Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Evita una governance mista durante la configurazione delle regioni
È importante aggiornare tutti gli account in un'unità organizzativa dopo aver esteso la governance AWS della Control Tower a una nuova Regione AWS e dopo aver rimosso la governance AWS della Control Tower da una regione.
La governance mista è una situazione indesiderata che può verificarsi se i controlli che governano un'unità organizzativa non corrispondono completamente ai controlli che disciplinano ciascun account all'interno di un'unità organizzativa. La governance mista si verifica in un'unità organizzativa se gli account non vengono aggiornati dopo che AWS Control Tower ha esteso la governance a una nuova Regione AWS o ha rimosso la governance.
In questa situazione, a determinati account all'interno di un'unità organizzativa possono essere applicati controlli diversi in diverse regioni, rispetto ad altri account dell'unità organizzativa o rispetto alla posizione di governance generale della zona di atterraggio.
In un'unità organizzativa con governance mista, se si effettua il provisioning di un nuovo account, tale nuovo account riceve la stessa regione (aggiornata) e la stessa posizione di governance dell'unità organizzativa della landing zone. Tuttavia, gli account esistenti che non sono ancora stati aggiornati non ricevono la posizione di governance aggiornata della regione.
In generale, una governance mista può creare indicatori di stato contraddittori o imprecisi nella console AWS Control Tower. Ad esempio, durante la governance mista, per gli account che non sono ancora stati aggiornati, le Regioni che hanno scelto di aderire vengono mostrate con lo stato Non governato nella lista registrataOUs.
Nota
AWSControl Tower non consente l'attivazione dei controlli durante uno stato di governance mista.
Comportamento dei controlli durante la governance mista
-
Durante la governance mista, AWS Control Tower non può implementare in modo coerente controlli basati su AWS Config regole (ovvero controlli investigativi) nelle regioni che l'unità organizzativa già mostra come Governate, poiché alcuni account nell'unità organizzativa non sono stati aggiornati. È possibile che venga visualizzato un messaggio
FAILED_TO_ENABLEdi errore. -
Durante la governance mista, se si estende la governance della zona di atterraggio a una regione che ha aderito all'iniziativa mentre uno degli account dell'unità organizzativa non è ancora stato aggiornato, l'
EnableControlAPIoperazione sull'unità organizzativa non riesce per quanto riguarda i controlli investigativi e proattivi. Riceverai un messaggioFAILED_TO_ENABLEdi errore, poiché gli account dei membri non aggiornati all'interno dell'unità organizzativa non sono ancora stati inseriti in tali regioni. -
Durante la governance mista, i controlli che fanno parte dello Standard: AWS Control Tower gestito dal servizio Security Hub non possono segnalare la conformità in modo accurato nelle regioni in cui vi è una mancata corrispondenza tra la configurazione della landing zone e gli account che non vengono aggiornati.
-
La governance mista non modifica il comportamento dei controlli SCP basati (controlli preventivi), che si applicano in modo uniforme a tutti gli account di un'unità organizzativa, in ogni regione governata.
Nota
La governance mista non è la stessa cosa della deriva e non viene segnalata come deriva.
Riparare la governance mista
-
Scegli Aggiorna account per ogni account nell'unità organizzativa che mostra lo stato Aggiorna disponibile nella pagina Organizzazioni della console.
-
Scegli Re-Register OU nella pagina Organizations, che aggiorna automaticamente tutti gli account nell'unità organizzativa, per chi OUs ha meno di 1000 account.
