di un'unità organizzativa di base, come l'unità organizzativa di sicurezza, la soluzione è aggiornare la landing zone. Per ulteriori informazioni, consulta Aggiorna la tua landing zone.

Quando si verifica questo tipo di deviazione in un'unità organizzativa non di base con un massimo di 1000 account, è possibile risolverlo nei seguenti modi:

Quando si verifica questo tipo di deviazione in un'unità organizzativa con più di 1000 account, è possibile tentare di risolverlo aggiornando la configurazione di fabbrica dell'account per l'account. Potrebbe non essere possibile risolverlo correttamente. Per ulteriori informazioni, consulta Aggiorna la tua landing zone.

Foundational OU eliminata

Questo tipo di deriva si applica solo a AWS Control Tower FoundationalOUs, come Security OU. Può verificarsi se un'unità organizzativa Foundational viene eliminata al di fuori della console AWS Control Tower. Foundational OUs non può essere spostato senza creare questo tipo di deriva, perché spostare un'unità organizzativa equivale a eliminarla e aggiungerla altrove. Quando risolvi la deriva aggiornando la landing zone, AWS Control Tower sostituisce la Foundational OU nella posizione originale. L'esempio seguente mostra una SNS notifica Amazon che potresti ricevere quando viene rilevato questo tipo di deriva.

{ "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ORGANIZATIONAL_UNIT_DELETED", "RemediationStep" : "Delete organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }

Risoluzione

Poiché questa deriva si verifica OUs solo per Foundational, la risoluzione è quella di aggiornare la landing zone. Quando OUs vengono eliminati altri tipi di, AWS Control Tower viene aggiornato automaticamente.

Per ulteriori informazioni sulla risoluzione di drift per gli account eOUs, consulta. Se gestisci risorse al di fuori di AWS Control Tower

Deriva del controllo del Security Hub

Questo tipo di deriva si verifica quando un controllo che fa parte del AWS Security Hub Service-Managed Standard: AWS Control Tower segnala uno stato di deriva. Il AWS Security Hub servizio stesso non segnala uno stato di deriva per questi controlli. Invece, il servizio invia i risultati a AWS Control Tower.

La deriva di controllo del Security Hub può essere rilevata anche se AWS Control Tower non riceve un aggiornamento di stato da Security Hub da più di 24 ore. Se tali risultati non vengono ricevuti come previsto, AWS Control Tower verifica che il controllo sia alla deriva. L'esempio seguente mostra una SNS notifica Amazon che potresti ricevere quando viene rilevato questo tipo di deriva.

{ "Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard", "MasterAccountId" : "123456789XXX", "ManagementAccountId" : "123456789XXX", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SECURITY_HUB_CONTROL_DISABLED", "RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.", "AccountId" : "7876543219XXX", "ControlId" : "PYBETSAGNUZB", "ControlName" : "EBS snapshots should not be publicly restorable", "ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB", "Region" : "us-east-1" }

Risoluzione

Per OUs chi ha meno di 1000 account, la soluzione è registrare nuovamente l'unità organizzativa, che ripristina il controllo allo stato originale. Per qualsiasi unità organizzativa, è possibile rimuovere e riattivare il controllo tramite la console o la AWS Control TowerAPIs, che ripristina anche il controllo.

Per ulteriori informazioni sulla risoluzione di drift per gli account e, consulta. OUs Se gestisci risorse al di fuori di AWS Control Tower

Accesso affidabile disabilitato

Questo tipo di deriva si applica alle zone di atterraggio AWS della Control Tower. Si verifica quando si disabilita l'accesso affidabile alla AWS Control Tower AWS Organizations dopo aver configurato la AWS Control Tower landing zone.

Quando l'accesso affidabile è disabilitato, AWS Control Tower non riceve più eventi di modifica da AWS Organizations. AWSControl Tower si affida a questi eventi di modifica per rimanere sincronizzata. AWS Organizations Di conseguenza, AWS Control Tower potrebbe non rilevare modifiche organizzative negli account eOUs. Ecco perché è importante registrare nuovamente ogni unità organizzativa ogni volta che si aggiorna la landing zone.

Esempio: SNS notifica Amazon

Di seguito è riportato un esempio della SNS notifica Amazon che ricevi quando si verifica questo tipo di deriva.

{ "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "TRUSTED_ACCESS_DISABLED", "RemediationStep" : "Reset Control Tower landing zone." }

Risoluzione

AWSControl Tower ti avvisa quando si verifica questo tipo di deriva nella console AWS Control Tower. La soluzione è resettare la landing zone AWS della Control Tower. Per ulteriori informazioni, consulta Risolvere la deriva.