本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
偵測並解決 AWS Control Tower 中的偏離
識別和解決偏離是 AWS Control Tower 管理帳戶管理員的常規操作任務。解決偏離有助於確保您符合控管要求。
當您建立登陸區域時,登陸區域和所有組織單位 (OUs)、帳戶和資源都符合您選擇的控制項強制執行的控管規則。當您和您的組織成員使用登陸區域時,可能會發生此合規狀態的變更。有些變更可能是意外,有些則是為了回應時間急迫性運作事件而刻意為之。
偏離偵測可協助您找出需要變更或組態更新的資源,以解決偏離。
偵測偏離
AWS Control Tower 會自動偵測漂移。若要偵測偏離,該AWSControlTowerAdmin角色需要持續存取您的管理帳戶,以便 AWS Control Tower 可以對 進行唯讀API呼叫 AWS Organizations。這些API呼叫會顯示為 AWS CloudTrail 事件。
漂移會呈現在稽核帳戶中彙總的 Amazon Simple Notification Service (Amazon SNS) 通知中。每個成員帳戶中的通知都會將提醒傳送至本機 Amazon SNS主題和 Lambda 函數。
對於屬於 AWS Security Hub 服務受管標準的控制項:AWSControl Tower,偏離會顯示在 AWS Control Tower 主控台的帳戶和帳戶詳細資訊頁面上,以及透過 Amazon SNS通知顯示。
成員帳戶管理員可以 (而且最佳實務是,他們應該) 訂閱特定帳戶的SNS偏離通知。例如, aws-controltower-AggregateSecurityNotificationsSNS主題會提供偏離通知。發生偏離時,AWSControl Tower 主控台會向管理帳戶管理員指示 。如需偏離偵測和通知SNS主題的詳細資訊,請參閱偏離預防和通知。
偏離通知刪除重複
如果同一組資源多次發生相同類型的偏離,AWSControl Tower 只會針對初始偏離執行個體傳送SNS通知。如果 AWS Control Tower 偵測到此漂移執行個體已修復,則只有在這些相同資源重新發生漂移時,才會傳送另一個通知。
範例:以下列方式處理帳戶偏離和SCP偏離
-
如果您SCP多次修改相同的受管 ,則第一次修改時會收到通知。
-
如果您修改受管 SCP,然後修復偏離,然後再次修改,您將收到兩個通知。
-
如果帳戶OUs多次在相同來源和目的地之間移動,而未先修復偏離,即使帳戶在這些來源和目的地之間移動OUs超過一次,也會傳送單一通知。
帳戶偏離的類型
-
帳戶在 之間移動 OUs
-
帳戶已從組織移除
注意
當您將帳戶從一個 OU 移至另一個 OU 時,不會移除先前 OU 的控制項。如果您在目的地 OU 上啟用任何新的勾點型控制,舊的 掛鉤型控制項會從 帳戶移除,而新的控制項會取代它。當帳戶變更 時,一律必須手動移除使用 SCPs和 AWS Config 規則實作的控制項OUs。
政策偏離的類型
-
SCP 已更新
-
SCP 連接至 OU
-
SCP 從 OU 分離
-
SCP 連接至 帳戶
如需詳細資訊,請參閱控管偏離的類型。
解決偏離
雖然偵測是自動的,但解決偏離的步驟必須透過 主控台手動完成,或呼叫 ResetEnabledControl 進行控制API。
-
許多類型的偏離可以透過登陸區域設定頁面解決。您可以在版本區段中選擇重設按鈕,以解決這些類型的偏離。
-
如果您的 OU 帳戶少於 1000 個,您可以在組織頁面或 OU 詳細資訊頁面上選取重新註冊 OU,以解決帳戶工廠佈建帳戶中SCP的偏離或偏離。
-
您可以透過更新個別帳戶來解決帳戶偏離已移動的成員帳戶,例如 。如需詳細資訊,請參閱在 主控台中更新帳戶。
-
對於控制項,可透過呼叫 ResetEnabledControl 來解決許多類型的偏離API。
當您採取動作來解決登陸區域版本的偏離時,有兩種行為是可能的。
-
如果您使用的是最新的登陸區域版本,當您選擇重設,然後選擇確認時,偏離的登陸區域資源會重設為儲存的 AWS Control Tower 組態。登陸區域版本保持不變。
-
如果您不是最新版本,則必須選擇更新。登陸區域已升級至最新的登陸區域版本。漂移會在此程序中解決。
偏離和SCP掃描的考量
AWS Control Tower SCPs會每天掃描您的受管 ,以確認對應的控制項已正確套用,而且尚未漂移。若要擷取 SCPs並對其執行檢查,AWSControl Tower 會使用您管理帳戶中的角色 AWS Organizations 代表您呼叫 。
如果 AWS Control Tower 掃描發現偏離,您將會收到通知。 AWSControl Tower 每個偏離問題只會傳送一個通知,因此如果您的登陸區域已經處於偏離狀態,除非找到新的偏離項目,否則您不會收到其他通知。
AWS Organizations 會限制APIs呼叫其每個 的頻率。此限制以每秒交易 (TPS) 表示,稱為TPS限制、限流率或API請求率。當 AWS Control Tower SCPs 透過呼叫 來稽核您的 時 AWS Organizations,AWSControl Tower 發出的API呼叫會計入您的TPS限制,因為 AWS Control Tower 會使用 管理帳戶來進行呼叫。
在極少數情況下,無論您透過第三方解決方案或您撰寫的自訂指令碼APIs,重複呼叫相同的 時都可以達到此限制。例如,如果您和 AWS Control Tower 在同一時間 (1 秒內) 呼叫相同的 AWS Organizations APIs ,並達到TPS限制,後續呼叫就會受到調節。也就是說,這些呼叫會傳回錯誤,例如 Rate exceeded。
如果超過API請求率
-
如果 AWS Control Tower 達到限制並受到調節,我們會暫停稽核的執行,稍後再繼續執行。
-
如果您的工作負載達到限制並受到調節,結果可能從輕微延遲到工作負載中的嚴重錯誤,取決於工作負載的設定方式。此邊緣案例是需要注意的事項。
每日SCP掃描包含
-
擷取您最近作用中的 OUs。
-
對於每個已註冊的 OU,擷取所有連接到 OU 的 AWS Control Tower 所SCPs管理的所有 。受管 SCPs的識別碼開頭為
aws-guardrails。 -
對於在 OU 上啟用的每個預防性控制項,驗證控制項的政策陳述式是否存在於 OU 的受管 中SCPs。
OU 可能有一或多個受管 SCPs。
要立即解決的偏離類型
系統管理員可以解決大多數類型的偏離。必須立即解決幾種偏離類型,包括刪除 AWS Control Tower 登陸區域所需的組織單位。以下是一些您可能想要避免的主要偏離範例:
-
請勿刪除安全 OU:不應刪除 AWS Control Tower 在登陸區域設定期間原本名為安全的組織單位。如果您刪除它,您會看到錯誤訊息,指示您立即重設登陸區域。在重設完成之前,您將無法在 AWS Control Tower 中採取任何其他動作。
-
請勿刪除必要角色:AWSControl Tower 會在您登入主控台時檢查特定 AWS Identity and Access Management (IAM) 角色,以找出IAM角色偏離。如果這些角色遺失或無法存取,您會看到錯誤頁面,指示您重設登陸區域。這些角色為
AWSControlTowerAdminAWSControlTowerCloudTrailRoleAWSControlTowerStackSetRole。如需這些角色的詳細資訊,請參閱 使用 AWS Control Tower 主控台所需的許可。
-
請勿刪除所有其他 OUs:如果您在 AWS Control Tower 的登陸區域設定期間刪除原本名為 Sandbox 的組織單位,您的登陸區域將處於偏離狀態,但您仍然可以使用 AWS Control Tower。Control AWS Tower 至少需要一個額外的 OU 才能運作,但它不必是沙盒 OU。
-
請勿移除共用帳戶:如果您從基礎 移除共用帳戶OUs,例如從安全 OU 移除記錄帳戶,您的登陸區域將處於偏離狀態。您必須先重設登陸區域,才能繼續使用 AWS Control Tower 主控台。
資源的可修復變更
以下是允許 AWS Control Tower 資源的變更清單,雖然它們會建立可解決的偏離。這些允許的操作結果可在 AWS Control Tower 主控台中檢視,但可能需要重新整理。
如需如何解決產生的偏離的詳細資訊,請參閱在 AWS Control Tower 外部管理資源。
AWS Control Tower 主控台允許變更
-
變更已註冊 OU 的名稱。
-
變更安全 OU 的名稱。
-
變更非實體 中成員帳戶的名稱OUs。
-
在 Security OU 中變更 AWS Control Tower 共用帳戶的名稱。
-
刪除非基礎 OU。
-
從非基礎 OU 刪除已註冊的帳戶。
-
在 Security OU 中變更共用帳戶的電子郵件地址。
-
變更已註冊 OU 中成員帳戶的電子郵件地址。
注意
在 之間移動帳戶OUs會被視為偏離,而且必須解決。
偏離和新帳戶佈建
如果您的登陸區域處於偏離狀態,AWSControl Tower 中的註冊帳戶功能將無法運作。在這種情況下,您必須透過 AWS Service Catalog 佈建新帳戶。如需說明,請參閱 使用 Account Factory 佈建 AWS Service Catalog 帳戶 。
特別是,如果您已透過 Service Catalog 對帳戶進行特定變更,例如變更產品組合的名稱,則註冊帳戶功能將無法運作。
