本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 AWS Control Tower 中检测并解决偏移问题
识别并解决偏移问题是 AWS Control Tower 管理账户管理员的一项常规操作任务。解决偏移问题有助于确保符合监管要求。
在创建着陆区时,着陆区以及所有组织单位 (OUs)、账户和资源都符合您选择的控件强制执行的管理规则。当您和您组织内的成员使用登录区时,此合规性状态可能会发生更改。有些更改可能是偶然的,而有些更改可能会故意响应对时间敏感的操作事件。
偏移检测可帮助您识别需要更改或配置更新的资源以解决偏移。
检测偏移
AWS Control Tower 会自动检测偏移。要检测偏移,AWSControlTowerAdmin 角色需要对管理账户拥有持续访问权限,这样 AWS Control Tower 才能对 AWS Organizations进行只读 API 调用。这些 API 调用显示为 AWS CloudTrail 事件。
偏移会显示在汇总于审计账户的 Amazon Simple Notification Service(Amazon SNS)通知中。每个成员账户中的通知都会向本地 Amazon SNS 主题和 Lambda 函数发送提醒。
对于属于 AWS Security Hub 服务管理标准:AWS Control Tower 的控件,在 AWS Control Tower 控制台的账户和账户详情页面以及亚马逊 SNS 通知中显示偏差。
成员账户管理员可以(并且作为最佳实践,他们应该)订阅特定账户的 SNS 偏移通知。例如,aws-controltower-AggregateSecurityNotifications SNS 主题会提供偏移通知。当发生偏移时,AWS Control Tower 控制台会向管理账户管理员发出指示。有关偏移检测和通知的 SNS 主题的更多信息,请参阅 Drift prevention and notification。
偏移通知去重
如果同一组资源多次出现相同类型的偏移,AWS Control Tower 将仅针对初始偏移实例发送 SNS 通知。如果 AWS Control Tower 检测到该偏移实例已得到修复,则仅当这些相同的资源再次出现偏移时,它才会再次发送通知。
示例:账户偏移和 SCP 偏移按以下方式处理
-
如果您多次修改同一个托管 SCP,则会在首次修改时收到通知。
-
如果您修改托管 SCP,修复偏移,然后再次对其进行修改,您将收到两条通知。
-
如果一个账户在同一个来源和目标之间 OUs 多次移动,而没有先修复偏移,则会发送一条通知,即使该账户在这些来源和目标之间移动了不 OUs 止一次。
账户偏移的类型
-
账户在两者之间移动 OUs
-
账户从组织中删除
注意
当您将账户从一个 OU 转移到另一个 OU 时,之前 OU 中的控件不会移除。如果您在目标 OU 上启用任何基于钩子的新控件,则基于钩子的旧控件将从账户中移除,并由新控件取而代之。当账户发生变化时,必须始终手动移除使用 SCPs 和 AWS Config 规则实现的控件 OUs。
策略偏移的类型
-
SCP 已更新
-
SCP 附加到 OU
-
SCP 与 OU 分离
-
SCP 附加到账户
有关更多信息,请参阅 Types of Governance Drift。
解决偏移
尽管检测是自动的,但解决偏差的步骤必须通过控制台手动完成,对于控件,则必须通过调用 ResetEnabledControlAPI 来完成。
您可以通过两种方式来解决登录区版本中的偏移问题。
-
如果您使用的是最新版本的登录区,则当您依次选择重置和确认后,发生偏移的登录区资源将重置为保存的 AWS Control Tower 配置。登录区版本保持不变。
-
如果您使用的不是最新版本,则必须选择更新。登录区会升级到最新的登录区版本。偏移问题在此过程中得到解决。
关于偏移和 SCP 扫描的注意事项
AWS Control Tower SCPs 每天都会扫描您的托管控件,以验证相应的控件是否正确应用以及它们是否存在偏差。为了检索 SCPs 并对其进行检查,AWS Control Tower 使用您的管理账户中的角色代表您致电 AWS Organizations 。
如果 AWS Control Tower 扫描发现偏移,您将收到通知。对于每个偏移问题,AWS Control Tower 只发送一条通知,因此,如果您的登录区已经处于偏移状态,则除非发现新的偏移项,否则您不会收到额外的通知。
AWS Organizations 限制了每种方法的调 APIs 用频率。该限制以每秒事务数(TPS)表示,也称为 TPS 限制、节流速率或 API 请求速率。当 AWS Control Tower SCPs 通过调用对您进行审计时 AWS Organizations,AWS Control Tower 发出的 API 调用将计入您的 TPS 限制,因为 AWS Control Tower 使用管理账户进行调用。
在极少数情况下,无论是通过第三方解决方案还是通过您编写的自定义脚本 APIs 反复调用,都可能达到此限制。例如,如果您和 AWS Control Tower AWS Organizations APIs 在同一时刻(1 秒内)呼叫相同的电话,并且达到 TPS 限制,则后续调用会受到限制。也就是说,这些调用会返回错误,例如 Rate exceeded。
如果超出 API 请求速率
-
如果 AWS Control Tower 达到限制并受到节流,我们会暂停执行审计,稍后再恢复。
-
如果您的工作负载达到限制并受到节流,则可能会出现从轻微延迟到工作负载中出现致命错误的不同结果,具体取决于工作负载的配置方式。这种边缘情况值得注意。
每日 SCP 扫描包括
-
正在检索您最近的活跃状态 OUs。
-
对于每个注册的 OU,检索所有由 AWS Control Tower SCPs 管理的附加到该组织单元。托管 SCPs 的标识符以开头
aws-guardrails。 -
对于在 OU 上启用的每项预防性控制,验证该控件的策略声明是否存在于 OU 的托管中 SCPs。
一个 OU 可能有一个或多个托管 SCPs。
需要立即解决的偏移类型
大多数类型的偏移可以由管理员解决。有几种类型的偏移必须立即解决,包括删除 AWS Control Tower 登录区所需的组织单位。以下是一些您需要避免的重大偏移示例:
-
不要删除安全 OU:不应删除 AWS Control Tower 在设置登录区期间最初名为安全的组织单位。如果删除该组织单位,系统会显示一条错误消息,指示您立即重置登录区。在完成重置前,您将无法在 AWS Control Tower 中执行任何其他操作。
-
不要删除必需的角色:当您登录控制台时,AWS Control Tower 会检查某些 AWS Identity and Access Management (IAM) 角色是否存在 IAM 角色偏差。如果这些角色缺失或无法访问,您将看到一个错误页面,指示您重置登录区。这些角色包括
AWSControlTowerAdmin、AWSControlTowerCloudTrailRole、AWSControlTowerStackSetRole。有关这些角色的更多信息,请参阅 使用 AWS Control Tower 控制台所需要的权限。
-
不要删除所有其他内容 OUs:如果您在 AWS Control Tower 设置着陆区期间删除了最初名为 Sandbox 的组织单位,则您的着陆区将处于漂移状态,但您仍然可以使用 AWS Control Tower。AWS Control Tower 至少需要一个附加 OU 才能运行,但它不一定是沙盒 OU。
-
不要删除共享帐户:如果您从 Foundational 中删除共享帐户 OUs,例如从安全 OU 中删除登录帐户,则您的着陆区域将处于漂移状态。必须先重置登录区,然后才能继续使用 AWS Control Tower 控制台。
对资源的可修复更改
以下是允许对 AWS Control Tower 资源进行的更改列表,尽管这些更改会造成可解决的偏移。这些允许的操作的结果可在 AWS Control Tower 控制台中查看,尽管可能需要刷新。
有关如何解决由此产生的偏移的更多信息,请参阅 Managing Resources Outside of AWS Control Tower。
允许在 AWS Control Tower 控制台之外进行更改
-
更改已注册 OU 的名称。
-
更改安全 OU 的名称。
-
在 “非基础 OUs版” 中更改成员帐户的名称。
-
更改安全 OU 中 AWS Control Tower 共享账户的名称。
-
删除非基础 OU。
-
从非基础 OU 中删除已注册的账户。
-
更改安全 OU 中共享账户的电子邮件地址。
-
更改已注册 OU 中成员账户的电子邮件地址。
注意
在账户之间移动 OUs 被视为漂移,必须解决这个问题。
漂移和新账户配置
如果您的登录区处于偏移状态,AWS Control Tower 中的注册账户功能将无法使用。在这种情况下,必须通过 AWS Service Catalog 预置新账户。有关说明,请参阅 使用 Account Factory 配置 AWS Service Catalog 账户 。
特别是,如果您通过 Service Catalog 对账户进行了某些更改,例如更改产品组合的名称,则注册账户功能将不起作用。
