本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 AWS Control Tower 中检测并解决偏差
识别和解决偏差问题是 AWS Control Tower 管理账户管理员的一项常规操作任务。解决偏差问题有助于确保您遵守治理要求。
创建着陆区时,着陆区以及所有组织单位 (OU)、账户和资源都符合您选择的控件强制执行的管理规则。当您和您的组织成员使用 landing zone 时,这种合规状态可能会发生变化。有些更改可能是偶然的,而有些更改可能会故意响应对时间敏感的操作事件。
偏差检测帮助您标识需要更改或配置更新的资源以消除偏差。
检测漂移
AWS Control Tower 会自动检测偏差。要检测偏差,该AWSControlTowerAdmin
角色需要持续访问您的管理账户,这样 AWS Control Tower 才能对进行只读 API 调用 AWS Organizations。这些 API 调用显示为 AWS CloudTrail 事件。
漂移出现在审计账户中汇总的亚马逊简单通知服务 (Amazon SNS) Simple Notification 中。每个成员账户中的通知都会向本地 Amazon SNS 主题和 Lambda 函数发送提醒。
对于属于 AWS Security Hub 服务管理标准:AWS Control Tower 的控件,在 AWS Control Tower 控制台的账户和账户详情页面以及亚马逊 SNS 通知中显示偏差。
成员账户管理员可以(作为最佳实践,他们应该)订阅特定账户的 SNS 偏差通知。例如,aws-controltower-AggregateSecurityNotifications
SNS 主题提供偏差通知。当出现偏差时,AWS Control Tower 控制台会向管理账户管理员发出指示。有关偏差检测和通知的 SNS 主题的更多信息,请参阅漂移防护和通知。
漂移通知重复数据删除
如果同一组资源多次出现相同类型的偏移,AWS Control Tower 将仅针对初始偏移实例发送 SNS 通知。如果 AWS Control Tower 检测到该偏差实例已得到修复,则仅当这些相同的资源再次出现偏移时,它才会再次发送通知。
示例:账户漂移和 SCP 漂移按以下方式处理
-
如果您多次修改同一个托管 SCP,则首次修改该托管 SCP 时会收到通知。
-
如果您修改托管 SCP,然后修复偏差,然后再次对其进行修改,您将收到两条通知。
-
如果一个账户在同一个源和目标 OU 之间多次移动,而没有先修复偏移,则会发送一条通知,即使该账户在这些 OU 之间移动了不止一次。
账户漂移的类型
-
账户在 OU 之间移动
-
已从组织中移除账户
注意
当您将账户从一个 OU 转移到另一个 OU 时,之前的 OU 中的控制不会被移除。如果您在目标 OU 上启用任何新的基于挂钩的控件,则旧的 OU 基于挂钩的控件已从账户中移除,新控件取而代之。当账户更改 OU 时,必须手动移除使用 SCP 和 AWS Config 规则实施的控件。
政策偏差的类型
-
SCP 已更新
-
SCP 已连接到 OU
-
SCP 已与 OU 分离
-
SCP 已绑定到账户
有关更多信息,请参阅治理偏差的类型。
解决漂移问题
虽然检测是自动进行的,但消除偏差的步骤必须通过控制台来完成。
当你采取措施解决 landing zone 版本上的漂移问题时,可能有两种行为。
-
如果您使用的是最新的着陆区版本,则当您选择 “重置” 然后选择 “确认” 时,您的漂移着陆区资源将重置为保存的 AWS Control Tower 配置。landing zone 版本保持不变。
-
如果您使用的不是最新版本,则必须选择 “更新”。着陆区已升级到最新的着陆区版本。漂移问题已作为此过程的一部分得到解决。
关于漂移和 SCP 扫描的注意事项
AWS Control Tower 每天都会扫描您的托管 SCP,以验证相应的控制措施是否正确应用并且没有偏差。为了检索 SCP 并对其进行检查,AWS Control Tower 使用您的管理账户中的角色代表您致电 AWS Organizations 。
如果 AWS Control Tower 扫描发现偏差,您将收到通知。对于每个漂移问题,AWS Control Tower 只发送一条通知,因此,如果您的着陆区已经处于漂移状态,则除非找到新的漂移物品,否则您将不会收到其他通知。
AWS Organizations 限制其每个 API 的调用频率。此限制以每秒事务数 (TPS) 表示,称为 TPS 限制、限制速率或 API 请求速率。当 AWS Control Tower 通过调用来审核您的 SCP 时 AWS Organizations,AWS Control Tower 发出的 API 调用将计入您的 TPS 限制,因为 AWS Control Tower 使用管理账户进行调用。
在极少数情况下,无论是通过第三方解决方案还是通过您编写的自定义脚本重复调用相同的 API,都可能达到此限制。例如,如果您和 AWS Control Tower 在同一时间(1 秒内)调用相同的 AWS Organizations API,并且达到 TPS 限制,则后续调用会受到限制。也就是说,这些调用会返回错误,例如Rate exceeded
。
如果超过 API 请求速率
-
如果 AWS Control Tower 达到限制并受到限制,我们会暂停执行审计,稍后再恢复。
-
如果您的工作负载达到限制并受到限制,则结果可能从轻微的延迟一直到工作负载中的致命错误,具体取决于工作负载的配置方式。这种边缘情况值得注意。
每日 SCP 扫描包括
-
正在检索您最近处于活动状态的 OU。
-
对于每个注册的 OU,检索所有由 AWS Control Tower 管理的、附加到该 OU 的 SCP。托管 SCP 的标识符以开头。
aws-guardrails
-
对于 OU 上启用的每项预防性控制,验证该控制的策略声明是否存在于 OU 的托管 SCP 中。
一个 OU 可能有一个或多个托管 SCP。
需要立即解决的漂移类型
大多数类型的偏差可以由管理员解决。必须立即解决一些类型的偏差,包括删除 AWS Control Tower 着陆区所需的组织单位。以下是一些您可能希望避免的重大偏差示例:
-
不要删除安全 OU:不应删除 AWS Control Tower 在设置着陆区期间最初名为 “安全” 的组织单位。如果将其删除,则会看到一条错误消息,指示您立即重置着陆区。在重置完成之前,您将无法在 AWS Control Tower 中执行任何其他操作。
-
不要删除必需的角色:当您登录控制台时,AWS Control Tower 会检查某些 AWS Identity and Access Management (IAM) 角色是否存在 IAM 角色偏差。如果缺少这些角色或无法访问这些角色,您将看到一个错误页面,指示您重置着陆区。这些角色是
AWSControlTowerAdmin
AWSControlTowerCloudTrailRole
AWSControlTowerStackSetRole
。有关这些角色的更多信息,请参阅使用 AWS Control Tower 控制台所需的权限。
-
不要删除所有其他 OU:如果您在 AWS Control Tower 设置着陆区期间删除了最初名为 Sandbox 的组织单位,则您的着陆区将处于漂移状态,但您仍然可以使用 AWS Control Tower。AWS Control Tower 至少需要一个额外的 OU 才能运行,但它不一定是沙盒 OU。
-
不要删除共享帐户:如果您从 Foundational OU 中删除共享帐户,例如从安全 OU 中删除登录帐户,则您的着陆区域将处于漂移状态。必须先重置着陆区,然后才能继续使用 AWS Control Tower 控制台。
可修复的资源变更
以下是允许对 AWS Control Tower 资源进行更改的列表,尽管这些更改会造成可解决的偏差。这些允许的操作的结果可以在 AWS Control Tower 控制台中查看,但可能需要刷新。
有关如何解决由此产生的偏差的更多信息,请参阅在 AWS Control Tower 之外管理资源。
允许在 AWS Control Tower 控制台之外进行更改
-
更改已注册 OU 的名称。
-
更改安全 OU 的名称。
-
更改非基础 OU 中成员帐户的名称。
-
在安全 OU 中更改 AWS Control Tower 共享账户的名称。
-
删除非基础 OU。
-
从非基础 OU 中删除已注册的账户。
-
在安全 OU 中更改共享账户的电子邮件地址。
-
更改已注册 OU 中成员账户的电子邮件地址。
注意
在 OU 之间转移账户被视为漂移,必须解决这个问题。
偏差和新账户预配置
如果您的着陆区处于漂移状态,AWS Control Tower 中的注册账户功能将无法使用。在这种情况下,您必须通过 AWS Service Catalog 配置新账户。有关说明,请参阅使用 Account Factory 配置 AWS Service Catalog 账户 。
特别是,如果您通过 Service Catalog 对账户进行了某些更改,例如更改投资组合的名称,则注册账户功能将无法使用。