本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定區域時避免混合管理
將 AWS Control Tower 管理擴展到新的 之後 AWS 區域,以及從 區域移除 AWS Control Tower 管理之後,請務必更新 OU 中的所有帳戶。
如果管理 OU 的控制項與管理 OU 中每個帳戶的控制項不完全相符,則可能會發生混合管理的不良情況。如果在 AWS Control Tower 將治理擴展到新的 後未更新帳戶 AWS 區域,或移除治理,則混合治理會在 OU 中發生。
在這種情況下,OU 中的某些帳戶在與 OU 中的其他帳戶相比時,或與登陸區域的整體治理狀態相比,在不同區域中套用了不同的控制項。
在具有混合治理的 OU 中,如果您佈建新帳戶,則該新帳戶會收到與登陸區域相同的 (更新) 區域和 OU 治理狀態。不過,尚未更新的現有帳戶不會收到更新的區域治理狀態。
一般而言,混合管理可能會在 AWS Control Tower 主控台中建立矛盾或不準確的狀態指示燈。例如,在混合管理期間,OUs對於尚未更新的 帳戶,選擇加入區域在已註冊 中顯示為未受管狀態。
注意
AWS Control Tower 不允許在混合管理狀態期間啟用控制項。
混合治理期間的控制行為
-
在混合管理期間,AWSControl Tower 無法一致地在 OU 已顯示為受管 的區域中部署基於 AWS Config 規則 (即偵測控制項) 的控制項,因為 OU 中的某些帳戶尚未更新。您可能會收到
FAILED_TO_ENABLE錯誤訊息。 -
在混合管理期間,如果您在尚未更新 OU 中的任何帳戶時,將登陸區域的管理擴展到選擇加入區域,則 OU 上的
EnableControlAPI操作會針對偵測和主動控制失敗。您會收到FAILED_TO_ENABLE錯誤訊息,因為 OU 中的未更新成員帳戶尚未選擇加入這些區域。 -
在混合管理期間,屬於 Security Hub Service 受管標準的控制項:AWSControl Tower 無法在登陸區域組態與未更新帳戶之間不相符的區域中準確報告合規。
-
混合管理不會變更 SCP型控制項 (預防性控制項) 的行為,其在每個受管區域中統一套用至 OU 中的每個帳戶。
注意
混合管理與漂移不同,也不會報告為漂移。
修復混合治理
-
選擇 OU 中每個帳戶的更新帳戶,在主控台的組織頁面上顯示更新可用狀態。
-
在組織頁面上選擇重新註冊 OU,以自動更新 OU 中所有帳戶,帳戶OUs少於 1000 個。
