Eventos de ciclo de vida no AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Eventos de ciclo de vida no AWS Control Tower

Alguns eventos registrados pelo AWS Control Tower são eventos de ciclo de vida. O objetivo de um evento de ciclo de vida é marcar a conclusão de determinadas ações do AWS Control Tower que alteram o estado dos recursos. Os eventos de ciclo de vida se aplicam aos recursos que o AWS Control Tower cria ou gerencia, como unidades organizacionais (OUs), contas e controles.

Características dos eventos do ciclo de vida do AWS Control Tower
  • Para cada evento de ciclo de vida, o log de eventos mostra se a ação de origem do Control Tower foi concluída com êxito ou falhou.

  • AWS CloudTrail registra automaticamente cada evento do ciclo de vida como um evento de serviço não relacionado à API AWS . Para obter mais informações, consulte o Guia AWS CloudTrail do usuário.

  • Cada evento de ciclo de vida também é entregue aos serviços Amazon e EventBridge Amazon CloudWatch Events.

Os eventos de ciclo de vida no AWS Control Tower oferecem dois benefícios principais:
  • Como um evento de ciclo de vida registra a conclusão de uma ação do AWS Control Tower, você pode criar uma regra da Amazon EventBridge ou uma regra da Amazon CloudWatch Events que pode acionar as próximas etapas em seu fluxo de trabalho de automação, com base no estado do evento do ciclo de vida.

  • Os logs fornecem detalhes adicionais para auxiliar os administradores e auditores na revisão de determinados tipos de atividade nas organizações.

Como funcionam os eventos de ciclo de vida

O AWS Control Tower depende de vários serviços para implementar suas ações. Portanto, cada evento de ciclo de vida é registrado somente após uma série de ações ser concluída. Por exemplo, quando você habilita um controle em uma OU, o AWS Control Tower lança uma série de subetapas que implementam a solicitação. O resultado final de toda a série de subetapas é registrado no log como o estado do evento de ciclo de vida.

  • Se cada subetapa subjacente tiver sido concluída com êxito, o estado do evento de ciclo de vida será registrado como Succeeded (Bem-sucedido).

  • Se qualquer uma das subetapas subjacentes não tiver sido concluída com êxito, o estado do evento de ciclo de vida será registrado como Failed (Falhou).

Cada evento do ciclo de vida inclui um timestamp registrado que mostra quando a ação do AWS Control Tower foi iniciada e outro timestamp mostrando quando o evento do ciclo de vida foi concluído, marcando o sucesso ou o fracasso.

Como exibir eventos de ciclo de vida no Control Tower

Você pode visualizar os eventos do ciclo de vida na página Atividades no painel do AWS Control Tower.

  • Para navegar até a página Activities (Atividades), selecione Activities (Atividades) no painel de navegação esquerdo.

  • Para obter mais detalhes sobre um evento específico, selecione-o e escolha o botão View details (Exibir detalhes) no canto superior direito.

Para obter mais informações sobre como integrar eventos do ciclo de vida do AWS Control Tower aos seus fluxos de trabalho, consulte esta postagem do blog, Usando eventos de ciclo de vida para rastrear ações do AWS Control Tower e acionar fluxos de trabalho automatizados.

Comportamento esperado CreateManagedAccount e eventos do UpdateManagedAccount ciclo de vida

Quando você cria uma conta ou inscreve uma conta no AWS Control Tower, essas duas ações chamam a mesma API interna. Se houver um erro durante o processo, ele geralmente ocorre após a criação da conta, mas não está totalmente provisionada. Quando você tenta criar a conta novamente após o erro ou ao tentar atualizar o produto provisionado, o AWS Control Tower vê que a conta já existe.

Como a conta existe, o AWS Control Tower registra o evento do UpdateManagedAccount ciclo de vida em vez do evento do CreateManagedAccount ciclo de vida no final da solicitação de nova tentativa. Talvez você esperasse ver outro CreateManagedAccount evento por causa do erro. No entanto, o evento do UpdateManagedAccount ciclo de vida é o comportamento esperado e desejado.

Se você planeja criar ou inscrever contas no AWS Control Tower usando métodos automatizados, programe a função Lambda UpdateManagedAccountpara procurar eventos do ciclo de vida, bem como eventos do ciclo de vida. CreateManagedAccount

Nomes dos eventos de ciclo de vida

Cada evento do ciclo de vida é nomeado de forma que corresponda à ação originária do AWS Control Tower, que também é registrada pela AWS. CloudTrail Assim, por exemplo, um evento de ciclo de vida originado pelo evento AWS Control Tower CreateManagedAccount CloudTrail é nomeado. CreateManagedAccount

Cada nome na lista a seguir é um link para um exemplo do detalhamento registrado em log no formato JSON. Os detalhes adicionais mostrados nesses exemplos foram retirados dos registros de CloudWatch eventos da Amazon.

Embora o JSON não ofereça suporte a comentários, alguns comentários foram acrescentados nos exemplos para fins explicativos. Eles são precedidos por "//" e aparecem no lado direito dos exemplos.

Nesses exemplos, alguns nomes de conta e de organização foram obscurecidos. Um accountId é sempre uma sequência de 12 números, substituída por "xxxxxxxxxxxx" nos exemplos. Um organizationalUnitID é uma cadeia única de letras e números. A forma foi preservada nos exemplos.

  • CreateManagedAccount: o registro registra se o AWS Control Tower concluiu com sucesso todas as ações para criar e provisionar uma nova conta usando a fábrica de contas.

  • UpdateManagedAccount: o registro registra se o AWS Control Tower concluiu com sucesso todas as ações para atualizar um produto provisionado associado a uma conta que você criou anteriormente usando a fábrica de contas.

  • EnableGuardrail: o registro registra se o AWS Control Tower concluiu com sucesso todas as ações para permitir o controle de uma OU criada pela AWS Control Tower.

  • DisableGuardrail: o registro registra se o AWS Control Tower concluiu com sucesso todas as ações para desativar um controle em uma OU criada pela AWS Control Tower.

  • SetupLandingZone: o registro registra se o AWS Control Tower concluiu com sucesso todas as ações para configurar uma landing zone.

  • UpdateLandingZone: o registro registra se o AWS Control Tower concluiu com sucesso todas as ações para atualizar sua landing zone existente.

  • RegisterOrganizationalUnit: O registro registra se o AWS Control Tower concluiu com sucesso todas as ações para habilitar seus recursos de governança em uma OU.

  • DeregisterOrganizationalUnit: o registro registra se o AWS Control Tower concluiu com sucesso todas as ações para desativar seus recursos de governança em uma OU.

  • PrecheckOrganizationalUnit: o registro registra se o AWS Control Tower detectou algum recurso que impediria a conclusão bem-sucedida da operação de governança do Extend.

As seções a seguir fornecem uma lista dos eventos do ciclo de vida do AWS Control Tower, com exemplos dos detalhes registrados para cada tipo de evento do ciclo de vida.

CreateManagedAccount

Esse evento do ciclo de vida registra se o AWS Control Tower criou e provisionou com sucesso uma nova conta usando a fábrica de contas. Esse evento corresponde ao evento AWS Control Tower CreateManagedAccount CloudTrail . O log de eventos de ciclo de vida inclui o accountName e o accountId da conta recém-criada, e o organizationalUnitName e o organizationalUnitId da UO em que a conta foi colocada.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "CreateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "createManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"XXXXXXXXXXXX" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully created a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }

UpdateManagedAccount

Esse evento do ciclo de vida registra se o AWS Control Tower atualizou com sucesso o produto provisionado associado a uma conta que foi criada anteriormente usando a fábrica de contas. Esse evento corresponde ao evento AWS Control Tower UpdateManagedAccount CloudTrail. O log de eventos de ciclo de vida inclui o accountName e accountId da conta associada e o organizationalUnitName e organizationalUnitId da UO em que a conta atualizada é colocada.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // AWS Control Tower organization management account. "time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateManagedAccount", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateManagedAccountStatus": { "organizationalUnit":{ "organizationalUnitName":"Custom", "organizationalUnitId":"ou-XXXX-l3zc8b3h" }, "account":{ "accountName":"LifeCycle1", "accountId":"624281831893" }, "state":"SUCCEEDED", "message":"AWS Control Tower successfully updated a managed account.", "requestedTimestamp":"2019-11-15T11:45:18+0000", "completedTimestamp":"2019-11-16T12:09:32+0000"} } } }

EnableGuardrail

Esse evento do ciclo de vida registra se o AWS Control Tower habilitou com sucesso um controle em uma OU que está sendo gerenciada pela AWS Control Tower. Esse evento corresponde ao evento AWS Control Tower EnableGuardrail CloudTrail . O registro de eventos do ciclo de vida inclui a guardrailId extremidade guardrailBehavior do controle organizationalUnitName e a extremidade organizationalUnitId da OU na qual o controle está ativado.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ "region": "us-east-1", // AWS Control Tower home region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "EnableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "enableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }

DisableGuardrail

Esse evento de ciclo de vida registra se o AWS Control Tower desativou com sucesso um controle em uma OU que está sendo gerenciada pela AWS Control Tower. Esse evento corresponde ao evento AWS Control Tower DisableGuardrail CloudTrail . O registro de eventos do ciclo de vida inclui a guardrailId guardrailBehavior extremidade do controle organizationalUnitName e a extremidade organizationalUnitId da OU na qual o controle está desativado.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DisableGuardrail", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "disableGuardrailStatus": { "organizationalUnits": [ { "organizationalUnitName": "Custom", "organizationalUnitId": "ou-vwxy-18vy4yro" } ], "guardrails": [ { "guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK", "guardrailBehavior": "DETECTIVE" } ], "state": "SUCCEEDED", "message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.", "requestTimestamp": "2019-11-12T09:01:07+0000", "completedTimestamp": "2019-11-12T09:01:54+0000" } } } }

SetupLandingZone

Esse evento de ciclo de vida registra se o AWS Control Tower configurou com sucesso uma landing zone. Esse evento corresponde ao evento AWS Control Tower SetupLandingZone CloudTrail . O registro de eventos do ciclo de vida inclui orootOrganizationalId, que é o ID da organização que o AWS Control Tower cria a partir da conta de gerenciamento. A entrada de registro também inclui a organizationalUnitName e organizationalUnitId para cada uma das OUs e a accountName e accountId para cada conta, que são criadas quando o AWS Control Tower configura a landing zone.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management-account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "SetupLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "setupLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire lifecycle operation. "message": "AWS Control Tower successfully set up a new landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

UpdateLandingZone

Esse evento de ciclo de vida registra se o AWS Control Tower atualizou com sucesso sua landing zone existente. Esse evento corresponde ao evento AWS Control Tower UpdateLandingZone CloudTrail . O registro de eventos do ciclo de vida inclui orootOrganizationalId, que é o ID da organização (atualizada) governada pela AWS Control Tower. A entrada de registro também inclui a organizationalUnitName e organizationalUnitId para cada uma das OUs e a accountName e accountId para cada conta, que foi criada anteriormente, quando o AWS Control Tower configurou originalmente a landing zone.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID. "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", // Management account ID. "time": "2018-08-30T21:42:18Z", // Event time from CloudTrail. "region": "us-east-1", // Management account CloudTrail region. "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", // Management account ID. "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ. "eventSource": "controltower.amazonaws.com", "eventName": "UpdateLandingZone", "awsRegion": "us-east-1", // AWS Control Tower home region. "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail. "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "updateLandingZoneStatus": { "state": "SUCCEEDED", // Status of entire operation. "message": "AWS Control Tower successfully updated a landing zone.", "rootOrganizationalId" : "r-1234", "organizationalUnits" : [ // Use a list. { "organizationalUnitName": "Security", // Security OU name. "organizationalUnitId": "ou-adpf-302pk332" // Security OU ID. }, { "organizationalUnitName": "Custom", // Custom OU name. "organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID. }, ], "accounts": [ // All created accounts are here. Use a list of "account" objects. { "accountName": "Audit", "accountId": "XXXXXXXXXXXX" }, { "accountName": "Log archive", "accountId": "XXXXXXXXXX" } ], "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

RegisterOrganizationalUnit

Esse evento de ciclo de vida registra se o AWS Control Tower habilitou com sucesso seus recursos de governança em uma OU. Esse evento corresponde ao evento AWS Control Tower RegisterOrganizationalUnit CloudTrail . O registro de eventos do ciclo de vida inclui o fim organizationalUnitName organizationalUnitId da OU que o AWS Control Tower colocou sob sua governança.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "123456789012", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "RegisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "registerOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully registered an organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", "organizationalUnitId": "ou-adpf-302pk332" } "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

DeregisterOrganizationalUnit

Esse evento de ciclo de vida registra se o AWS Control Tower desativou com sucesso seus recursos de governança em uma OU. Esse evento corresponde ao evento AWS Control Tower DeregisterOrganizationalUnit CloudTrail . O registro de eventos do ciclo de vida inclui a extremidade organizationalUnitName organizationalUnitId da OU na qual o AWS Control Tower desativou seus recursos de governança.

{ "version": "0", "id": "999cccaa-eaaa-0000-1111-123456789012", "detail-type": "AWS Service Event via CloudTrail", "source": "aws.controltower", "account": "XXXXXXXXXXXX", "time": "2018-08-30T21:42:18Z", "region": "us-east-1", "resources": [ ], "detail": { "eventVersion": "1.05", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2018-08-30T21:42:18Z", "eventSource": "controltower.amazonaws.com", "eventName": "DeregisterOrganizationalUnit", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "0000000-0000-0000-1111-123456789012", "readOnly": false, "eventType": "AwsServiceEvent", "serviceEventDetails": { "deregisterOrganizationalUnitStatus": { "state": "SUCCEEDED", "message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.", "organizationalUnit" : { "organizationalUnitName": "Test", // Foundational OU name. "organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID. }, "requestedTimestamp": "2018-08-30T21:42:18Z", "completedTimestamp": "2018-08-30T21:42:18Z" } } } }

PrecheckOrganizationalUnit

Esse evento do ciclo de vida registra se o AWS Control Tower realizou com sucesso as pré-verificações em uma OU. Esse evento corresponde ao evento AWS Control Tower PrecheckOrganizationalUnit CloudTrail . O registro de eventos do ciclo de vida contém um campo para os failedPrechecks valoresId,Name, e para cada recurso no qual o AWS Control Tower realizou pré-verificações durante o processo de registro da OU.

O registro de eventos também contém informações sobre as contas aninhadas nas quais as pré-verificações foram realizadas, incluindo os accountName camposaccountId, e. failedPrechecks

Se o failedPrechecks valor estiver vazio, significa que todas as pré-verificações desse recurso foram aprovadas com êxito.

  • Esse evento é emitido somente se houver uma falha na pré-verificação.

  • Esse evento não será emitido se você estiver registrando uma OU vazia.

Exemplo de evento:

{ "eventVersion": "1.08", "userIdentity": { "accountId": "XXXXXXXXXXXX", "invokedBy": "AWS Internal" }, "eventTime": "2021-09-20T22:45:43Z", "eventSource": "controltower.amazonaws.com", "eventName": "PrecheckOrganizationalUnit", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "XXXXXXXXXXXX", "serviceEventDetails": { "precheckOrganizationalUnitStatus": { "organizationalUnit": { "organizationalUnitName": "Ou-123", "organizationalUnitId": "ou-abcd-123456", "failedPrechecks": [ "SCP_CONFLICT" ] }, "accounts": [ { "accountName": "Child Account 1", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Child Account 2", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "FAILED_TO_ASSUME_ROLE" ] }, { "accountName": "Management Account", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [ "MISSING_PERMISSIONS_AF_PRODUCT" ] }, { "accountName": "Child Account 3", "accountId": "XXXXXXXXXXXX", "failedPrechecks": [] }, ... ], "state": "FAILED", "message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.", "requestedTimestamp": "2021-09-20T22:44:02+0000", "completedTimestamp": "2021-09-20T22:45:43+0000" } }, "eventCategory": "Management" }