Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Detección y resolución de desviaciones en AWS Control Tower
Identificar y resolver la desviación es una tarea de operaciones habitual para los administradores de cuentas principales de AWS Control Tower. La resolución de la desviación contribuye a garantizar la conformidad con los requisitos de gobernanza.
Al crear la zona de aterrizaje, esta y todas las unidades organizativas (OU), cuentas y recursos deben cumplir las reglas de gobernanza impuestas por los controles elegidos. A medida que usted y los miembros de la organización utilicen la zona de aterrizaje, pueden producirse cambios en este estado de cumplimiento. Algunos cambios pueden ser accidentales, mientras que otros pueden realizarse a propósito para dar respuesta a eventos operativos en los que el tiempo es crucial.
La detección de la desviación ayuda a identificar recursos que necesitan cambios o actualizaciones de configuración para resolver la desviación.
Detección de desviación
AWS Control Tower detecta la desviación automáticamente. Para detectar la desviación, el rol AWSControlTowerAdmin requiere un acceso permanente a la cuenta de administración para que AWS Control Tower pueda realizar llamadas a la API de solo lectura a AWS Organizations. Estas llamadas a la API se muestran como eventos de AWS CloudTrail .
Para una cuenta de miembro, la desviación aparece en las notificaciones de Amazon Simple Notification Service (Amazon SNS) que se agregan a la cuenta de auditoría. Las notificaciones de cada cuenta de miembro envían alertas a un tema de Amazon SNS local y a una función de Lambda.
nota
Cuando la función de inscripción automática de cuentas está habilitada en Configuración, estas notificaciones de SNS no están disponibles.
En el caso de los controles que forman parte de la AWS Security Hub CSPM Service-Managed Norma: Torre de Control de AWS, la desviación se muestra en las páginas Cuenta y Detalles de la cuenta de la consola de la Torre de Control de AWS, así como mediante una notificación de Amazon SNS.
Los administradores de cuentas de miembro pueden (y, como práctica recomendada, deben) suscribirse a las notificaciones de desviación de SNS para cuentas específicas. Por ejemplo, el tema de SNS aws-controltower-AggregateSecurityNotifications proporciona notificaciones de la desviación. La consola de AWS Control Tower indica a los administradores de cuentas de administración cuándo se ha producido una desviación. Para obtener más información sobre los temas de SNS relacionados con la detección y notificación de desviaciones, consulte Drift prevention and notification.
Deduplicación de notificaciones de desviación
Si se produce el mismo tipo de desviación en el mismo conjunto de recursos varias veces, AWS Control Tower envía una notificación de SNS solo para la instancia inicial de desviación. Si AWS Control Tower detecta que esta instancia de desviación se ha corregido, envía otra notificación solo si la desviación vuelve a producirse en los mismos recursos.
Ejemplo: La desviación de SCP se administra de la siguiente manera
-
Si modifica la misma SCP administrada varias veces, recibirá una notificación la primera vez que la modifique.
-
Si modifica una SCP administrada, corrige la desviación y vuelve a modificarla, recibirá dos notificaciones.
Tipos de desviación de cuenta
-
Cuenta movida de una UO a otra (consulte Desviación de herencia en líneas de base habilitadas y Desviación de herencia en controles habilitados)
-
Cuenta eliminada de la organización
nota
Al trasladar una cuenta de una OU a otra, no se eliminan los controles de la OU anterior. Si habilita cualquier control nuevo basado en enlaces en la OU de destino, el control antiguo basado en enlaces se elimina de la cuenta y el nuevo control lo reemplaza. Los controles implementados con los SCP y AWS Config las reglas siempre deben eliminarse manualmente cuando una cuenta cambia de unidad organizativa.
Ejemplos de desviación de políticas
-
SCP actualizada
-
SCP separada de la OU
Para obtener más información, consulte Types of Governance Drift.
Consideraciones sobre los análisis de desviación y políticas
AWS Control Tower analiza las SCP, las RCP y las políticas declarativas administradas a diario para verificar que los controles correspondientes se aplican correctamente y que no se han desviado. Para recuperar estos recursos y comprobarlos, AWS Control Tower llama AWS Organizations en su nombre utilizando un rol en su cuenta de administración.
Si un análisis de AWS Control Tower detecta una desviación, recibirá una notificación. AWS Control Tower solo envía una notificación por problema de desviación, por lo que si la zona de aterrizaje ya se encuentra en un estado de desviación, no recibirá notificaciones adicionales a menos que encuentre un nuevo elemento de desviación.
AWS Organizations limita la frecuencia con la que se puede llamar a cada una de sus API. Este límite se expresa en transacciones por segundo (TPS) y se conoce como límite de TPS, tasa de limitación o tasa de solicitud de la API. Cuando AWS Control Tower audita las SCP, las RCP y las políticas declarativas llamando a AWS Organizations, las llamadas a la API que realiza AWS Control Tower se tienen en cuenta en el límite de TPS, ya que AWS Control Tower utiliza la cuenta de administración para realizar las llamadas.
En raras ocasiones, este límite se puede alcanzar cuando se llama repetidamente a las mismas API, ya sea a través de una solución de terceros o de un script personalizado que haya creado. Por ejemplo, si usted y AWS Control Tower llaman a las mismas AWS Organizations API en el mismo momento (en menos de 1 segundo) y se alcanzan los límites de TPS, las llamadas posteriores se limitan. Es decir, estas llamadas devuelven el siguiente error: Rate exceeded.
Si se supera la tasa de solicitud de la API
-
Si AWS Control Tower alcanza el límite y se limita, pausaremos la ejecución de la auditoría y la reanudaremos más adelante.
-
Si la carga de trabajo alcanza el límite y se limita, el resultado puede variar desde una latencia leve hasta un error grave en la carga de trabajo, en función de cómo esté configurada la carga de trabajo. Este caso extremo es algo que hay que tener en cuenta.
Un análisis de SCP diario consiste en
-
Recuperar las OU activas recientemente.
-
En cada OU registrada, recuperar todas las SCP administradas por AWS Control Tower que estén asociadas a la OU. Las SCP administradas tienen identificadores que comienzan por
aws-guardrails. -
En cada control preventivo habilitado en la OU, verificar que la declaración de política del control esté presente en las SCP administradas por la OU.
Una OU puede tener una o más SCP administradas.
Tipos de desviación que se deben resolver de inmediato
Los administradores pueden resolver la mayoría de los tipos de desviación. Algunos tipos de desviación deben resolverse inmediatamente, incluida la eliminación de una unidad organizativa que requiere la zona de aterrizaje de AWS Control Tower. Estos son algunos ejemplos de desviaciones importantes que conviene evitar:
-
No eliminar la OU de seguridad: no se debe eliminar la unidad organizativa denominada originalmente seguridad durante la configuración de la zona de aterrizaje por AWS Control Tower. Si la elimina, aparecerá un mensaje de error con instrucciones para restablecer la zona de aterrizaje inmediatamente. No podrá realizar ninguna otra acción en AWS Control Tower hasta que se complete la el restablecimiento.
-
No elimine las funciones obligatorias: AWS Control Tower comprueba determinadas funciones AWS Identity and Access Management (de IAM) al iniciar sesión en la consola para detectar la desviación de funciones de IAM. Si faltan estos roles o no se puede acceder a ellos, verá una página de error con instrucciones para restablecer la zona de aterrizaje. Estos roles son
AWSControlTowerAdmin,AWSControlTowerCloudTrailRoleyAWSControlTowerStackSetRole.Para obtener más información sobre estos roles, consulte Permisos necesarios para utilizar la consola de AWS Control Tower.
-
No elimine todas las UO adicionales: se necesita al menos una UO adicional para que AWS Control Tower funcione, pero no tiene por qué ser la UO de Entorno de pruebas.
-
No elimine las cuentas compartidas: si elimina las cuentas compartidas de las unidades organizativas fundamentales con la AWS Organizations consola o las API, por ejemplo, si elimina la cuenta de registro de la unidad organizativa de seguridad. Al mover estas cuentas, se genera un tipo de desviación Mover cuenta que debe subsanarse. Para corregir este tipo de desviación, debe actualizar la zona de aterrizaje.
nota
Como práctica recomendada, no mueva estas cuentas compartidas fuera de la UO fundamental.
Cambios reparables en los recursos
Aquí hay una lista de cambios en los recursos de AWS Control Tower que están permitidos, aunque crean una desviación que se puede resolver. Los resultados de estas operaciones permitidas se pueden ver en la consola de AWS Control Tower, aunque es posible que se requiera una actualización.
Para obtener más información acerca de cómo resolver la desviación resultante, consulte Managing Resources Outside of AWS Control Tower.
Cambios permitidos fuera de la consola de AWS Control Tower
-
Cambio del nombre de una OU registrada.
-
Cambio del nombre de la OU de seguridad.
-
Cambio del nombre de las cuentas de miembro en las OU no fundamentales.
-
Eliminación de una OU no fundamental.
-
Eliminación de una cuenta inscrita de una OU no fundamental.
-
Cambio de la dirección de correo electrónico de una cuenta compartida en la OU de seguridad.
-
Cambio de la dirección de correo electrónico de una cuenta de miembro en una OU registrada.
nota
El traslado de cuentas entre OU se considera desviación y debe resolverse.
Desviación y aprovisionamiento de nuevas cuentas
Si la zona de aterrizaje se encuentra en un estado de desviación, la característica Inscribir cuenta en AWS Control Tower no funcionará. En ese caso, debe aprovisionar nuevas cuentas a través de AWS Service Catalog. Para obtener instrucciones, consulte Aprovisione cuentas en la consola de Service Catalog con Account Factory..
En particular, si ha realizado cambios en las cuentas mediante Service Catalog, por ejemplo, cambiar el nombre de la cartera, la característica Inscribir cuenta no funcionará.