거버넌스 드리프트 유형 - AWS Control Tower
이동된 멤버 계정제거된 멤버 계정Managed에 대한 계획되지 않은 업데이트 SCPSCP 관리형 OU에 연결됨SCP 관리형 OU에서 분리됨SCP 멤버 계정에 연결됨기본 OU가 삭제됨Security Hub 제어 드리프트신뢰할 수 있는 액세스 비활성화됨

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

거버넌스 드리프트 유형

조직 드리프트라고도 하는 거버넌스 드리프트는 OUs, SCPs및 멤버 계정이 변경되거나 업데이트될 때 발생합니다. AWS Control Tower에서 감지할 수 있는 거버넌스 드리프트의 유형은 다음과 같습니다.

또 다른 유형의 드리프트는 관리 계정을 통해 찾을 수 있는 랜딩 영역 드리프트입니다. 랜딩 영역 드리프트는 IAM 역할 드리프트 또는 특히 기본 OUs 및 공유 계정에 영향을 미치는 모든 유형의 조직 드리프트로 구성됩니다.

랜딩 영역 드리프트의 특별한 경우는 역할 드리프트 로, 필요한 역할을 사용할 수 없는 경우 감지됩니다. 이러한 유형의 드리프트가 발생하면 콘솔에 경고 페이지와 역할 복원 방법에 대한 몇 가지 지침이 표시됩니다. 역할 드리프트가 확인될 때까지 랜딩 영역을 사용할 수 없습니다. 드리프트에 대한 자세한 내용은 이라는 섹션에서 필수 역할을 삭제하지 않기를 참조하세요즉시 해결할 드리프트 유형.

AWS Control Tower는 ,, CloudTrail CloudWatch IAM Identity Center 등을 포함하여 관리 계정으로 작동하는 다른 서비스와 관련된 드리프트 AWS CloudFormation AWS Config를 찾지 않습니다. 이러한 계정은 예방 필수 제어로 보호되므로 하위 계정에서는 드리프트 감지를 사용할 수 없습니다.

그러나 AWS Security Hub 서비스 관리형 표준: AWS 컨트롤 타워 의 일부인 컨트롤에 대한 드리프트는 보고됩니다.

이동된 멤버 계정

이러한 유형의 드리프트는 OU가 아닌 계정에서 발생합니다. 이러한 유형의 드리프트는 AWS Control Tower 멤버 계정, 감사 계정 또는 로그 아카이브 계정이 등록된 AWS Control Tower OU에서 다른 OU로 이동될 때 발생할 수 있습니다. 다음은 이러한 유형의 드리프트가 감지될 때 Amazon SNS 알림의 예입니다.


{
  "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS",
  "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.",
  "AccountId" : "012345678909",
  "SourceId" : "012345678909",
  "DestinationId" : "ou-3210-1EXAMPLE"
}

해결 방법

최대 1,000개의 계정이 있는 OU의 Account Factory 프로비저닝 계정에 대해 이러한 유형의 드리프트가 발생하면 다음을 통해 해결할 수 있습니다.

  • AWS Control Tower 콘솔의 조직 페이지로 이동하여 계정을 선택한 다음 오른쪽 상단의 계정 업데이트를 선택합니다(개별 계정에 가장 빠른 옵션).

  • AWS Control Tower 콘솔의 조직 페이지로 이동한 다음 계정이 포함된 OU에 재등록(여러 계정에 대해 가장 빠른 옵션)을 선택합니다. 자세한 내용은 AWS Control Tower에 기존 조직 단위 등록 단원을 참조하십시오.

  • 계정 팩토리에서 프로비저닝된 제품 업데이트. 자세한 내용은 AWS Control Tower 또는 를 사용하여 계정 공장 계정 업데이트 및 이동 AWS Service Catalog 단원을 참조하십시오.

    참고

    업데이트할 개별 계정이 여러 개 있는 경우 스크립트로 업데이트하는 방법은 도 참조하세요자동화를 사용하여 계정 프로비저닝 및 업데이트.

  • 1,000개 이상의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하는 경우 다음 단락에 설명된 대로 드리프트 해결은 이동된 계정 유형에 따라 달라질 수 있습니다. 자세한 내용은 랜딩 영역 업데이트 단원을 참조하십시오.

    • 계정 팩토리 프로비저닝된 계정이 이동된 경우 - 계정이 1,000개 미만인 OU에서는 계정 팩토리에서 프로비저닝된 제품을 업데이트하거나, OU를 다시 등록하거나, 랜딩 영역을 업데이트하여 계정 드리프트를 해결할 수 있습니다.

      계정이 1,000개 이상인 OU에서는 OU 재등록이 업데이트를 수행하지 않으므로 AWS Control Tower 콘솔 또는 프로비저닝된 제품을 통해 이동된 각 계정을 업데이트하여 드리프트를 해결해야 합니다. 자세한 내용은 AWS Control Tower 또는 를 사용하여 계정 공장 계정 업데이트 및 이동 AWS Service Catalog 단원을 참조하십시오.

    • 공유 계정이 이동된 경우 - 랜딩 영역을 업데이트하여 감사 또는 로그 아카이브 계정 이동에서 드리프트를 해결할 수 있습니다. 자세한 내용은 랜딩 영역 업데이트 단원을 참조하십시오.

더 이상 사용되지 않는 필드 이름

AWS 지침을 준수하기 ManagementAccountID 위해 필드 이름이 MasterAccountID 로 변경되었습니다. 이전 이름은 더 이상 사용되지 않습니다. 2022년부터는 더 이상 사용되지 않는 필드 이름이 포함된 스크립트가 작동하지 않습니다.

제거된 멤버 계정

이러한 유형의 드리프트는 등록된 AWS Control Tower 조직 단위에서 멤버 계정이 제거될 때 발생할 수 있습니다. 다음 예제에서는 이 유형의 드리프트가 감지될 때 Amazon SNS 알림을 보여줍니다.


{
  "Message" : "AWS Control Tower has detected that the member account 012345678909 has been removed from organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION",
  "RemediationStep" : "Add account to Organization and update Account Factory provisioned product",
  "AccountId" : "012345678909"
}

해결 방법

  • 멤버 계정에서 이러한 유형의 드리프트가 발생하면 AWS Control Tower 콘솔 또는 계정 팩토리에서 계정을 업데이트하여 드리프트를 해결할 수 있습니다. 예를 들어 계정 팩토리 업데이트 마법사에서 다른 등록된 OU에 계정을 추가할 수 있습니다. 자세한 내용은 AWS Control Tower 또는 를 사용하여 계정 공장 계정 업데이트 및 이동 AWS Service Catalog 단원을 참조하십시오.

  • 기본 OU에서 공유 계정이 제거된 경우 랜딩 영역을 재설정하여 드리프트를 해결해야 합니다. 이 드리프트가 해결될 때까지 AWS Control Tower 콘솔을 사용할 수 없습니다.

  • 계정 및 의 드리프트 해결에 대한 자세한 내용은 섹션을 OUs참조하세요AWS Control Tower 외부에서 리소스를 관리하는 경우.

참고

서비스 카탈로그에서 계정을 나타내는 Account Factory 프로비저닝 제품은 계정을 제거하도록 업데이트되지 않습니다. 대신 프로비저닝된 제품이 TAINTED 및 오류 상태로 표시됩니다. 정리하려면 서비스 카탈로그로 이동하여 프로비저닝된 제품을 선택한 다음 종료를 선택합니다.

Managed에 대한 계획되지 않은 업데이트 SCP

이러한 유형의 드리프트는 제어SCP용 가 AWS Organizations 콘솔에서 업데이트되거나 AWS CLI 또는 중 하나를 사용하여 프로그래밍 방식으로 업데이트될 때 발생할 수 있습니다AWSSDKs. 다음은 이러한 유형의 드리프트가 감지될 때 Amazon SNS 알림의 예입니다.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_UPDATED",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

해결 방법

최대 1,000개의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하면 다음을 통해 해결할 수 있습니다.

1,000개 이상의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하면 랜딩 영역을 업데이트하여 해결합니다. 자세한 내용은 랜딩 영역 업데이트 단원을 참조하십시오.

SCP 관리형 OU에 연결됨

이러한 유형의 드리프트는 컨트롤SCP용 이 다른 OU에 연결될 때 발생할 수 있습니다. 이러한 현상은 AWS Control Tower 콘솔 외부OUs에서 에서 작업할 때 특히 일반적입니다. 다음은 이러한 유형의 드리프트가 감지될 때 Amazon SNS 알림의 예입니다.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

해결 방법

최대 1,000개의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하면 다음을 통해 해결할 수 있습니다.

1,000개 이상의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하면 랜딩 영역을 업데이트하여 해결합니다. 자세한 내용은 랜딩 영역 업데이트 단원을 참조하십시오.

SCP 관리형 OU에서 분리됨

이러한 유형의 드리프트는 컨트롤 타워에서 관리하는 OU에서 AWS 컨트롤SCP용 이 분리되었을 때 발생할 수 있습니다. 이러한 현상은 AWS Control Tower 콘솔 외부에서 작업할 때 특히 일반적입니다. 다음은 이러한 유형의 드리프트가 감지될 때 Amazon SNS 알림의 예입니다.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_DETACHED_FROM_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

해결 방법

최대 1,000개의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하면 다음을 통해 해결할 수 있습니다.

  • AWS Control Tower 콘솔에서 OU로 이동하여 OU를 다시 등록합니다(가장 빠른 옵션). 자세한 내용은 AWS Control Tower에 기존 조직 단위 등록 단원을 참조하십시오.

  • 랜딩 영역 업데이트(느린 옵션). 드리프트가 필수 제어에 영향을 미치는 경우 업데이트 프로세스는 새 서비스 제어 정책(SCP)을 생성하고 이를 OU에 연결하여 드리프트를 해결합니다. 랜딩 영역을 업데이트하는 방법에 대한 자세한 내용은 섹션을 참조하세요랜딩 영역 업데이트.

1,000개 이상의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하면 랜딩 영역을 업데이트하여 해결합니다. 드리프트가 필수 제어에 영향을 미치는 경우 업데이트 프로세스는 새 서비스 제어 정책(SCP)을 생성하고 이를 OU에 연결하여 드리프트를 해결합니다. 랜딩 영역을 업데이트하는 방법에 대한 자세한 내용은 섹션을 참조하세요랜딩 영역 업데이트.

SCP 멤버 계정에 연결됨

이러한 유형의 드리프트는 컨트롤SCP용 이 Organizations 콘솔의 계정에 연결될 때 발생할 수 있습니다. AWS Control Tower 콘솔을 통해 Guardrail 및 Guardrail을 에서 활성화할 SCPs 수 있습니다OUs(따라서 모든 OU 등록 계정에 적용). 다음은 이러한 유형의 드리프트가 감지될 때 Amazon SNS 알림의 예입니다.


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_ACCOUNT",
  "RemediationStep" : "Re-register this organizational unit (OU)",
  "AccountId" : "012345678909",
  "PolicyId" : "p-tEXAMPLE"
}

해결 방법

이러한 유형의 드리프트는 OU가 아닌 계정에서 발생합니다.

보안 OU와 같은 기본 OU의 계정에 대해 이러한 유형의 드리프트가 발생하면 해결 방법은 랜딩 영역을 업데이트하는 것입니다. 자세한 내용은 랜딩 영역 업데이트 단원을 참조하십시오.

최대 1,000개의 계정이 있는 비기본 OU에서 이러한 유형의 드리프트가 발생하면 다음을 통해 해결할 수 있습니다.

  • 계정 팩토리 계정SCP에서 AWS Control Tower 분리

  • AWS Control Tower 콘솔에서 OU로 이동하여 OU를 다시 등록합니다(가장 빠른 옵션). 자세한 내용은 AWS Control Tower에 기존 조직 단위 등록 단원을 참조하십시오.

1,000개 이상의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하면 계정에 대한 계정 팩토리 구성을 업데이트하여 문제를 해결하려고 시도할 수 있습니다. 문제를 성공적으로 해결하지 못할 수 있습니다. 자세한 내용은 랜딩 영역 업데이트 단원을 참조하십시오.

기본 OU가 삭제됨

이 유형의 드리프트는 보안 OUOUs와 같은 AWS Control Tower Foundational 에만 적용됩니다. 기본 OU가 AWS Control Tower 콘솔 외부에서 삭제되는 경우 발생할 수 있습니다. OU를 이동하는 것은 OU를 삭제한 다음 다른 위치에 추가하는 것과 동일하기 때문에 이러한 유형의 드리프트를 생성하지 않으면 기본 드리프트를 이동할 수 OUs 없습니다. 랜딩 영역을 업데이트하여 드리프트를 해결하면 AWS Control Tower가 원래 위치의 기본 OU를 대체합니다. 다음 예제는 이러한 유형의 드리프트가 감지될 때 수신할 수 있는 Amazon SNS 알림을 보여줍니다.


{
  "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ORGANIZATIONAL_UNIT_DELETED",
  "RemediationStep" : "Delete organizational unit in Control Tower",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE"
}

해결 방법

이 드리프트는 FoundationalOUs에서만 발생하므로 해결 방법은 랜딩 영역을 업데이트하는 것입니다. 다른 유형의 OUs 이 삭제되면 AWS Control Tower가 자동으로 업데이트됩니다.

계정 및 의 드리프트 해결에 대한 자세한 내용은 섹션을 OUs참조하세요AWS Control Tower 외부에서 리소스를 관리하는 경우.

Security Hub 제어 드리프트

이러한 유형의 드리프트는 AWS Security Hub 서비스 관리형 표준: AWS Control Tower의 일부인 컨트롤이 드리프트 상태를 보고할 때 발생합니다. AWS Security Hub 서비스 자체는 이러한 제어에 대한 드리프트 상태를 보고하지 않습니다. 대신 서비스는 조사 결과를 AWS Control Tower로 전송합니다.

Security Hub 컨트롤 드리프트는 AWS Control Tower가 24시간 이상 Security Hub로부터 상태 업데이트를 수신하지 못한 경우에도 감지할 수 있습니다. 이러한 결과가 예상대로 수신되지 않으면 AWS Control Tower는 컨트롤이 드리프트 상태인지 확인합니다. 다음 예제는 이러한 유형의 드리프트가 감지될 때 수신할 수 있는 Amazon SNS 알림을 보여줍니다.

{
"Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard",
"MasterAccountId" : "123456789XXX",
"ManagementAccountId" : "123456789XXX",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "SECURITY_HUB_CONTROL_DISABLED",
"RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.",
"AccountId" : "7876543219XXX",
"ControlId" : "PYBETSAGNUZB",
"ControlName" : "EBS snapshots should not be publicly restorable",
"ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB",
"Region" : "us-east-1"
}

해결 방법

계정이 1,000OUs개 미만인 의 경우 해결 방법은 OU를 다시 등록하여 제어를 원래 상태로 재설정하는 것입니다. 모든 OU의 경우 콘솔 또는 AWS 컨트롤 타워 를 통해 컨트롤을 제거하고 다시 활성화할 수 APIs있습니다. 컨트롤도 재설정됩니다.

계정 및 의 드리프트 해결에 대한 자세한 내용은 섹션을 OUs참조하세요AWS Control Tower 외부에서 리소스를 관리하는 경우.

신뢰할 수 있는 액세스 비활성화됨

이 유형의 드리프트는 AWS Control Tower 랜딩 영역에 적용됩니다. AWS Control Tower 랜딩 영역을 설정한 AWS Organizations 후 에서 AWS Control Tower에 대한 신뢰할 수 있는 액세스를 비활성화할 때 발생합니다.

신뢰할 수 있는 액세스가 비활성화되면 AWS Control Tower는 더 이상 에서 변경 이벤트를 수신하지 않습니다 AWS Organizations. AWS Control Tower는 이러한 변경 이벤트에 의존하여 와 동기화 상태를 유지합니다 AWS Organizations. 따라서 AWS Control Tower는 계정 및 의 조직 변경 사항을 놓칠 수 있습니다OUs. 따라서 랜딩 영역을 업데이트할 때마다 각 OU를 다시 등록하는 것이 중요합니다.

예: Amazon SNS 알림

다음은 이러한 유형의 드리프트가 발생할 때 수신되는 Amazon SNS 알림의 예입니다.

{
  "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "TRUSTED_ACCESS_DISABLED",
  "RemediationStep" : "Reset Control Tower landing zone."
}

해결 방법

AWS Control Tower 콘솔에서 이러한 유형의 드리프트가 발생할 때 AWS Control Tower가 이를 알립니다. 해결 방법은 AWS Control Tower 랜딩 존을 재설정하는 것입니다. 자세한 내용은 드리프트 해결을 참조하세요.