As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Tipos de oscilação de governança
O desvio de governança, também chamado de desvio organizacional, ocorre quandoOUs,SCPs, e as contas dos membros são alteradas ou atualizadas. Os tipos de desvio de governança que podem ser detectados no AWS Control Tower são os seguintes:
Outro tipo de deriva é a deriva da landing zone, que pode ser encontrada na conta de gerenciamento. A variação da zona de destino consiste em uma mudança de IAM função ou qualquer tipo de mudança organizacional que afete especificamente as contas básicas OUs e compartilhadas.
Um caso especial de deriva na zona de pouso é a deriva de função, que é detectada quando uma função necessária não está disponível. Se esse tipo de desvio ocorrer, o console exibirá uma página de aviso e algumas instruções sobre como restaurar a função. Sua landing zone não estará disponível até que a mudança de função seja resolvida. Para obter mais informações sobre o drift, consulte Não exclua as funções necessárias na seção chamadaTipos de desvio a serem resolvidos imediatamente.
AWSA Control Tower não se preocupa com outros serviços que funcionam com a conta de gerenciamento, incluindo, CloudTrail CloudWatch, IAM Identity Center,, AWS CloudFormation AWS Config, e assim por diante. Nenhuma detecção de desvios está disponível em contas infantis, porque essas contas são protegidas por controles preventivos obrigatórios.
No entanto, ele relata desvios em relação aos controles que fazem parte do Padrão AWS Security Hub Gerenciado de Serviços: Control Tower AWS.
Conta-membro migrada
Esse tipo de desvio ocorre na conta e não na OU. Esse tipo de desvio pode ocorrer quando uma conta de membro da AWS Control Tower, a conta de auditoria ou a conta de arquivamento de registros é movida de uma OU da AWS Control Tower registrada para qualquer outra OU. A seguir está um exemplo da SNS notificação da Amazon quando esse tipo de desvio é detectado.
{ "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }
Soluções
Quando esse tipo de desvio ocorre em uma conta provisionada pelo Account Factory em uma OU com até 1.000 contas, você pode resolvê-lo da seguinte maneira:
-
Navegando até a página Organização no console do AWS Control Tower, selecionando a conta e escolhendo Atualizar conta no canto superior direito (opção mais rápida para contas individuais).
-
Navegue até a página Organização no console do AWS Control Tower e escolha Registrar novamente na OU que contém a conta (opção mais rápida para várias contas). Para obter mais informações, consulte Registre uma unidade organizacional existente na AWS Control Tower.
-
Atualização do produto provisionado no Account Factory. Para obter mais informações, consulte Atualize e mova contas de fábrica de contas com o AWS Control Tower ou com AWS Service Catalog.
nota
Se você tiver várias contas individuais para atualizar, veja também este método para fazer atualizações com um script:Provisione e atualize contas usando automação.
-
Quando esse tipo de desvio ocorre em uma OU com mais de 1000 contas, a resolução do desvio pode depender do tipo de conta que foi movida, conforme explicado nos próximos parágrafos. Para obter mais informações, consulte Atualize sua landing zone.
-
Se uma conta provisionada pelo Account Factory for movida — Em uma OU com menos de 1.000 contas, você pode resolver o desvio da conta atualizando o produto provisionado no Account Factory, registrando novamente a OU ou atualizando sua landing zone.
Em uma OU com mais de 1.000 contas, você deve resolver o problema fazendo uma atualização em cada conta movida, seja por meio do console AWS Control Tower ou do produto provisionado, pois o novo registro da OU não executará a atualização. Para obter mais informações, consulte Atualize e mova contas de fábrica de contas com o AWS Control Tower ou com AWS Service Catalog.
-
Se uma conta compartilhada for movida, você pode resolver o problema de mover a conta de auditoria ou arquivamento de registros atualizando sua landing zone. Para obter mais informações, consulte Atualize sua landing zone.
-
Nome do campo obsoleto
O nome do campo MasterAccountID foi alterado ManagementAccountID para estar em conformidade com AWS as diretrizes. O nome antigo está obsoleto. A partir de 2022, os scripts que contêm o nome do campo obsoleto não funcionarão mais.
Conta-membro removida
Esse tipo de desvio pode ocorrer quando a conta de um membro é removida de uma unidade organizacional registrada da AWS Control Tower. O exemplo a seguir mostra a SNS notificação da Amazon quando esse tipo de desvio é detectado.
{ "Message" : "AWS Control Tower has detected that the member account012345678909has been removed from organizationo-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }
Resolução
-
Quando esse tipo de desvio ocorre em uma conta de membro, você pode resolver o desvio atualizando a conta no console AWS Control Tower ou no Account Factory. Por exemplo, você pode adicionar a conta a outra OU registrada a partir do assistente de atualização do Account Factory. Para obter mais informações, consulte Atualize e mova contas de fábrica de contas com o AWS Control Tower ou com AWS Service Catalog.
-
Se uma conta compartilhada for removida de uma OU Foundational, você deverá resolver o desvio redefinindo sua landing zone. Até que esse desvio seja resolvido, você não poderá usar o console AWS Control Tower.
-
Para obter mais informações sobre como resolver o desvio de contas eOUs, consulte. Se você gerencia recursos fora do AWS Control Tower
nota
No Service Catalog, o produto provisionado pelo Account Factory que representa a conta não é atualizado para remover a conta. Em vez disso, o produto provisionado é exibido como TAINTED e em um estado de erro. Para limpar, acesse o Service Catalog, escolha o produto provisionado e, em seguida, escolha Terminate.
Atualização não planejada para gerenciada SCP
Esse tipo de desvio pode ocorrer quando um controle SCP de um é atualizado no AWS Organizations console ou programaticamente usando o AWS CLI ou um dos. AWS SDKs A seguir está um exemplo da SNS notificação da Amazon quando esse tipo de desvio é detectado.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_UPDATED", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Resolução
Quando esse tipo de desvio ocorre em uma OU com até 1.000 contas, você pode resolvê-lo da seguinte forma:
-
Navegar até a página Organização no console do AWS Control Tower para registrar novamente a OU (opção mais rápida). Para obter mais informações, consulte Registre uma unidade organizacional existente na AWS Control Tower.
-
Atualizando sua landing zone (opção mais lenta). Para obter mais informações, consulte Atualize sua landing zone.
Quando esse tipo de desvio ocorrer em uma OU com mais de 1000 contas, resolva-o atualizando sua landing zone. Para obter mais informações, consulte Atualize sua landing zone.
SCPAnexado à OU gerenciada
Esse tipo de desvio pode ocorrer quando um controle SCP for conectado a qualquer outra UO. Essa ocorrência é especialmente comum quando você está trabalhando em seu computador OUs de fora do console AWS Control Tower. A seguir está um exemplo da SNS notificação da Amazon quando esse tipo de desvio é detectado.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Resolução
Quando esse tipo de desvio ocorre em uma OU com até 1.000 contas, você pode resolvê-lo da seguinte forma:
-
Navegar até a página Organização no console do AWS Control Tower para registrar novamente a OU (opção mais rápida). Para obter mais informações, consulte Registre uma unidade organizacional existente na AWS Control Tower.
-
Atualizando sua landing zone (opção mais lenta). Para obter mais informações, consulte Atualize sua landing zone.
Quando esse tipo de desvio ocorrer em uma OU com mais de 1000 contas, resolva-o atualizando sua landing zone. Para obter mais informações, consulte Atualize sua landing zone.
SCPSeparado da OU gerenciada
Esse tipo de desvio pode ocorrer quando um controle SCP for separado de uma OU gerenciada pela AWS Control Tower. Essa ocorrência é especialmente comum quando você está trabalhando fora do console do AWS Control Tower. A seguir está um exemplo da SNS notificação da Amazon quando esse tipo de desvio é detectado.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_DETACHED_FROM_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
Resolução
Quando esse tipo de desvio ocorre em uma OU com até 1.000 contas, você pode resolvê-lo da seguinte forma:
-
Navegar até a OU no console AWS Control Tower para registrar novamente a OU (opção mais rápida). Para obter mais informações, consulte Registre uma unidade organizacional existente na AWS Control Tower.
-
Atualizando sua landing zone (opção mais lenta). Se o desvio estiver afetando um controle obrigatório, o processo de atualização cria uma nova política de controle de serviço (SCP) e a anexa à OU para resolver o desvio. Para obter mais informações sobre como atualizar sua landing zone, consulteAtualize sua landing zone.
Quando esse tipo de desvio ocorrer em uma OU com mais de 1000 contas, resolva-o atualizando sua landing zone. Se o desvio estiver afetando um controle obrigatório, o processo de atualização cria uma nova política de controle de serviço (SCP) e a anexa à OU para resolver o desvio. Para obter mais informações sobre como atualizar sua landing zone, consulteAtualize sua landing zone.
SCPAnexado à conta do membro
Esse tipo de desvio pode ocorrer quando um controle SCP for anexado a uma conta no console Organizations. As grades de proteção e suas SCPs podem ser ativadas OUs (e, portanto, aplicadas a todas as contas inscritas de uma OU) por meio do console AWS Control Tower. A seguir está um exemplo da SNS notificação da Amazon quando esse tipo de desvio é detectado.
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_ACCOUNT", "RemediationStep" : "Re-register this organizational unit (OU)", "AccountId" : "012345678909", "PolicyId" : "p-tEXAMPLE" }
Resolução
Esse tipo de desvio ocorre na conta e não na OU.
Quando esse tipo de desvio ocorre para contas em uma OU básica, como a OU de segurança, a resolução é atualizar sua landing zone. Para obter mais informações, consulte Atualize sua landing zone.
Quando esse tipo de desvio ocorre em uma OU não básica com até 1.000 contas, você pode resolvê-lo da seguinte forma:
-
Separar a AWS Control Tower SCP da conta de fábrica da conta.
-
Navegar até a OU no console AWS Control Tower para registrar novamente a OU (opção mais rápida). Para obter mais informações, consulte Registre uma unidade organizacional existente na AWS Control Tower.
Quando esse tipo de desvio ocorre em uma OU com mais de 1.000 contas, você pode tentar resolvê-lo atualizando a configuração de fábrica da conta. Talvez não seja possível resolvê-lo com sucesso. Para obter mais informações, consulte Atualize sua landing zone.
OU básica excluída
Esse tipo de desvio se aplica somente à AWS Control Tower FoundationalOUs, como a Security OU. Isso pode ocorrer se uma OU Foundational for excluída fora do console do AWS Control Tower. O Foundational OUs não pode ser movido sem criar esse tipo de desvio, porque mover uma OU é o mesmo que excluí-la e adicioná-la em outro lugar. Quando você resolve o desvio atualizando sua landing zone, o AWS Control Tower substitui o Foundational OU no local original. O exemplo a seguir mostra uma SNS notificação da Amazon que você pode receber quando esse tipo de desvio for detectado.
{ "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ORGANIZATIONAL_UNIT_DELETED", "RemediationStep" : "Delete organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }
Resolução
Como esse desvio ocorre OUs somente para o Foundational, a resolução é atualizar a landing zone. Quando outros tipos de OUs são excluídos, o AWS Control Tower é atualizado automaticamente.
Para obter mais informações sobre como resolver o desvio de contas eOUs, consulte. Se você gerencia recursos fora do AWS Control Tower
Desvio de controle do Security Hub
Esse tipo de desvio ocorre quando um controle que faz parte do AWS Security Hub Service-Managed Standard: AWS Control Tower relata um estado de desvio. O AWS Security Hub serviço em si não relata um estado de desvio para esses controles. Em vez disso, o serviço envia suas descobertas para a AWS Control Tower.
O desvio de controle do Security Hub também pode ser detectado se a AWS Control Tower não receber uma atualização de status do Security Hub em mais de 24 horas. Se essas descobertas não forem recebidas conforme o esperado, a AWS Control Tower verifica se o controle está em desvio. O exemplo a seguir mostra uma SNS notificação da Amazon que você pode receber quando esse tipo de desvio for detectado.
{ "Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard", "MasterAccountId" : "123456789XXX", "ManagementAccountId" : "123456789XXX", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SECURITY_HUB_CONTROL_DISABLED", "RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.", "AccountId" : "7876543219XXX", "ControlId" : "PYBETSAGNUZB", "ControlName" : "EBS snapshots should not be publicly restorable", "ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB", "Region" : "us-east-1" }
Resolução
Para OUs com menos de 1000 contas, a solução é registrar novamente a OU, o que redefine o controle para o estado original. Para qualquer UO, você pode remover e reativar o controle por meio do console ou da AWS Control TowerAPIs, que também redefine o controle.
Para obter mais informações sobre como resolver o desvio de contas eOUs, consulte. Se você gerencia recursos fora do AWS Control Tower
Acesso confiável desativado
Esse tipo de deriva se aplica às zonas de pouso da AWS Control Tower. Isso ocorre quando você desativa o acesso confiável à AWS Control Tower AWS Organizations depois de configurar sua zona de pouso da AWS Control Tower.
Quando o acesso confiável é desativado, a AWS Control Tower não recebe mais eventos de alteração de AWS Organizations. AWSA Control Tower depende desses eventos de mudança para se manter sincronizada com. AWS Organizations Como resultado, a AWS Control Tower pode perder mudanças organizacionais nas contas OUs e. É por isso que é importante registrar novamente cada OU, sempre que você atualizar sua landing zone.
Exemplo: SNS notificação da Amazon
Veja a seguir um exemplo da SNS notificação da Amazon que você recebe quando esse tipo de desvio ocorre.
{ "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "TRUSTED_ACCESS_DISABLED", "RemediationStep" : "Reset Control Tower landing zone." }
Resolução
AWSO Control Tower notifica você quando esse tipo de desvio ocorre no console da AWS Control Tower. A resolução é redefinir sua zona de pouso da AWS Control Tower. Para obter mais informações, consulte Resolvendo o desvio.
