View a markdown version of this page

Abweichungen im AWS Control Tower erkennen und beheben - AWS Control Tower
Drift erkennenÜberlegungen zu Drift- und Policy-ScansArten von Abweichungen, die sofort behoben werden müssenReparierbare Änderungen an RessourcenDrift und Bereitstellung neuer Konten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Abweichungen im AWS Control Tower erkennen und beheben

Die Identifizierung und Behebung von Abweichungen ist eine reguläre Betriebsaufgabe für Administratoren von AWS Control Tower Tower-Managementkonten. Die Behebung von Abweichungen trägt dazu bei, dass Sie die Governance-Anforderungen einhalten.

Wenn Sie Ihre landing zone erstellen, entsprechen die landing zone und alle Organisationseinheiten (OUs), Konten und Ressourcen den Governance-Regeln, die durch die von Ihnen ausgewählten Kontrollen durchgesetzt werden. Wenn Sie und Ihre Organisationsmitglieder die landing zone nutzen, kann es zu Änderungen dieses Compliance-Status kommen. Einige Änderungen können versehentlich oder absichtlich vorgenommen werden, um auf zeitkritische Betriebsereignisse zu reagieren.

Sie können mithilfe der Abweichungserkennung feststellen, für welche Ressourcen Änderungen oder Konfigurationsaktualisierungen erforderlich sind.

Drift erkennen

AWS Control Tower erkennt Drift automatisch. Um Abweichungen zu erkennen, benötigt die AWSControlTowerAdmin Rolle dauerhaften Zugriff auf Ihr Verwaltungskonto, sodass AWS Control Tower schreibgeschützte API-Aufrufe an ausführen kann. AWS Organizations Diese API-Aufrufe werden als AWS CloudTrail Ereignisse angezeigt.

Abweichungen für ein Mitgliedskonto werden in den Amazon Simple Notification Service (Amazon SNS) -Benachrichtigungen angezeigt, die im Auditkonto zusammengefasst sind. Benachrichtigungen in jedem Mitgliedskonto senden Benachrichtigungen an ein lokales Amazon SNS SNS-Thema und an eine Lambda-Funktion.

Anmerkung

Wenn die automatische Registrierung für Konten in den Einstellungen aktiviert ist, sind diese SNS-Benachrichtigungen nicht verfügbar.

Bei Kontrollen, die Teil von AWS Security Hub CSPM Service-Managed Standard: AWS Control Tower sind, wird Drift auf den Seiten Konto und Kontodetails in der AWS Control Tower Tower-Konsole sowie in Form einer Amazon SNS SNS-Benachrichtigung angezeigt.

Administratoren von Mitgliedskonten können (und sollten als bewährte Methode) die SNS-Abweichungsbenachrichtigungen für bestimmte Konten abonnieren. Das aws-controltower-AggregateSecurityNotifications SNS-Thema bietet beispielsweise Drift-Benachrichtigungen. Die AWS Control Tower Tower-Konsole zeigt den Administratoren des Verwaltungskontos an, wenn eine Abweichung aufgetreten ist. Weitere Informationen zu SNS-Themen zur Erkennung und Benachrichtigung von Abweichungen finden Sie unter Drift-Prävention und Benachrichtigung.

Deduplizierung von Drift-Benachrichtigungen

Wenn dieselbe Art von Drift mehrmals auf derselben Gruppe von Ressourcen auftritt, sendet AWS Control Tower eine SNS-Benachrichtigung nur für die erste Drift-Instanz. Wenn AWS Control Tower feststellt, dass dieser Drift behoben wurde, sendet er nur dann eine weitere Benachrichtigung, wenn die Drift für diese identischen Ressourcen erneut auftritt.

Beispiel: SCP-Drift wird auf folgende Weise behandelt

  • Wenn Sie dasselbe verwaltete SCP mehrmals ändern, erhalten Sie eine Benachrichtigung, wenn Sie es zum ersten Mal ändern.

  • Wenn Sie ein verwaltetes SCP ändern, dann Abweichungen beheben und es dann erneut ändern, erhalten Sie zwei Benachrichtigungen.

Arten von Kontoverschiebungen
Anmerkung

Wenn Sie ein Konto von einer Organisationseinheit in eine andere verschieben, werden die Steuerelemente der vorherigen Organisationseinheit nicht entfernt. Wenn Sie eine neue Hook-basierte Steuerung auf der Ziel-OU aktivieren, wird die alte Die Hook-basierte Steuerung wird aus dem Konto entfernt und durch die neue Steuerung ersetzt. Mit SCPs und AWS Config Regeln implementierte Kontrollen müssen immer manuell entfernt werden, wenn ein Konto die Organisationseinheit wechselt.

Beispiele für politische Abweichungen

  • SCP wurde aktualisiert

  • SCP wurde von OU getrennt

Weitere Informationen finden Sie unter Arten von Abweichungen in der Unternehmensführung.

Überlegungen zu Drift- und Policy-Scans

AWS Control Tower scannt täglich Ihre verwalteten SCPs, RCPs und deklarativen Richtlinien, um sicherzustellen, dass die entsprechenden Kontrollen korrekt angewendet werden und dass sie nicht verändert wurden. Um diese Ressourcen abzurufen und zu überprüfen, ruft AWS Control Tower in Ihrem Namen AWS Organizations an und verwendet dabei eine Rolle in Ihrem Verwaltungskonto.

Wenn bei einem AWS Control Tower Tower-Scan Abweichungen festgestellt werden, erhalten Sie eine Benachrichtigung. AWS Control Tower sendet nur eine Benachrichtigung pro Drift-Problem. Wenn sich Ihre landing zone also bereits im Drift-Zustand befindet, erhalten Sie keine weiteren Benachrichtigungen, es sei denn, es wird ein neuer Drift-Artikel gefunden.

AWS Organizations schränkt ein, wie oft die einzelnen APIs aufgerufen werden können. Dieses Limit wird in Transaktionen pro Sekunde (TPS) ausgedrückt und wird als TPS-Limit, Drosselungsrate oder API-Anforderungsrate bezeichnet. Wenn AWS Control Tower Ihre SCPs, RCPs und deklarativen Richtlinien durch Aufrufe prüft AWS Organizations, werden die API-Aufrufe, die AWS Control Tower durchführt, auf Ihr TPS-Limit angerechnet, da AWS Control Tower das Verwaltungskonto für die Aufrufe verwendet.

In seltenen Fällen kann dieses Limit erreicht werden, wenn Sie dieselben APIs wiederholt aufrufen, sei es über eine Drittanbieterlösung oder ein von Ihnen geschriebenes benutzerdefiniertes Skript. Wenn Sie und AWS Control Tower beispielsweise dieselben AWS Organizations APIs zum gleichen Zeitpunkt (innerhalb von 1 Sekunde) aufrufen und die TPS-Grenzwerte erreicht sind, werden nachfolgende Aufrufe gedrosselt. Das heißt, diese Aufrufe geben einen Fehler zurück wie. Rate exceeded

Wenn eine API-Anforderungsrate überschritten wird

  • Wenn AWS Control Tower das Limit erreicht und gedrosselt wird, unterbrechen wir die Ausführung des Audits und setzen es zu einem späteren Zeitpunkt fort.

  • Wenn Ihr Workload das Limit erreicht und gedrosselt wird, kann das Ergebnis, je nachdem, wie der Workload konfiguriert ist, von einer leichten Latenz bis hin zu einem schwerwiegenden Fehler in der Arbeitslast reichen. Dieser Grenzfall ist etwas, das Sie beachten sollten.

Ein täglicher SCP-Scan besteht aus

  1. Ihre kürzlich aktiven Organisationseinheiten werden abgerufen.

  2. Für jede registrierte OU werden alle von AWS Control Tower verwalteten SCPs abgerufen, die an die OU angehängt sind. Verwaltete SCPs haben Identifikatoren, die mit beginnen. aws-guardrails

  3. Für jede präventive Kontrolle, die auf der OU aktiviert ist, wird überprüft, ob die Richtlinienerklärung der Kontrolle in den verwalteten SCPs der OU enthalten ist.

Eine Organisationseinheit kann über einen oder mehrere verwaltete SCPs verfügen.

Arten von Abweichungen, die sofort behoben werden müssen

Die meisten Arten von Abweichungen können von Administratoren behoben werden. Einige Arten von Abweichungen müssen sofort behoben werden, einschließlich der Löschung einer Organisationseinheit, die für die AWS Control Tower Tower-Landezone erforderlich ist. Hier sind einige Beispiele für größere Abweichungen, die Sie vielleicht vermeiden möchten:

  • Löschen Sie die Sicherheits-OU nicht: Die Organisationseinheit, die ursprünglich bei der Einrichtung der landing zone durch AWS Control Tower Security benannt wurde, sollte nicht gelöscht werden. Wenn du es löschst, wird eine Fehlermeldung angezeigt, in der du aufgefordert wirst, die landing zone sofort zurückzusetzen. Sie können in AWS Control Tower keine weiteren Aktionen ausführen, bis der Reset abgeschlossen ist.

  • Löschen Sie keine erforderlichen Rollen: AWS Control Tower überprüft bestimmte AWS Identity and Access Management (IAM-) Rollen, wenn Sie sich bei der Konsole anmelden, auf IAM-Rollendrift. Wenn diese Rollen fehlen oder nicht zugänglich sind, wird eine Fehlerseite angezeigt, auf der Sie aufgefordert werden, Ihre landing zone zurückzusetzen. Diese Rollen sind. AWSControlTowerAdmin AWSControlTowerCloudTrailRole AWSControlTowerStackSetRole

    Weitere Informationen zu diesen Rollen finden Sie unter Für die Verwendung der AWS Control Tower Tower-Konsole sind Berechtigungen erforderlich.

  • Löschen Sie nicht alle zusätzlichen Organisationseinheiten: Für den Betrieb von AWS Control Tower ist mindestens eine zusätzliche Organisationseinheit erforderlich, es muss sich jedoch nicht um die Sandbox-Organisationseinheit handeln.

  • Nicht gemeinsam genutzte Konten entfernen: Wenn Sie gemeinsam genutzte Konten mit der AWS Organizations Konsole oder den APIs aus den Foundation-Organisationseinheiten entfernen, z. B. wenn Sie das Protokollierungskonto aus der Sicherheits-OU entfernen. Durch das Verschieben dieser Konten kommt es zu einer Art Fehlverhalten beim Verschieben von Konten, das behoben werden muss. Um diese Art von Drift zu beheben, müssen Sie die landing zone aktualisieren.

Anmerkung

Es hat sich bewährt, diese gemeinsam genutzten Konten nicht aus der Foundational OU zu verschieben.

Reparierbare Änderungen an Ressourcen

Im Folgenden finden Sie eine Liste der Änderungen an den AWS Control Tower Tower-Ressourcen, die zulässig sind, obwohl sie zu behebbaren Abweichungen führen. Die Ergebnisse dieser erlaubten Operationen können in der AWS Control Tower Tower-Konsole eingesehen werden, obwohl möglicherweise eine Aktualisierung erforderlich ist.

Weitere Informationen zur Behebung der daraus resultierenden Abweichung finden Sie unter Ressourcen außerhalb von AWS Control Tower verwalten.

Änderungen, die außerhalb der AWS Control Tower Tower-Konsole zulässig sind

  • Ändern Sie den Namen einer registrierten Organisationseinheit.

  • Ändern Sie den Namen der Sicherheits-OU.

  • Ändern Sie den Namen von Mitgliedskonten in Organisationseinheiten, die nicht zu den Grundlagen gehören.

  • Löschen Sie eine Organisationseinheit, die nicht zu den Grundlagen gehört.

  • Löscht ein registriertes Konto aus einer Organisationseinheit, die nicht zu den Grundlagen gehört.

  • Ändern Sie die E-Mail-Adresse eines gemeinsam genutzten Kontos in der Security OU.

  • Ändern Sie die E-Mail-Adresse eines Mitgliedskontos in einer registrierten Organisationseinheit.

Anmerkung

Das Verschieben von Konten zwischen Organisationseinheiten gilt als Drift und muss gelöst werden.

Drift und Bereitstellung neuer Konten

Wenn sich Ihre landing zone im Drift-Zustand befindet, funktioniert die Funktion „Konto registrieren“ in AWS Control Tower nicht. In diesem Fall müssen Sie neue Konten über AWS Service Catalog einrichten. Detaillierte Anweisungen finden Sie unter Stellen Sie Konten in der Service Catalog-Konsole mit Account Factory bereit.

Insbesondere wenn Sie mit Service Catalog bestimmte Änderungen an Ihren Konten vorgenommen haben, z. B. den Namen Ihres Portfolios geändert haben, funktioniert die Funktion Konto registrieren nicht.