本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置区域时避免混合监管
在将 AWS Control Tower 管理范围扩展到新的 AWS Control Tower 管理范围之后 AWS 区域,以及从某个区域中移除 AWS Control Tower 监管之后,更新组织单位中的所有账户非常重要。
如果监管 OU 的控件与监管 OU 内每个账户的控件不完全匹配,就可能会出现混合监管这种不理想的情况。如果在 AWS Control Tower 将监管范围扩展到新的或移除监管后仍未更新账户 AWS 区域,则组织单位中就会出现混合治理。
在这种情况下,与 OU 中的其他账户相比,或者与登录区的整体监管状态相比,OU 中的某些账户在不同区域中应用的控件可能有所不同。
在出现混合监管的 OU 中,如果您预置新账户,则该新账户将获得与登录区相同的(更新的)区域和 OU 监管状态。但是,尚未更新的现有账户不会收到更新的区域监管状态。
通常,混合监管可能会在 AWS Control Tower 控制台中产生矛盾或不准确的状态指示器。例如,在混合治理期间,对于尚未更新的账户,选择加入区域显示为 “未受管辖” 状态,处于已注册 OUs状态。
注意
AWS Control Tower 不允许在混合监管状态下启用控件。
混合监管期间控件的行为
-
在混合治理期间,AWS Control Tower 无法在 OU 已显示为 “受管辖” 的区域中持续部署基于 AWS Config 规则(即侦探控件)的控件,因为 OU 中的某些账户尚未更新。您可能会收到一条
FAILED_TO_ENABLE错误消息。 -
在混合监管期间,如果您在 OU 中的任何账户尚未更新时将登录区的监管范围扩展到选择加入区域,则在 OU 上的
EnableControlAPI 操作将失败,无法启用检测性和主动性控件。您将收到一条FAILED_TO_ENABLE错误消息,因为 OU 中未更新的成员账户尚未被选入这些区域。 -
在混合监管期间,作为 Security Hub 服务托管标准:AWS Control Tower 一部分的控件,在登录区配置与未更新的账户不匹配的区域中,无法准确报告合规性。
-
混合监管不会更改基于 SCP 的控件(预防性控件)的行为,这些控件统一应用于每个受监管区域的组织中的每个账户。
注意
混合监管与偏移不同,所以不会被报告为偏移。
修复混合监管
-
在控制台的组织页面上,为 OU 中显示有更新可用状态的每个账户选择更新账户。
-
在 Organizations 页面上选择 “重新注册 OU”,如果账户少于 1000 个,则该页面会自动更新 OU 中的所有账户。 OUs
