监管偏移的类型 - AWS Control Tower
已移动成员账户已删除成员账户托管 SCP 的计划外更新SCP 附加到托管 OUSCP 与托管 OU 分离SCP 附加到成员账户已删除基础 OUSecurity Hub 控件偏移已禁用可信访问

监管偏移的类型

当更改或更新 OU、SCP 和成员账户时,会发生监管偏移,也称为组织偏移。可在 AWS Control Tower 中检测到的监管偏移类型如下所示:

另一种类型的偏移是登录区偏移,可通过管理账户发现这种偏移。登录区偏移包括 IAM 角色偏移,或者任何会特别影响基础 OU 和共享账户的组织偏移。

登录区偏移的一个特殊情况是角色偏移,当所需角色不可用时,便会检测到该偏移。如果出现这种偏移,控制台将显示警告页面以及一些有关如何恢复角色的说明。在角色偏移问题得到解决之前,您的登录区将不可用。有关偏移的更多信息,请参阅 需要立即解决的偏移类型 一节中的 Don't delete required roles

AWS Control Tower 不会查找与管理账户配合使用的其他服务的偏移问题,这些服务包括 CloudTrail、CloudWatch、IAM Identity Center、AWS CloudFormation、AWS Config 等。子账户中没有偏移检测功能,因为这些账户受预防性强制控制措施的保护。

但是,它会报告关于 AWS Security Hub 服务托管标准:AWS Control Tower 中控件的偏移。

已移动成员账户

这种类型的偏移发生在账户层面而非 OU 层面。当 AWS Control Tower 成员账户、审计账户或者日志存档账户从一个已注册的 AWS Control Tower OU 移动到另一个 OU 时,可能会发生这种偏移。以下是检测到此类偏移时的 Amazon SNS 通知示例。


{
  "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS",
  "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.",
  "AccountId" : "012345678909",
  "SourceId" : "012345678909",
  "DestinationId" : "ou-3210-1EXAMPLE"
}

解决方法

当拥有多达 1000 个账户的 OU 中的 Account Factory 预置账户出现这种偏移时,可通过以下方式解决:

  • 在 AWS Control Tower 控制台中导航到组织页面,选择相应账户,然后选择右上角的更新账户(适用于个人账户的最快选项)。

  • 在 AWS Control Tower 控制台中导航到组织页面,然后为包含相应账户的 OU 选择重新注册(适用于多个账户的最快选项)。有关更多信息,请参阅 向 AWS Control Tower 注册一个现有组织单位

  • 在 Account Factory 中更新预置的产品。有关更多信息,请参阅 使用 AWS Control Tower 或 AWS Service Catalog 更新和移动 Account Factory 账户

    注意

    如果您有多个个人账户要更新,另请参阅使用脚本进行更新的方法:使用自动化预置和更新账户

  • 当拥有超过 1000 个账户的 OU 中发生这种类型的偏移时,偏移解决方案可能取决于转移了哪种类型的账户,如下文所述。有关更多信息,请参阅 更新您的登录区

    • 如果移动的是 Account Factory 预置账户 - 在拥有少于 1000 个账户的 OU 中,您可以通过更新 Account Factory 中的预置产品、重新注册 OU 或更新登录区来解决账户偏移问题。

      在拥有超过 1000 个账户的 OU 中,您必须通过 AWS Control Tower 控制台或预置产品来更新每个已转移的账户,从而解决偏移问题,因为重新注册 OU 不会执行更新。有关更多信息,请参阅 使用 AWS Control Tower 或 AWS Service Catalog 更新和移动 Account Factory 账户

    • 如果移动的是共享账户 - 您可以通过更新登录区来移动审计或日志存档账户以解决偏移。有关更多信息,请参阅 更新您的登录区

已弃用的字段名称

为了符合 AWS 准则,字段名称 MasterAccountID 已更改为 ManagementAccountID。旧名称已弃用。从 2022 年开始,包含已弃用字段名称的脚本将不再起作用。

已删除成员账户

当从注册的 AWS Control Tower 组织单位中删除成员账户时,可能会发生这种偏移。以下是检测到此类偏移时的 Amazon SNS 通知示例。


{
  "Message" : "AWS Control Tower has detected that the member account 012345678909 has been removed from organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION",
  "RemediationStep" : "Add account to Organization and update Account Factory provisioned product",
  "AccountId" : "012345678909"
}

解决方案

注意

在 Service Catalog 中,表示账户的 Account Factory 预置产品不会更新以删除账户。相反,预置产品显示为 TAINTED 且处于错误状态。要清理,请转到 Service Catalog,选择预置产品,然后选择终止

托管 SCP 的计划外更新

在 AWS Organizations 控制台中,或者通过使用 AWS CLI 或某个 AWS SDK 以编程方式更新控件的 SCP 时,可能会发生此类偏移。以下是检测到此类偏移时的 Amazon SNS 通知示例。


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_UPDATED",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

解决方案

当拥有多达 1000 个账户的 OU 中出现这种偏移时,可通过以下方式解决:

当拥有超过 1000 个账户的 OU 中发生此类偏移时,可通过更新登录区来解决该问题。有关更多信息,请参阅 更新您的登录区

SCP 附加到托管 OU

当控件的 SCP 连接到任何其他 OU 时,可能会发生这种偏移。当您从 AWS Control Tower 控制台之外处理 OU 时,这种情况尤其常见。以下是检测到此类偏移时的 Amazon SNS 通知示例。


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

解决方案

当拥有多达 1000 个账户的 OU 中出现这种偏移时,可通过以下方式解决:

当拥有超过 1000 个账户的 OU 中发生此类偏移时,可通过更新登录区来解决该问题。有关更多信息,请参阅 更新您的登录区

SCP 与托管 OU 分离

当控件的 SCP 与 AWS Control Tower 管理的 OU 分离时,可能会发生这种偏移。当您在 AWS Control Tower 控制台之外操作时,这种情况尤其常见。以下是检测到此类偏移时的 Amazon SNS 通知示例。


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_DETACHED_FROM_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE",
  "PolicyId" : "p-tEXAMPLE"
}

解决方案

当拥有多达 1000 个账户的 OU 中出现这种偏移时,可通过以下方式解决:

  • 在 AWS Control Tower 控制台中导航到 OU,以重新注册 OU(最快的选项)。有关更多信息,请参阅 向 AWS Control Tower 注册一个现有组织单位

  • 更新登录区(较慢的选项)。如果偏移影响了强制性控制,则更新过程会创建一个新的服务控制策略(SCP)并将其附加到 OU 以解决偏移问题。有关如何更新登录区的信息,请参阅 更新您的登录区

当拥有超过 1000 个账户的 OU 中发生此类偏移时,可通过更新登录区来解决该问题。如果偏移影响了强制性控制,则更新过程会创建一个新的服务控制策略(SCP)并将其附加到 OU 以解决偏移问题。有关如何更新登录区的信息,请参阅 更新您的登录区

SCP 附加到成员账户

在将控件的 SCP 附加到组织控制台中的账户时,会发生此类偏移。可以通过 AWS Control Tower 控制台在 OU 上启用防护机制及其 SCP(同时应用于 OU 的所有注册账户)。以下是检测到此类偏移时的 Amazon SNS 通知示例。


{
  "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "SCP_ATTACHED_TO_ACCOUNT",
  "RemediationStep" : "Re-register this organizational unit (OU)",
  "AccountId" : "012345678909",
  "PolicyId" : "p-tEXAMPLE"
}

解决方案

这种类型的偏移发生在账户层面而非 OU 层面。

当基础 OU(例如安全 OU)中的账户出现这种偏移时,可通过更新登录区来解决。有关更多信息,请参阅 更新您的登录区

当拥有多达 1000 个账户的非基础 OU 中出现这种偏移时,可通过以下方式解决:

当拥有超过 1000 个账户的 OU 中出现这种偏移时,您可以尝试通过更新账户的 Account Factory 配置来解决该问题。可能无法成功解决这个问题。有关更多信息,请参阅 更新您的登录区

已删除基础 OU

这种偏移仅适用于 AWS Control Tower 基础 OU,例如安全 OU。如果在 AWS Control Tower 控制台之外删除了基础 OU,则可能会发生这种情况。如果不创建这种类型的偏移,就无法移动基础 OU,因为移动 OU 与将其删除并将其添加到其他位置相同。当您通过更新登录区来解决偏移问题时,AWS Control Tower 会取代原始位置的基础 OU。以下示例显示了检测到此类偏移时您可能会收到的 Amazon SNS 通知。


{
  "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "ORGANIZATIONAL_UNIT_DELETED",
  "RemediationStep" : "Delete organizational unit in Control Tower",
  "OrganizationalUnitId" : "ou-0123-1EXAMPLE"
}

解决方案

由于这种偏移仅发生在基础 OU 中,解决方案便是更新登录区。删除其他类型的 OU 时,AWS Control Tower 会自动更新。

有关解决账户和 OU 的偏移的更多信息,请参阅 如需在 AWS Control Tower 之外管理资源

Security Hub 控件偏移

AWS Security Hub 服务托管标准:AWS Control Tower 中的控件报告偏移状态时,便会发生这种偏移。AWS Security Hub 服务本身不会报告这些控件的偏移状态。相反,该服务会将其发现结果发送给 AWS Control Tower。

如果 AWS Control Tower 在 24 小时内没有收到来自 Security Hub 的状态更新,也可以检测到 Security Hub 控件偏移。如果未按预期收到这些发现结果,AWS Control Tower 会验证控件是否处于偏离状态。以下示例显示了检测到此类偏移时您可能会收到的 Amazon SNS 通知。

{
"Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard",
"MasterAccountId" : "123456789XXX",
"ManagementAccountId" : "123456789XXX",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "SECURITY_HUB_CONTROL_DISABLED",
"RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.",
"AccountId" : "7876543219XXX",
"ControlId" : "PYBETSAGNUZB",
"ControlName" : "EBS snapshots should not be publicly restorable",
"ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB",
"Region" : "us-east-1"
}

解决方案

对于拥有少于 1000 个账户的 OU,解决方案是重新注册 OU,这会将控件重置为原始状态。对于任何 OU,您可以通过控制台或 AWS Control Tower API 移除并重新启用控件,这也会重置控件。

有关解决账户和 OU 的偏移的更多信息,请参阅 如需在 AWS Control Tower 之外管理资源

已禁用可信访问

这种偏移适用于 AWS Control Tower 登录区。设置 AWS Control Tower 登录区后,在 AWS Organizations 中禁用对 AWS Control Tower 的可信访问时便会发生这种问题。

禁用可信访问后,AWS Control Tower 将不再接收来自 AWS Organizations 的变更事件。AWS Control Tower 依靠这些变更事件来与 AWS Organizations 保持同步。因此,AWS Control Tower 可能会错过账户和 OU 的组织变更。因此,每次更新登录区时,都务必重新注册每个 OU。

示例:Amazon SNS 通知

以下示例显示了发生此类偏移时您将收到的 Amazon SNS 通知。

{
  "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled",
  "ManagementAccountId" : "012345678912",
  "OrganizationId" : "o-123EXAMPLE",
  "DriftType" : "TRUSTED_ACCESS_DISABLED",
  "RemediationStep" : "Reset Control Tower landing zone."
}

解决方案

当 AWS Control Tower 控制台中出现此类偏移时,AWS Control Tower 会通知您。解决办法是重置 AWS Control Tower 登录区。有关更多信息,请参阅 Resolving drift