本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
监管偏差类型
当、和成员账户发生更改或更新时 OUsSCPs,就会发生治理偏差,也称为组织漂移。在 Control Tower 中可以检测到的AWS治理偏差类型如下:
另一种类型的漂移是 l anding zone 漂移,可以通过管理账户找到。着陆区漂移由IAM角色偏移或任何类型的组织偏移组成,这些偏差会特别影响基础账户OUs和共享账户。
landing zone 漂移的一个特殊情况是角色漂移,当所需角色不可用时,就会检测到角色漂移。如果出现这种偏差,控制台将显示警告页面和一些有关如何恢复角色的说明。在角色偏差问题得到解决之前,你的着陆区域不可用。有关漂移的更多信息,请参阅名为 “不要删除必需角色” 一节中的需要立即解决的漂移类型。
AWSControl Tower 不会在使用管理账户的其他服务(包括 CloudTrail、、Ident IAM ity Center、 AWS CloudFormation AWS Config、等)方面寻找偏差。 CloudWatch儿童账户中没有偏差检测功能,因为这些账户受预防性强制控制措施的保护。
但是,它确实报告了AWS Security Hub 服务管理标准:Control Tower 中有关AWS控件的偏差。
已移动成员账户
这种类型的偏差发生在账户上,而不是OU上。当 Cont AWS rol Tower 成员帐户、审计帐户或日志存档帐户从注册的 Cont AWS rol Tower 组织单位转移到任何其他 OU 时,可能会发生这种偏差。以下是检测到此类偏差时Amazon SNS 通知的示例。
{ "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }
解决方法
当 OU 中设置的 Account Factory 账户出现这种偏差时,您可以通过以下方式解决:
-
在 Cont AWS rol Tower 控制台中导航到 “组织” 页面,选择账户,然后选择右上角的 “更新账户”(个人账户最快的选项)。
-
在 Cont AWS rol Tower 控制台中导航到 “组织” 页面,然后为包含该账户的 OU 选择 “重新注册”(多个账户的最快选项)。有关更多信息,请参阅 在 Cont AWS rol Tower 中注册现有组织单位。
-
在 Account Factory 中更新预配置的产品。有关更多信息,请参阅 使用 Control Tower 或使用 Cont AWS rol Tower 更新和移动账户工厂账户 AWS Service Catalog。
注意
如果您有多个个人帐户要更新, 另请参阅此使用脚本进行更新的方法:使用自动化配置和更新账户.
-
当这种类型的漂移发生在拥有超过 1000 个账户的 OU 中时,漂移解决方案可能取决于转移了哪种类型的账户,如下文所述。有关更多信息,请参阅 更新你的着陆区。
-
如果 Account Factory 配置的账户被移动 — 在账户少于 1000 的 OU 中,您可以通过在 Account Factory 中更新已配置的产品、重新注册 OU 或更新您的着陆区域来解决账户偏移问题。
在拥有超过 1000 个账户的 OU 中,您必须通过 Control Tower AWS 控制台或预配置产品对每个已移动的账户进行更新,从而解决偏差问题,因为重新注册 OU 不会执行更新。有关更多信息,请参阅 使用 Control Tower 或使用 Cont AWS rol Tower 更新和移动账户工厂账户 AWS Service Catalog。
-
如果共享帐户被移动 — 您可以通过更新 landing zone 来解决移动审核或日志存档帐户的偏差。有关更多信息,请参阅 更新你的着陆区。
-
已弃用的字段名称
为了符合 AWS 指导方针ManagementAccountID,字段名称MasterAccountID已更改。旧名称已被弃用。从 2022 年开始,包含已弃用字段名称的脚本将不再起作用。
已删除成员账户
当从注册的 Cont AWS rol Tower 组织单位中删除成员帐户时,可能会发生这种偏差。以下示例显示了检测到此类偏差时的 Amazon SNS 通知。
{ "Message" : "AWS Control Tower has detected that the member account012345678909has been removed from organizationo-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }
解决方案
-
当成员账户中出现此类偏差时,您可以通过在 Control Tower AWS 控制台或 Account Factory 中更新账户来解决偏移问题。例如,您可以通过 Account Factory 更新向导将该账户添加到另一个已注册的 OU。有关更多信息,请参阅 使用 Control Tower 或使用 Cont AWS rol Tower 更新和移动账户工厂账户 AWS Service Catalog。
-
如果共享帐户已从基础组织单位中移除,则必须通过重置着陆区来解决这个问题。在此问题得到解决之前,您将无法使用 Cont AWS rol Tower 控制台。
-
有关解析账户和漂移的更多信息OUs,请参阅如果您在 AWS Control Tower 之外管理资源。
注意
在 Service Catalog 中,代表账户的 Account Factory 预配置产品不会更新以删除该账户。相反,预配置产品显示为 TAINTED 且处于错误状态。要进行清理,请转至 Service Catalog,选择已配置的产品,然后选择 “终止”。
计划外更新至托管 SCP
当在控制 AWS Organizations 台中更新控件或者使用或中的一个以编程方式更新控件时,可能会发生这种偏差。SCP AWS CLI AWS SDKs以下是检测到此类偏差时Amazon SNS 通知的示例。
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_UPDATED", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
解决方案
当在拥有多达 1000 个账户的 OU 中出现这种偏差时,您可以通过以下方式解决:
-
在 Cont AWS rol Tower 控制台中导航到 “组织” 页面以重新注册 OU(最快的选项)。有关更多信息,请参阅 在 Cont AWS rol Tower 中注册现有组织单位。
-
更新您的着陆区(速度较慢的选项)。有关更多信息,请参阅 更新你的着陆区。
当拥有超过 1000 个账户的 OU 中发生此类偏差时,请通过更新您的着陆区来解决该问题。有关更多信息,请参阅 更新你的着陆区。
SCP已连接到托管 OU
当 for a 控件连接到任何其他 OU 时,可能会发生这种偏差。SCP当您OUs从 Control Tower AWS 控制台之外进行操作时,这种情况尤其常见。以下是检测到此类偏差时Amazon SNS 通知的示例。
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
解决方案
当在拥有多达 1000 个账户的 OU 中出现这种偏差时,您可以通过以下方式解决:
-
在 Cont AWS rol Tower 控制台中导航到 “组织” 页面以重新注册 OU(最快的选项)。有关更多信息,请参阅 在 Cont AWS rol Tower 中注册现有组织单位。
-
更新您的着陆区(速度较慢的选项)。有关更多信息,请参阅 更新你的着陆区。
当拥有超过 1000 个账户的 OU 中发生此类偏差时,请通过更新您的着陆区来解决该问题。有关更多信息,请参阅 更新你的着陆区。
SCP已从托管 OU 中分离
当 for a 控件与 Cont SCP rol Tower 管理的 OU 分离时,可能会发生这种偏差。AWS当你在 Control Tower AWS 控制台之外工作时,这种情况尤其常见。以下是检测到此类偏差时Amazon SNS 通知的示例。
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_DETACHED_FROM_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }
解决方案
当在拥有多达 1000 个账户的 OU 中出现这种偏差时,您可以通过以下方式解决:
-
在 Cont AWS rol Tower 控制台中导航到 OU 以重新注册 OU(最快的选项)。有关更多信息,请参阅 在 Cont AWS rol Tower 中注册现有组织单位。
-
更新您的着陆区(速度较慢的选项)。如果偏移影响了强制控制,则更新过程会创建一个新的服务控制策略 (SCP) 并将其附加到 OU 以解决偏移问题。有关如何更新 landing zone 的更多信息,请参阅更新你的着陆区。
当拥有超过 1000 个账户的 OU 中发生此类偏差时,请通过更新您的着陆区来解决该问题。如果偏移影响了强制控制,则更新过程会创建一个新的服务控制策略 (SCP) 并将其附加到 OU 以解决偏移问题。有关如何更新 landing zone 的更多信息,请参阅更新你的着陆区。
SCP已绑定到会员账号
在 Or SCP ganizations 控制台中将 for a 控件附加到账户时,可能会发生这种偏差。SCPs可以通过 Control Tower AWS 控制台启用护栏及其功能OUs(从而应用于 OU 的所有注册账户)。以下是检测到此类偏差时Amazon SNS 通知的示例。
{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345(p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_ACCOUNT", "RemediationStep" : "Re-register this organizational unit (OU)", "AccountId" : "012345678909", "PolicyId" : "p-tEXAMPLE" }
解决方案
这种类型的偏差发生在账户上,而不是OU上。
当基础组织单元(例如安全 OU)中的帐户出现这种偏差时,解决方案是更新您的着陆区。有关更多信息,请参阅 更新你的着陆区。
当在拥有最多 1000 个账户的非基础 OU 中出现这种偏差时,您可以通过以下方式解决:
-
将 Cont AWS rol Tower SCP 与账户出厂账户分离。
-
在 Cont AWS rol Tower 控制台中导航到 OU 以重新注册 OU(最快的选项)。有关更多信息,请参阅 在 Cont AWS rol Tower 中注册现有组织单位。
当拥有超过 1000 个账户的 OU 中出现这种偏差时,您可以尝试通过更新该账户的账户出厂配置来解决该问题。可能无法成功解决这个问题。有关更多信息,请参阅 更新你的着陆区。
已删除基础 OU
这种偏差仅适用于 Cont AWS rol Tower FoundationalOUs,例如安全 OU。如果在 Control Tower AWS 控制台之外删除了基础 OU,则可能会发生这种情况。如果不创建这种类型的漂移,就OUs无法移动 Foundational,因为移动 OU 与将其删除然后将其添加到其他地方相同。当你通过更新着陆区来解决漂移问题时,Cont AWS rol Tower 会取代原始位置的基础 OU。以下示例显示了检测到此类偏差时您可能会收到的 Amazon SNS 通知。
{ "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ORGANIZATIONAL_UNIT_DELETED", "RemediationStep" : "Delete organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }
解决方案
由于这种偏差OUs仅发生在 Foundational 中,因此解决方案是更新着陆区。删除其他类型OUs的,Cont AWS rol Tower 会自动更新。
有关解析账户和漂移的更多信息OUs,请参阅如果您在 AWS Control Tower 之外管理资源。
Security Hub 控制偏差
当属于AWS Security Hub 服务管理标准:Control Tower 的AWS控件报告偏差状态时,就会发生这种偏差。该 AWS Security Hub 服务本身不会报告这些控件的偏移状态。相反,该服务将其调查结果发送给 Cont AWS rol Tower。
如果AWS控制塔在 24 小时内没有收到来自 Security Hub 的状态更新,也可以检测到 Security Hub 控制偏差。如果未按预期收到这些发现,Cont AWS rol Tower 会验证控制是否处于漂移状态。以下示例显示了检测到此类偏差时您可能会收到的 Amazon SNS 通知。
{ "Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard", "MasterAccountId" : "123456789XXX", "ManagementAccountId" : "123456789XXX", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SECURITY_HUB_CONTROL_DISABLED", "RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.", "AccountId" : "7876543219XXX", "ControlId" : "PYBETSAGNUZB", "ControlName" : "EBS snapshots should not be publicly restorable", "ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB", "Region" : "us-east-1" }
解决方案
对于OUs少于 1000 个账户的账户,解决方案是重新注册 OU,这会将控件重置为原始状态。对于任何 OU,您可以通过控制台或 Control Tower 移除并重新启用控件APIs,AWS控制台或控制塔也会重置控件。
有关解析账户和漂移的更多信息OUs,请参阅如果您在 AWS Control Tower 之外管理资源。
已禁用可信访问
这种漂移适用于 Cont AWS rol Tower 着陆区。当你在设置控制塔着陆区 AWS Organizations 后禁用对AWS控制塔的可信访问时,就会发生这种情况。AWS
禁用可信访问后,Cont AWS rol Tower 将不再接收来自的更改事件 AWS Organizations。AWSControl Tower 依靠这些变更事件来保持同步 AWS Organizations。因此,Cont AWS rol Tower 可能会错过账户的组织变更和OUs。因此,每次更新 landing zone 时,都必须重新注册每个 OU。
示例:亚马逊SNS通知
以下是发生此类偏差时您收到的 Amazon SNS 通知示例。
{ "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "TRUSTED_ACCESS_DISABLED", "RemediationStep" : "Reset Control Tower landing zone." }
解决方案
AWS当控制塔控制台中出现此类偏差时,Cont AWS rol Tower 会通知您。解决办法是重置你的 Cont AWS rol Tower 着陆区。有关更多信息,请参阅解决偏差。
