

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Tipos de desviaciones de gobernanza
<a name="governance-drift"></a>

La desviación de gobernanza, también llamada *desviación organizativa* se produce cuando las OU, las SCP y las cuentas de miembro se cambian o actualizan. Los tipos de desviaciones de gobernanza que se pueden detectar en AWS Control Tower son los siguientes: 
+ Desviación de gobernanza de cuentas y UO
+ Desviación de la zona de aterrizaje
+ Control de desviaciones para controles que no son SCP
+ Desviación de herencia para líneas de base y controles

En las siguientes secciones, se proporcionan detalles sobre estos tipos de desviaciones que registra AWS Control Tower y cómo resolverlos.

**nota**  
AWS Control Tower dejará de enviar notificaciones de desviaciones a los clientes de SNS topic for LZ4.0 \+ y, EventBridge en su lugar, empezará a enviarlas a la cuenta de administración. Para ver ejemplos de eventos y orientación sobre cómo recibir notificaciones de desviaciones EventBridge , consulte la siguiente sección dedicada a la **EventBridge creación**.

**Desviación de gobernanza de cuentas y UO**
+ [Cuenta de miembro movida](#drift-account-moved)
+ [Cuenta de miembro eliminada](#drift-account-removed)
+ [Actualización no programada para SCP administrada](#drift-scp-update)
+ [SCP desvinculada de UO administrada](#drift-scp-detached-ou)

**Desviación de la zona de aterrizaje**

Otro tipo de desviación es la desviación de la *zona de aterrizaje*, que se puede encontrar a través de la cuenta de administración. La desviación de la zona de aterrizaje consiste en la desviación del rol de IAM o cualquier tipo de desviación organizativa que afecte específicamente a las OU fundamentales y a las cuentas compartidas.
+ [OU fundamental eliminada](#drift-ou-deleted)
+  [Acceso de confianza deshabilitado](#drift-disable-trust) 

Un caso especial de desviación de la zona de aterrizaje es la *desviación de rol*, que se detecta cuando un rol necesario no está disponible. Si se produce este tipo de desviación, la consola muestra una página de advertencia y algunas instrucciones sobre cómo restaurar el rol. La zona de aterrizaje no estará disponible hasta que se resuelva la desviación en los roles. Para obtener más información sobre la desviación de roles, consulte *No eliminar los roles necesarios* en la sección llamada [Tipos de desviación que se deben resolver de inmediato](drift.md#types-of-drift).

**Control de desviaciones para controles que no son SCP**

AWS Control Tower informa sobre las *desviaciones de control* en relación con los controles implementados con políticas de control de recursos (RCP), políticas declarativas y controles que forman parte del **AWS Security Hub CSPM Service-managed estándar: Torre de Control de AWS**. 
+ [Desviación de control CSPM de Security Hub](#sh-control-drift)
+ [Desviación de políticas de control](#control-policy-drift)

**Desviación de herencia para líneas de base y controles**
+ **Desviación de línea de base habilitada**

  Cuando las configuraciones de línea de base de una cuenta de miembro son diferentes a las aplicadas a la UO principal, AWS Control Tower registra la desviación de herencia de las líneas de base habilitadas (configuraciones de recursos) en esas UO y cuentas. [Para obtener más información sobre líneas de base, consulte Tipos de líneas de base](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html).
  + [Desviación de herencia en líneas de base habilitadas](#drift-enabled-baseline)
+ **Control de desviación habilitado**

  Cuando las configuraciones de control habilitadas de una cuenta de miembro son diferentes a las aplicadas a la UO principal, AWS Control Tower registra la desviación de herencia de controles habilitados en esas UO y cuentas. 
  + [Desviación de herencia en controles habilitados](#drift-enabled-controls)

**Desviación que no se registra**  
AWS Control Tower no busca desviaciones con respecto a otros servicios que funcionan con la cuenta de administración AWS CloudTrail CloudWatch, como Amazon, IAM Identity Center CloudFormation AWS Config, etc.
AWS Control Tower no detecta desviación de recursos ni ningún otro tipo de desviación que pueda producirse si se modifican los recursos contenidos en una línea de base.

## Cuenta de miembro movida
<a name="drift-account-moved"></a>

**nota**  
Para los clientes de la versión 4.0 o posterior, AWS Control Tower no enviará notificaciones de traslado de cuentas de Account Factory sin ellas. AWSControlTowerBaseline

Este tipo de desviación se produce en la cuenta y no en la OU. Este tipo de desviación se puede producir cuando una cuenta de miembro de AWS Control Tower, la cuenta de auditoría o la cuenta de archivo de registro se traslada de una OU registrada de AWS Control Tower a cualquier otra OU. En muchos casos, puede evitar este tipo de desviaciones si activa la característica de inscripción automática para cuentas en la página **Configuración**. Para obtener más información, consulte [Movimiento e inscripción de cuentas con inscripción automática](account-auto-enrollment.md).

El siguiente es un ejemplo de la notificación de desviación cuando se detecta este tipo de desviación.

```
{
  "Message" : "AWS Control Tower has detected that your member account '{{account-email}}@amazon.com ({{012345678909}})' has been moved from organizational unit 'Sandbox ({{ou-0123-eEXAMPLE}})' to 'Security ({{ou-3210-1EXAMPLE}})'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'",
  "ManagementAccountId" : "{{012345678912}}",
  "OrganizationId" : "{{o-123EXAMPLE}}",
  "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS",
  "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.",
  "AccountId" : "{{012345678909}}",
  "SourceId" : "{{012345678909}}",
  "DestinationId" : "{{ou-3210-1EXAMPLE}}"
}
```

### Soluciones
<a name="drift-account-moved-resolution"></a>

Cuando se produce este tipo de desviación en una cuenta aprovisionada en el generador de cuentas de una OU con hasta 1000 cuentas, puede resolverse de la siguiente manera:
+ Vaya a la página **Organización** en la consola de AWS Control Tower, seleccione la cuenta y elija **Actualizar cuenta** en la parte superior derecha (la opción más rápida para cuentas individuales).
+ Ir a la página de la **organización** en la consola de la Torre de Control Tower de AWS y, a continuación, elegir **Re-register**la unidad organizativa que contiene la cuenta (la opción más rápida para varias cuentas). Para obtener más información, consulte [Registro de una OU existente en AWS Control Tower](importing-existing.md). 
+ Actualización del producto aprovisionado en el generador de cuentas. Para obtener más información, consulte [Actualización y movimiento de cuentas con AWS Control Tower](updating-account-factory-accounts.md).
**nota**  
Si tiene varias cuentas individuales que actualizar, consulte también este método para realizar actualizaciones con un script: [Aprovisionamiento y actualización de cuentas mediante automatización](update-accounts-by-script.md).
+ Cuando este tipo de desviación se produce en una OU con más de 1000 cuentas, la resolución puede depender del tipo de cuenta que se haya trasladado, como se explica en los párrafos siguientes. Para obtener más información, consulte [Actualización de la zona de aterrizaje](update-controltower.md).
  + **Si se traslada una cuenta aprovisionada en el generador de cuentas**: en una OU con menos de 1000 cuentas, puede resolver la desviación de la cuenta actualizando el producto aprovisionado en el generador de cuentas, volviendo a registrar la OU o actualizando la zona de aterrizaje. 

    En una OU con más de 1000 cuentas, *debe* resolver el problema realizando una actualización en cada cuenta trasladada, ya sea a través de la consola de AWS Control Tower o del producto aprovisionado, ya que la **Re-register OU** no realizará la actualización. Para obtener más información, consulte [Actualización y movimiento de cuentas con AWS Control Tower](updating-account-factory-accounts.md).
  + **Si se traslada una cuenta compartida**: actualice la zona de aterrizaje para resolver la desviación que supone el traslado de la cuenta de auditoría o de archivo de registro. Para obtener más información, consulte [Actualización de la zona de aterrizaje](update-controltower.md).

**Nombre de campo obsoleto**  
Se `MasterAccountID` ha cambiado el nombre del campo para `ManagementAccountID` cumplir con las AWS directrices. El nombre antiguo está **obsoleto**. A partir de 2022 han dejado de funcionar los scripts que contienen el nombre de campo obsoleto.

## Cuenta de miembro eliminada
<a name="drift-account-removed"></a>

Este tipo de desviación se puede producir cuando se elimina una cuenta de miembro de una unidad organizativa registrada de AWS Control Tower. El siguiente ejemplo muestra la notificación de desviación cuando se detecta este tipo de desviación.

```
{
  "Message" : "AWS Control Tower has detected that the member account {{012345678909}} has been removed from organization {{o-123EXAMPLE}}. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'",
  "ManagementAccountId" : "{{012345678912}}",
  "OrganizationId" : "{{o-123EXAMPLE}}",
  "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION",
  "RemediationStep" : "Add account to Organization and update Account Factory provisioned product",
  "AccountId" : "{{012345678909}}"
}
```

### Resolución
<a name="drift-account-removed-resolution"></a>
+ Cuando se produce este tipo de desviación en una cuenta de miembro, puede resolverse actualizando la cuenta en la consola de AWS Control Tower o en el generador de cuentas. Por ejemplo, puede añadir la cuenta a otra OU registrada desde el asistente de actualización del generador de cuentas. Para obtener más información, consulte [Actualización y movimiento de cuentas con AWS Control Tower](updating-account-factory-accounts.md).
+ Si se elimina una cuenta compartida de una OU fundamental, debe resolver la desviación restableciendo la zona de aterrizaje. Hasta que no se resuelva esta desviación, no podrá utilizar la consola de AWS Control Tower.
+ Para obtener más información acerca de la resolución de desviaciones para cuentas y unidades organizativas, consulte [Si administra recursos fuera de AWS Control Tower](external-resources.md). 

**nota**  
En Service Catalog, el producto aprovisionado del generador de cuentas que representa la cuenta no se actualiza para eliminarla. En su lugar, el producto aprovisionado se muestra como `TAINTED` y en un estado de error. Para eliminarla, vaya a Service Catalog, seleccione el producto aprovisionado y, a continuación, elija **Terminar**.

## Actualización no programada para SCP administrada
<a name="drift-scp-update"></a>

Este tipo de desviación puede producirse cuando el SCP de un control se actualiza en la AWS Organizations consola o mediante programación mediante el SDK de AWS AWS CLI o uno de ellos. El siguiente es un ejemplo de la notificación de desviación cuando se detecta este tipo de desviación.

```
{
  "Message" : "AWS Control Tower has detected that the managed service control policy '{{aws-guardrails-012345}} ({{p-tEXAMPLE}})', attached to the registered organizational unit 'Security ({{ou-0123-1EXAMPLE}})', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'",
  "ManagementAccountId" : "{{012345678912}}",
  "OrganizationId" : "{{o-123EXAMPLE}}",
  "DriftType" : "SCP_UPDATED",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "{{ou-0123-1EXAMPLE}}",
  "PolicyId" : "{{p-tEXAMPLE}}"
}
```

### Resolución
<a name="drift-scp-update-resolution"></a>

Cuando se produce este tipo de error en una OU con hasta 1000 cuentas, puede resolverse de la siguiente manera:
+ Ir a la página **Organización** en la consola de AWS Control Tower para volver a registrar la OU (la opción más rápida). Para obtener más información, consulte [Registro de una OU existente en AWS Control Tower](importing-existing.md). 
+ Actualizar la zona de aterrizaje (la opción más lenta). Para obtener más información, consulte [Actualización de la zona de aterrizaje](update-controltower.md).

Cuando se produzca este tipo de desviación en una OU con más de 1000 cuentas, resuélvala actualizando la zona de aterrizaje. Para obtener más información, consulte [Actualización de la zona de aterrizaje](update-controltower.md).

## SCP desvinculada de UO administrada
<a name="drift-scp-detached-ou"></a>

Este tipo de desviación se puede producir cuando una SCP de un control se desasocia de una OU administrada por AWS Control Tower. Esto es especialmente común cuando se trabaja desde fuera de la consola de AWS Control Tower. El siguiente es un ejemplo de la notificación de desviación cuando se detecta este tipo de desviación.

```
{
  "Message" : "AWS Control Tower has detected that the managed service control policy '{{aws-guardrails-012345}} ({{p-tEXAMPLE}})' has been detached from the registered organizational unit 'Sandbox ({{ou-0123-1EXAMPLE}})'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'",
  "ManagementAccountId" : "{{012345678912}}",
  "OrganizationId" : "{{o-123EXAMPLE}}",
  "DriftType" : "SCP_DETACHED_FROM_OU",
  "RemediationStep" : "Update Control Tower Setup",
  "OrganizationalUnitId" : "{{ou-0123-1EXAMPLE}}",
  "PolicyId" : "{{p-tEXAMPLE}}"
}
```

### Resolución
<a name="drift-scp-detached-ou-resolution"></a>

Cuando se produce este tipo de error en una OU con hasta 1000 cuentas, puede resolverse de la siguiente manera:
+ Ir a la OU en la consola de AWS Control Tower para volver a registrar la OU (la opción más rápida). Para obtener más información, consulte [Registro de una OU existente en AWS Control Tower](importing-existing.md). 
+ Actualizar la zona de aterrizaje (la opción más lenta). Si la desviación afecta a un control obligatorio, el proceso de actualización crea una nueva política de control de servicio (SCP) y la asocia a la OU para resolver la desviación. Para obtener más información sobre cómo actualizar la zona de aterrizaje, consulte [Actualización de la zona de aterrizaje](update-controltower.md).

Cuando se produzca este tipo de desviación en una OU con más de 1000 cuentas, resuélvala actualizando la zona de aterrizaje. Si la desviación afecta a un control obligatorio, el proceso de actualización crea una nueva política de control de servicio (SCP) y la asocia a la OU para resolver la desviación. Para obtener más información sobre cómo actualizar la zona de aterrizaje, consulte [Actualización de la zona de aterrizaje](update-controltower.md).

## OU fundamental eliminada
<a name="drift-ou-deleted"></a>

Este tipo de desviación solo se aplica a las OU fundamentales de AWS Control Tower, como la OU de seguridad. Se puede producir si se elimina una OU fundamental fuera de la consola de AWS Control Tower. Las OU fundamentales no se pueden trasladar sin crear este tipo de desviación, ya que trasladar una OU es igual que eliminarla y añadirla en otro lugar. Cuando se resuelve la desviación actualizando la zona de aterrizaje, AWS Control Tower sustituye la OU fundamental en la ubicación original. El siguiente ejemplo muestra una notificación de desviación que puede recibir cuando se detecta este tipo de desviación.

```
{
  "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security ({{ou-0123-1EXAMPLE}})' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'",
  "ManagementAccountId" : "{{012345678912}}",
  "OrganizationId" : "{{o-123EXAMPLE}}",
  "DriftType" : "ORGANIZATIONAL_UNIT_DELETED",
  "RemediationStep" : "Delete organizational unit in Control Tower",
  "OrganizationalUnitId" : "{{ou-0123-1EXAMPLE}}"
}
```

### Resolución
<a name="drift-ou-deleted-resolution"></a>

Dado que esta desviación solo se produce en las OU fundamentales, la resolución consiste en actualizar la zona de aterrizaje. Cuando se eliminan otros tipos de OU, AWS Control Tower se actualiza automáticamente.

Para obtener más información acerca de la resolución de desviaciones para cuentas y unidades organizativas, consulte [Si administra recursos fuera de AWS Control Tower](external-resources.md).

## Desviación de control CSPM de Security Hub
<a name="sh-control-drift"></a>

Este tipo de desviación se produce cuando un control que forma parte de la **AWS Security Hub CSPM Service-Managed Norma: AWS Control Tower** informa de un estado de desviación. El propio servicio AWS Security Hub CSPM no informa de un estado de desviación en estos controles. En su lugar, el servicio envía sus resultados a AWS Control Tower.

También se puede detectar una desviación en el control del CSPM de Security Hub si AWS Control Tower no ha recibido una actualización de estado del Security Hub CSPM en más de 24 horas. Si esos resultados no se reciben como se esperaba, AWS Control Tower verifica que el control se encuentra en un estado de desviación. El siguiente ejemplo muestra una notificación de desviación que puede recibir cuando se detecta este tipo de desviación.

```
{
"Message" : "AWS Control Tower has detected that an AWS Security Hub control was removed in your account example-account@amazon.com <mailto:example-account@amazon.com>. The artifact deployed on the target OU and accounts does not match the expected template and configuration for the control. This mismatch indicates that configuration changes were made outside of AWS Control Tower. For more information, view Security Hub standard",
"MasterAccountId" : "123456789XXX",
"ManagementAccountId" : "123456789XXX",
"OrganizationId" : "o-123EXAMPLE",
"DriftType" : "SECURITY_HUB_CONTROL_DISABLED",
"RemediationStep" : "To remediate the issue, Re-register the OU, or remove the control and enable it again. If the problem persists, contact AWS support.",
"AccountId" : "7876543219XXX",
"ControlId" : "SH.XXXXXXX.1",
"ControlName" : "EBS snapshots should not be publicly restorable",
"ApiControlIdentifier" : "arn:aws:controltower:us-east-1::control/PYBETSAGNUZB",
"EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/{{<UNIQUE_ID>}}".
"Region" : "us-east-1"
}
```

### Resolución
<a name="sh-control-drift-resolution"></a>

 Para las unidades organizativas con menos de 1000 cuentas, la solución recomendada es llamar a la **ResetEnabledControl**API para controlar las desviaciones. En la consola, puede seleccionar **Re-register**la unidad organizativa, que restablece el control al estado original. Si se trata de cualquier UO, también puede eliminar y volver a habilitar el control a través de la consola o las API de AWS Control Tower, lo que también restablece el control. 

 Para obtener más información acerca de la resolución de desviaciones para cuentas y unidades organizativas, consulte [Si administra recursos fuera de AWS Control Tower](external-resources.md). 

## Desviación de políticas de control
<a name="control-policy-drift"></a>

Este tipo de desviación se produce cuando un control que se implementa con *políticas de control de recursos* (RCP) o *políticas declarativas* registra un estado de desviación. Devuelve un estado de `CONTROL_INEFFECTIVE`, que puede ver en la consola de AWS Control Tower y en el mensaje de desviación. El mensaje de este tipo de desviación también incluye el `EnabledControlIdentifier` del control afectado.

Este tipo de desviación no se notifica en los SCP-based controles.

El siguiente ejemplo muestra una notificación de desviación que puede recibir cuando se detecta este tipo de desviación.

```
{
    "Message": "AWS Control Tower detects that a policy it owns was updated unexpectedly. This mismatch indicates that configuration changes were made outside of AWS Control Tower.",
    "MasterAccountId": "123456789XXX",
    "ManagementAccountId": "123456789XXX",
    "OrganizationId": "o-123EXAMPLE",
    "DriftType": "CONTROL_INEFFECTIVE",
    "RemediationStep": "To remediate the issue, Reset the DRIFTED enabled control if permitted or Re-register the OU. If the problem persists, contact AWS support.",
    "TargetIdentifier": "arn:aws:::organizations/o-123456/ou-1234-4567",
    "ControlId": "CT.XXXXXXX.PV.1",
    "ControlName": "EBS snapshots should not be publicly restorable",
    "ApiControlIdentifier": "arn:aws:controlcatalog:::control/{{<UNIQUE_ID>"}},
    "EnabledControlIdentifier": "arn:aws:controltower:us-east-1::enabledcontrol/{{<UNIQUE_ID>}}"
}
```

### Resolución
<a name="control-policy-drift-resolution"></a>

La solución más sencilla para la desviación de las políticas de control en los controles RCP, los controles de políticas declarativas y los controles CSPM de Security Hub habilitados en la Torre de Control de AWS es llamar a la API. `ResetEnabledControl`

En el caso de las unidades organizativas con menos de 1000 cuentas, otra solución de la consola o la API es recurrir a **Re-register**la unidad organizativa, que restablece el control al estado original.

Si se trata de una UO individual, puede eliminar y volver a habilitar el control a través de la consola o las API de AWS Control Tower, lo que también restablece el control. 

 Para obtener más información acerca de la resolución de desviaciones para cuentas y unidades organizativas, consulte [Si administra recursos fuera de AWS Control Tower](external-resources.md). 

## Acceso de confianza deshabilitado
<a name="drift-disable-trust"></a>

 Este tipo de desviación se aplica a las zonas de aterrizaje de AWS Control Tower. Se produce cuando inhabilita el acceso de confianza a la Torre de Control de AWS AWS Organizations después de configurar la zona de aterrizaje de la Torre de Control de AWS. 

Cuando se deshabilita el acceso de confianza, AWS Control Tower deja de recibir eventos de cambio de AWS Organizations. AWS Control Tower se basa en estos eventos de cambio para mantenerse sincronizado. AWS Organizations Como resultado, es posible que AWS Control Tower pase por alto cambios organizativos en cuentas y OU. Por eso es importante volver a registrar cada OU cada vez que se actualice la zona de aterrizaje. 

**Ejemplo: notificación de desviación**  
 El siguiente es un ejemplo de la notificación de deriva que se recibe cuando se produce este tipo de deriva. 

```
{
  "Message" : "AWS Control Tower has detected that trusted access has been disabled in AWS Organizations. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-trusted-access-disabled",
  "ManagementAccountId" : "{{012345678912}}",
  "OrganizationId" : "{{o-123EXAMPLE}}",
  "DriftType" : "TRUSTED_ACCESS_DISABLED",
  "RemediationStep" : "Reset Control Tower landing zone."
}
```

### Resolución
<a name="drift-disable-trust-resolution"></a>

 AWS Control Tower notifica cuando se produce este tipo de desviación en la consola de AWS Control Tower. La resolución consiste en restablecer la zona de aterrizaje de AWS Control Tower. Para obtener más información, consulte [Resolución de desviaciones](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift). 

## Desviación de herencia en líneas de base habilitadas
<a name="drift-enabled-baseline"></a>

Este tipo de desviación puede producirse en UO y cuentas de AWS Control Tower.

### Resolución
<a name="drift-enabled-baseline-resolution"></a>

 AWS Control Tower notifica cuando se produce este tipo de desviación. En casi todos los casos de cambio de herencia, recibirás una notificación de cambio en la *cuenta de un miembro de Moved*. Esto se debe a que este tipo de desviación suele producirse cuando se mueve una cuenta o cuando una cuenta no se inscribe.

**Visualización y corrección de desviaciones en la consola**

En la consola de AWS Control Tower puede ver este estado de desviación heredado en la columna **Estado de línea de base** de la página **Organizaciones**. La resolución de la consola es enviar **Re-register**tu OU o **actualizar** tu cuenta.

**Visualización y corrección de desviaciones mediante programación**

Para ver el estado de desviación mediante programación, puede llamar a la API [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html) para ver los estados de las líneas de base habilitadas en sus UO. Para ver los estados de cuentas individuales mediante programación con la API `ListEnabledBaselines`, use la marca `includeChildren`.

 Puede resolver este tipo de errores de desviación mediante programación llamando a la API [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledBaseline.html).

## Desviación de herencia en controles habilitados
<a name="drift-enabled-controls"></a>

Este tipo de desviación puede producirse en UO y cuentas de AWS Control Tower.

### Resolución
<a name="drift-enabled-controls-resolution"></a>

 AWS Control Tower notifica cuando se produce este tipo de desviación. En casi todos los casos de cambio de herencia, recibirá una notificación de cambio de *cuenta de un miembro de Moved*. Esto se debe a que este tipo de desviación suele producirse cuando se mueve una cuenta o cuando una cuenta no se inscribe.

**Visualización y corrección de desviaciones en la consola**

En la consola de AWS Control Tower puede ver este estado de desviación heredado en la página **Organizaciones**, **Controles habilitados** y **Detalles de la cuenta**. La resolución de la consola es enviar **Re-register**tu OU o **actualizar** tu cuenta.

**Visualización y corrección de desviaciones mediante programación**

Para ver mediante programación el estado de desviación heredado de controles habilitados, puede llamar a la API [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledControls.html) para ver los estados de los controles habilitados en sus UO. Para ver los estados de cuentas individuales mediante programación con la API `ListEnabledControls`, use la marca `includeChildren`.

 Puede solucionar este tipo de desviación de herencia mediante programación llamando a la API [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html).

## EventBridge creación
<a name="eventbridge-creation"></a>

**nota**  
EventBridge está habilitada solo para clientes LZ4.0 \+.

 EventBridge Formato de ejemplo para AWS Control Tower

```
{
   "version": "0",   
   "id": "cd4d811e-ab12-322b-8255-872ce65b1bc8",   
   "detail-type": "Drift Detected",   
   "source": "aws.controltower",   
   "account": "111122223333",   
   "time": "2018-03-22T00:38:11Z",   
   "region": "us-east-1",   
   "resources": [],   
   "detail": {   
       "message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'",
       "managementAccountId" : "012345678912",  
       "organizationId" : "o-123EXAMPLE",   
       "driftType" : "ACCOUNT_MOVED_BETWEEN_OUS",   
       "remediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 1000 accounts, you must update the provisioned product in Account Factory.",   
       "accountId" : "012345678909",
       "sourceId" : "012345678909",
       "destinationId" : "ou-3210-1EXAMPLE"
   } 
}
```

Guía para crear una EventBridge regla para recibir notificaciones de desviaciones:

**Para crear una EventBridge regla para las notificaciones de derrape**

1. Abre la **Amazon EventBridge Console**:

1. En el panel de navegación, seleccione **Reglas**.

1. Elija **Creación de regla**.

1. Escriba un nombre y una descripción para la regla.

1. En **Tipo de regla**, elija **Regla con un patrón de evento**.

1. **Defina la fuente del evento**:
   + En «Origen del evento», seleccione **AWS los servicios** como origen del evento.
   + En «nombre del AWS servicio», seleccione **AWS Control Tower**.
   + En «Tipo de evento», seleccione **Drift Detected**

1. **Selecciona el objetivo**:
   + Para los **tipos de destino**, elija el **AWS servicio** y, para **Seleccione un objetivo**, elija un objetivo, como un tema de notificación de desviaciones o una función Lambda. El destino se activa cuando se recibe un evento que coincide con el patrón de eventos definido en la regla.
   + Según el objetivo que haya seleccionado, proporcione los detalles de configuración necesarios, como el nombre de la función Lambda o el ARN del tema de notificación de desviaciones.

1. **Revise y cree la regla**:
   + Revisa los detalles de tu regla y realiza los cambios necesarios.
   + Cuando estés satisfecho, haz clic en **Crear regla** para guardar la nueva EventBridge regla.

Tras crear la regla, empezará a monitorear los eventos de la Torre de Control de AWS especificados y activará la acción objetivo seleccionada cuando se produzcan eventos de deriva.