Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Protokollierung und Überwachung in AWS Control Tower
Mit der Überwachung können Sie potenzielle Vorfälle einplanen und entsprechend darauf reagieren. Die Ergebnisse der Überwachungsaktivitäten werden in Protokolldateien gespeichert. Daher sind Protokollierung und Überwachung eng miteinander verbundene Konzepte, und sie sind ein wichtiger Bestandteil der gut durchdachten Architektur von AWS Control Tower.
Wenn Sie Ihre landing zone einrichten, ist eines der erstellten gemeinsamen Konten das *Log-Archiv-Konto*. Es dient der zentralen Erfassung aller Protokolle, einschließlich der Protokolle für all Ihre gemeinsamen Konten und Mitgliedskonten. Protokolldateien werden in einem Amazon S3 S3-Bucket gespeichert. Diese Protokolldateien ermöglichen es Administratoren und Prüfern, aufgetretene Aktionen und Ereignisse zu überprüfen.
Als bewährte Methode sollten Sie Überwachungsdaten aus allen Teilen Ihres AWS Setups in Ihren Protokollen sammeln, damit Sie einen Fehler an mehreren Stellen leichter debuggen können, falls einer auftritt. AWS bietet verschiedene Tools zur Überwachung Ihrer Ressourcen und Aktivitäten in Ihrer landing zone.
Beispielsweise wird der Status Ihrer Steuerungen ständig überwacht. Sie können ihren Status auf einen Blick in der AWS Control Tower-Konsole oder programmgesteuert über [den AWS Control](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html) Tower sehen. APIs Der Zustand und der Status der Konten, die Sie in Account Factory bereitgestellt haben, werden ebenfalls ständig überwacht.
**Sehen Sie sich die protokollierten Aktionen auf der Seite „Aktivitäten“ an**
In der AWS Control Tower Tower-Konsole bietet die Seite **Aktivitäten** einen Überblick über die Aktionen des AWS Control Tower Tower-Managementkontos. Um zur Seite AWS Control Tower **Tower-Aktivitäten** zu navigieren, wählen Sie in der linken Navigationsleiste **Aktivitäten** aus.
Die auf der Seite Aktivitäten angezeigten **Aktivitäten** sind dieselben, die im AWS CloudTrail Ereignisprotokoll für AWS Control Tower gemeldet wurden, sie werden jedoch in einem Tabellenformat angezeigt. Wenn Sie mehr über eine bestimmte Aktivität erfahren möchten, wählen Sie die Aktivität aus der Tabelle aus und wählen Sie dann **View details (Details anzeigen)**.
Sie können die Aktionen und Ereignisse der Mitgliedskonten in den Protokolldateien einsehen.
In den folgenden Abschnitten werden die Überwachung und Protokollierung in AWS Control Tower detaillierter beschrieben:
**Topics**
+ [Integrierte Tools für die Überwachung](monitoring-overview.md)
+ [Protokollierung AWS Control Tower Tower-Aktionen mit AWS CloudTrail](logging-using-cloudtrail.md)
+ [Lebenszyklusereignisse in AWS Control Tower](lifecycle-events.md)
+ [AWS Benutzerbenachrichtigungen verwenden mit AWS Control Tower](using-user-notifications.md)
# Über die Anmeldung bei AWS Control Tower
AWS Control Tower führt die Protokollierung von Aktionen und Ereignissen durch die Integration mit AWS CloudTrail und AWS Config automatisch durch und zeichnet sie auf CloudWatch. Alle Aktionen werden protokolliert, einschließlich Aktionen aus dem AWS Control Tower Tower-Verwaltungskonto und den Mitgliedskonten Ihrer Organisation. Aktionen und Ereignisse des Verwaltungskontos können auf der Seite **Aktivitäten** in der Konsole eingesehen werden. Sie können die Aktionen und Ereignisse der Mitgliedskonten in den Protokolldateien einsehen.
**Pfade auf Organisationsebene**
AWS Control Tower richtet einen neuen CloudTrail Trail ein, wenn Sie eine landing zone einrichten. Es handelt sich um einen *Trail auf Organisationsebene*, was bedeutet, dass alle Ereignisse für das Verwaltungskonto und alle Mitgliedskonten in der Organisation protokolliert werden. Diese Funktion stützt sich auf *vertrauenswürdigen Zugriff*, um dem Verwaltungskonto die Erlaubnis zu erteilen, für jedes Mitgliedskonto einen Trail zu erstellen.
Weitere Informationen zu AWS Control Tower und CloudTrail Organisationspfaden finden Sie unter [Einen Trail für eine Organisation erstellen](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-trail-organization.html).
**Anmerkung**
In AWS Control Tower-Versionen vor landing zone Version 3.0 hat AWS Control Tower in jedem Konto einen Mitgliedskonten-Trail erstellt. Wenn Sie auf Version 3.0 aktualisieren, wird Ihr CloudTrail Trail zu einem Organisationspfad. Bewährte Methoden für den Wechsel zwischen Wanderwegen finden Sie im *CloudTrail Benutzerhandbuch* unter [Bewährte Methoden für den Wegewechsel](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-trail-organization.html#creating-an-organizational-trail-best-practice).
Wenn Sie ein Konto bei AWS Control Tower registrieren, unterliegt Ihr Konto dem AWS CloudTrail Pfad für die AWS Control Tower Tower-Organisation. Wenn Sie in diesem Konto bereits einen CloudTrail Trail bereitgestellt haben, werden möglicherweise doppelte Gebühren angezeigt, es sei denn, Sie löschen den vorhandenen Trail für das Konto, bevor Sie ihn bei AWS Control Tower registrieren.
**Anmerkung**
Wenn Sie auf landing zone Version 3.0 aktualisieren, löscht AWS Control Tower in Ihrem Namen die Trails auf Kontoebene (die AWS Control Tower erstellt hat) in Ihren registrierten Konten. Ihre vorhandenen Protokolldateien auf Kontoebene werden in ihrem Amazon S3 S3-Bucket aufbewahrt.
# Amazon S3 S3-Bucket-Richtlinie im Auditkonto
In AWS Control Tower haben AWS Services nur dann Zugriff auf Ihre Ressourcen, wenn die Anfrage von Ihrer Organisation oder Organisationseinheit (OU) stammt. Für Schreibberechtigungen muss eine `aws:SourceOrgID` Bedingung erfüllt sein.
Sie können den `aws:SourceOrgID` Bedingungsschlüssel verwenden und den Wert auf Ihre **Organisations-ID** im Bedingungselement Ihrer Amazon S3 S3-Bucket-Richtlinie setzen. Diese Bedingung stellt sicher, dass CloudTrail nur Protokolle im Namen von Konten innerhalb Ihrer Organisation in Ihren S3-Bucket geschrieben werden können. Dadurch wird verhindert, dass CloudTrail Protokolle außerhalb Ihrer Organisation in Ihren AWS Control Tower S3-Bucket schreiben.
Diese Richtlinie hat keinen Einfluss auf die Funktionalität Ihrer vorhandenen Workloads. Die Richtlinie wird im folgenden Beispiel gezeigt.
```
S3AuditBucketPolicy:
Type: AWS::S3::BucketPolicy
Properties:
Bucket: !Ref S3AuditBucket
PolicyDocument:
Version: 2012-10-17
Statement:
- Sid: AllowSSLRequestsOnly
Effect: Deny
Principal: '*'
Action: s3:*
Resource:
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}"
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/*"
Condition:
Bool:
aws:SecureTransport: false
- Sid: AWSBucketPermissionsCheck
Effect: Allow
Principal:
Service:
- cloudtrail.amazonaws.com
- config.amazonaws.com
Action: s3:GetBucketAcl
Resource:
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}"
- Sid: AWSConfigBucketExistenceCheck
Effect: Allow
Principal:
Service:
- cloudtrail.amazonaws.com
- config.amazonaws.com
Action: s3:ListBucket
Resource:
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}"
- Sid: AWSBucketDeliveryForConfig
Effect: Allow
Principal:
Service:
- config.amazonaws.com
Action: s3:PutObject
Resource:
- Fn::Join:
- ""
-
- !Sub "arn:${AWS::Partition}:s3:::"
- !Ref "S3AuditBucket"
- !Sub "/${AWSLogsS3KeyPrefix}/AWSLogs/*/*"
Condition:
StringEquals:
aws:SourceOrgID: !Ref OrganizationId
- Sid: AWSBucketDeliveryForOrganizationTrail
Effect: Allow
Principal:
Service:
- cloudtrail.amazonaws.com
Action: s3:PutObject
Resource: !If [IsAccountLevelBucketPermissionRequiredForCloudTrail,
[!Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/${Namespace}/*", !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/${OrganizationId}/*"],
!Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/*/*"]
Condition:
StringEquals:
aws:SourceOrgID: !Ref OrganizationId
```
Weitere Informationen zu diesem Bedingungsschlüssel finden Sie in der IAM-Dokumentation und im IAM-Blogbeitrag mit dem Titel „*Verwenden Sie skalierbare Kontrollen für AWS Dienste, die auf Ihre Ressourcen zugreifen*“.
# Integrierte Tools für die Überwachung
Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung von AWS Control Tower und Ihren anderen AWS Lösungen. AWS bietet die folgenden Überwachungstools, um AWS Control Tower zu überwachen, zu melden, wenn etwas nicht stimmt, und gegebenenfalls automatische Maßnahmen zu ergreifen:
+ *Amazon CloudWatch* überwacht Ihre AWS Ressourcen und die Anwendungen, auf denen Sie laufen, AWS in Echtzeit. Sie können Kennzahlen erfassen und verfolgen, benutzerdefinierte Dashboards erstellen und Alarme festlegen, die Sie benachrichtigen oder Maßnahmen ergreifen, wenn eine bestimmte Metrik einen von Ihnen festgelegten Schwellenwert erreicht. Sie können beispielsweise die CPU-Auslastung oder andere Kennzahlen Ihrer EC2 Amazon-Instances CloudWatch verfolgen und bei Bedarf automatisch neue Instances starten. Weitere Informationen finden Sie im [ CloudWatch Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ *Amazon CloudWatch Events* bietet einen Stream von Systemereignissen, die Änderungen an AWS Ressourcen beschreiben, nahezu in Echtzeit. CloudWatch Events ermöglicht automatisiertes ereignisgesteuertes Rechnen, da Sie Regeln schreiben können, die auf bestimmte Ereignisse achten und automatisierte Aktionen in anderen AWS Diensten auslösen können, wenn diese Ereignisse eintreten. Weitere Informationen finden Sie im [Amazon CloudWatch Events-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/).
+ Mit *Amazon CloudWatch Logs* können Sie Ihre Protokolldateien von EC2 Amazon-Instances und anderen Quellen überwachen CloudTrail, speichern und darauf zugreifen. CloudWatch Logs kann Informationen in den Protokolldateien überwachen und Sie benachrichtigen, wenn bestimmte Schwellenwerte erreicht werden. Sie können Ihre Protokolldaten auch in einem sehr robusten Speicher archivieren. Weitere Informationen finden Sie im [Amazon CloudWatch Logs-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
+ *AWS CloudTrail*erfasst API-Aufrufe und zugehörige Ereignisse, die von oder im Namen Ihres AWS Kontos getätigt wurden, und übermittelt die Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Aufrufe erfolgten.
**Tipp:** Sie können die CloudTrail Aktivitäten eines Kontos über CloudWatch Logs und Logs Insights einsehen und CloudWatch abfragen. Diese Aktivität umfasst Lebenszyklusereignisse von AWS Control Tower. CloudWatch Die Funktionen von Logs ermöglichen es Ihnen, detailliertere und genauere Abfragen durchzuführen, als Sie es normalerweise tun würden. CloudTrail
Weitere Informationen finden Sie unter [Protokollierung AWS Control Tower Tower-Aktionen mit AWS CloudTrail](logging-using-cloudtrail.md).
# Protokollierung AWS Control Tower Tower-Aktionen mit AWS CloudTrail
AWS Control Tower ist in einen Service integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Service in AWS Control Tower ausgeführt wurden. CloudTrail erfasst Aktionen für AWS Control Tower als Ereignisse. Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Bereitstellung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für AWS Control Tower.
Auch wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse in der CloudTrail-Konsole in **Event history (Ereignisverlauf)** anzeigen. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an AWS Control Tower gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.
Weitere Informationen darüber CloudTrail, einschließlich der Konfiguration und Aktivierung, finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Informationen zu AWS Control Tower in CloudTrail
CloudTrail ist für Ihr AWS Konto aktiviert, wenn Sie das Konto erstellen. Wenn unterstützte Ereignisaktivitäten in AWS Control Tower auftreten, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen im CloudTrail **Ereignisverlauf in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS Konto anzeigen, suchen und herunterladen. Weitere Informationen finden Sie unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
**Anmerkung**
In AWS Control Tower-Versionen vor landing zone Version 3.0 hat AWS Control Tower einen Mitgliedskontenpfad erstellt. Wenn Sie auf Version 3.0 aktualisieren, wird Ihr CloudTrail Trail aktualisiert und wird zu einem Organisationspfad. Bewährte Methoden für den Wechsel zwischen Pfaden finden Sie unter [Erstellen eines Organisationspfads](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-trail-organization.html#creating-an-organizational-trail-best-practice) im CloudTrail Benutzerhandbuch.
**Empfehlung: Erstellen Sie einen Trail**
Für eine fortlaufende Aufzeichnung von Ereignissen in Ihrem AWS Konto, einschließlich Ereignissen für AWS Control Tower, erstellen Sie einen Trail. Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser für alle AWS -Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [Bereite dich darauf vor, einen Trail zu erstellen](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-an-organizational-trail-prepare.html)
+ [Verwaltung der CloudTrail Kosten](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-trail-manage-costs.html)
+ [CloudTrail Unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
AWS Control Tower protokolliert die folgenden Aktionen als Ereignisse in CloudTrail Protokolldateien:
**Öffentlich APIs**
+ Eine vollständige Liste der öffentlichen Dienste von AWS Control Tower APIs und Einzelheiten zu jedem einzelnen finden Sie unter [The AWS Control Tower API Reference](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html). Anrufe an diese Nutzer APIs werden von protokolliert AWS CloudTrail.
**Andere APIs**
+ `SetupLandingZone`
+ `UpdateAccountFactoryConfig`
+ `ManageOrganizationalUnit`
+ `CreateManagedAccount`
+ `GetLandingZoneStatus`
+ `GetHomeRegion`
+ `ListManagedAccounts`
+ `DescribeManagedAccount`
+ `DescribeAccountFactoryConfig`
+ `DescribeGuardrailForTarget`
+ `DescribeManagedOrganizationalUnit`
+ `ListEnabledGuardrails`
+ `ListGuardrailViolations`
+ `ListGuardrails`
+ `ListGuardrailsForTarget`
+ `ListManagedAccountsForGuardrail`
+ `ListManagedAccountsForParent`
+ `ListManagedOrganizationalUnits`
+ `ListManagedOrganizationalUnitsForGuardrail`
+ `GetGuardrailComplianceStatus`
+ `DescribeGuardrail`
+ `ListDirectoryGroups`
+ `DescribeSingleSignOn`
+ `DescribeCoreService`
+ `GetAvailableUpdates`
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Ob die Anfrage mit Root- oder AWS Identity and Access Management (IAM-) Benutzeranmeldedaten gestellt wurde.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.
+ Ob die Anfrage als Zugriff verweigert abgelehnt oder erfolgreich verarbeitet wurde.
Weitere Informationen finden Sie unter [CloudTrail userIdentity-Element](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Beispiel: Einträge in der AWS Control Tower Tower-Protokolldatei
Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Ereignisse werden in den Protokolldateien nicht in einer bestimmten Reihenfolge angezeigt.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die Struktur eines typischen Protokolldateieintrags für ein `SetupLandingZone` AWS Control Tower Tower-Ereignis zeigt, einschließlich einer Aufzeichnung der Identität des Benutzers, der die Aktion initiiert hat.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:backend-test-assume-role-session",
"arn": "arn:aws:sts::76543EXAMPLE;:assumed-role/AWSControlTowerTestAdmin/backend-test-assume-role-session",
"accountId": "76543EXAMPLE",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2018-11-20T19:36:11Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::AKIAIOSFODNN7EXAMPLE:role/AWSControlTowerTestAdmin",
"accountId": "AIDACKCEVSQ6C2EXAMPLE",
"userName": "AWSControlTowerTestAdmin"
}
}
},
"eventTime": "2018-11-20T19:36:15Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "SetupLandingZone",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "Coral/Netty4",
"errorCode": "InvalidParametersException",
"errorMessage": "Home region EU_CENTRAL_1 is unsupported",
"requestParameters": {
"homeRegion": "EU_CENTRAL_1",
"logAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
"sharedServiceAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
"securityAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
"securityNotificationEmail": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"responseElements": null,
"requestID": "96f47b68-ed5f-4268-931c-807cd1f89a96",
"eventID": "4ef5cf08-39e5-4fdf-9ea2-b07ced506851",
"eventType": "AwsApiCall",
"recipientAccountId": "76543EXAMPLE"
}
```
# Überwachen Sie Ressourcenänderungen mit AWS Config
AWS Control Tower AWS Config aktiviert alle registrierten Konten, sodass es die Einhaltung der Vorschriften durch detektive Kontrollen überwachen, Ressourcenänderungen aufzeichnen und Ressourcenänderungsprotokolle an das Protokollarchivkonto senden kann.
**Wenn Ihre landing zone Zone-Version älter als 3.0 ist**: AWS Config Protokolliert für Ihre registrierten Konten alle Änderungen an Ressourcen für alle Regionen, in denen das Konto betrieben wird. Jede Änderung wird als Configuration Item (CI) modelliert, das Informationen wie die Ressourcen-ID, die Region, das Datum, an dem jede Änderung aufgezeichnet wurde, und darüber, ob sich die Änderung auf eine bekannte oder eine neu entdeckte Ressource bezieht, enthält.
**Wenn Ihre landing zone Zone-Version 3.0 oder höher ist**: AWS Control Tower beschränkt die Aufzeichnung für globale Ressourcen wie IAM-Benutzer, Gruppen, Rollen und vom Kunden verwaltete Richtlinien nur auf Ihre Heimatregion. Kopien globaler Ressourcenänderungen werden nicht in jeder Region gespeichert. Diese Beschränkung der Ressourcenaufzeichnung entspricht den AWS Config [bewährten Verfahren](https://aws.amazon.com//blogs/mt/aws-config-best-practices/). Eine [vollständige Liste der globalen Ressourcen](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html) ist in der AWS Config Dokumentation verfügbar.
+ Weitere Informationen dazu finden Sie AWS Config unter [So AWS Config funktioniert](https://docs.aws.amazon.com//config/latest/developerguide/how-does-config-work.html) es.
+ Eine Liste der Ressourcen, die unterstützt AWS Config werden können, finden Sie unter [Unterstützte Ressourcentypen](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html).
+ Weitere Informationen zum Anpassen der Ressourcenverfolgung in der AWS Control Tower-Umgebung finden Sie im Blogbeitrag [Customize AWS Config Resource Tracking in AWS Control Tower](https://aws.amazon.com/blogs//mt/customize-aws-config-resource-tracking-in-aws-control-tower-environment).
AWS Control Tower richtet für alle registrierten Konten einen AWS Config Lieferkanal ein. Über diesen Lieferkanal werden alle Änderungen protokolliert, die AWS Config im Protokollarchivkonto aufgezeichnet wurden, wo sie in einem Ordner in einem Amazon Simple Storage Service-Bucket gespeichert werden.
# AWS Config Kosten in AWS Control Tower verwalten
In diesem Abschnitt wird beschrieben, wie Änderungen an Ressourcen in Ihren AWS Control Tower Tower-Konten AWS Config aufgezeichnet und Ihnen in Rechnung gestellt werden. Diese Informationen können Ihnen helfen zu verstehen, wie Sie die mit AWS Config der Nutzung von AWS Control Tower verbundenen Kosten verwalten können. Bei AWS Control Tower fallen keine zusätzlichen Kosten an.
**Anmerkung**
**Wenn Ihre landing zone Zone-Version 3.0 oder höher ist**: AWS Control Tower beschränkt die AWS Config Aufzeichnung für globale Ressourcen wie IAM-Benutzer, Gruppen, Rollen und vom Kunden verwaltete Richtlinien nur auf Ihre Heimatregion. Daher gelten einige der Informationen in diesem Abschnitt möglicherweise nicht für Ihre landing zone.
AWS Config ist so konzipiert, dass jede Änderung an jeder Ressource in jeder Region, in der ein Konto betrieben wird, als Konfigurationselement (CI) aufgezeichnet wird. AWS Config stellt Ihnen jedes Konfigurationselement, das es generiert, in Rechnung.
**Wie AWS Config funktioniert**
AWS Config zeichnet Ressourcen in jeder Region separat auf. Einige globale Ressourcen, wie z. B. IAM-Rollen, werden einmal pro Region aufgezeichnet. Wenn Sie beispielsweise eine neue IAM-Rolle in einem registrierten Konto erstellen, das in fünf Regionen aktiv ist, werden fünf AWS Config generiert CIs, eine für jede Region. Andere globale Ressourcen, wie z. B. von Route 53 gehostete Zonen, werden in allen Regionen nur einmal aufgezeichnet. Wenn Sie beispielsweise eine neue gehostete Route 53-Zone in einem registrierten Konto erstellen, wird unabhängig davon, wie viele Regionen für dieses Konto ausgewählt wurden, ein CI AWS Config generiert. Eine Liste, die Ihnen hilft, diese Ressourcentypen zu unterscheiden, finden Sie unter[Dieselbe Ressource wird mehrfach aufgezeichnet](monitoring-with-config.md#duplicate-configuration-items).
**Anmerkung**
Wenn AWS Control Tower mit arbeitet AWS Config, kann eine Region von AWS Control Tower verwaltet werden oder nicht regiert werden, und die Änderungen werden AWS Config trotzdem aufgezeichnet, wenn das Konto in dieser Region betrieben wird.
**AWS Config erkennt zwei Arten von Beziehungen in Ressourcen**
AWS Config unterscheidet zwischen *direkten* und *indirekten* Beziehungen zwischen Ressourcen. **Wenn eine Ressource im Describe-API-Aufruf einer anderen Ressource zurückgegeben wird, werden diese Ressourcen als direkte Beziehung aufgezeichnet.** Wenn Sie eine Ressource ändern, die in direkter Beziehung zu einer anderen Ressource AWS Config steht, wird kein CI für beide Ressourcen erstellt.
Wenn Sie beispielsweise eine Amazon EC2 EC2-Instance erstellen und die API verlangt, dass Sie eine Netzwerkschnittstelle erstellen, wird davon ausgegangen, AWS Config dass die Amazon EC2 EC2-Instance eine direkte Beziehung zur Netzwerkschnittstelle hat. AWS Config Generiert daher nur ein CI.
AWS Config zeichnet separate Änderungen für Ressourcenbeziehungen auf, bei denen es sich um *indirekte* Beziehungen handelt. AWS Config Generiert beispielsweise zwei CIs, wenn Sie eine Sicherheitsgruppe erstellen und eine zugehörige Amazon EC2 EC2-Instance hinzufügen, die Teil der Sicherheitsgruppe ist.
Weitere Informationen zu direkten und indirekten Beziehungen finden Sie unter [Was ist eine direkte und eine indirekte Beziehung zu einer Ressource](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-0)?
[Eine Liste der Ressourcenbeziehungen](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html) finden Sie in der AWS Config Dokumentation.
## Sehen Sie sich die AWS Config Rekorderdaten der registrierten Konten an
AWS Config ist integriert, CloudWatch sodass Sie sie AWS Config CIs in einem Dashboard einsehen können. Weitere Informationen finden Sie im Blogbeitrag [AWS Config Unterstützt CloudWatch Amazon-Metriken](https://aws.amazon.com/about-aws/whats-new/2022/05/aws-config-supports-amazon-cloudwatch-metrics).
Um AWS Config Daten programmgesteuert anzuzeigen, können Sie mit der AWS CLI arbeiten oder andere AWS Tools verwenden.
### Fragen Sie die AWS Config Rekorderdaten einer bestimmten Ressource ab
Sie können die AWS CLI verwenden, um eine Liste der letzten Änderungen für eine Ressource abzurufen.
**Befehl zum Ressourcenverlauf:**
+ `aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION`
Weitere Informationen finden Sie in [der API-Dokumentation für `get-config-history`](https://docs.aws.amazon.com//cli/latest/reference/configservice/get-resource-config-history.html).
### Visualisieren Sie AWS Config Daten mit Quick
Sie können Ressourcen visualisieren und abfragen, die AWS Config in Ihrem gesamten Unternehmen aufgezeichnet wurden. Weitere Informationen finden Sie im [Config Resource Compliance Dashboard](https://catalog.workshops.aws/awscid/en-US/dashboards/additional/config-resource-compliance-dashboard) und [Visualisieren von AWS Config Daten mit Amazon Athena und](https://aws.amazon.com/blogs/mt/visualizing-aws-config-data-using-amazon-athena-and-amazon-quicksight/) Quick.
## Fehlerbehebung AWS Config in AWS Control Tower
Dieser Abschnitt enthält Informationen zu einigen Problemen, die bei der Verwendung AWS Config mit AWS Control Tower auftreten können.
### Hohe AWS Config Kosten
Wenn Ihr Workflow Prozesse umfasst, die häufig Ressourcen erstellen, aktualisieren oder löschen, oder wenn er Ressourcen in großer Anzahl verarbeitet, kann dieser Workflow eine große Anzahl von Ressourcen generieren CIs. Wenn Sie diese Prozesse in einem Konto ausführen, das kein Produktionskonto ist, sollten Sie erwägen, die Registrierung des Kontos aufzuheben. Möglicherweise müssen Sie den AWS Config Rekorder für dieses Konto manuell deaktivieren.
**Anmerkung**
Nachdem Sie das Konto deregistriert haben, kann AWS Control Tower keine detektivischen Kontrollen erzwingen oder Kontoereignisse wie AWS Config Aktivitäten für Ressourcen in diesem Konto protokollieren.
Weitere Informationen finden Sie unter [Verwaltung eines registrierten Kontos aufheben](https://docs.aws.amazon.com//controltower/latest/userguide/unmanage-account.html). Informationen zum Deaktivieren des AWS Config Rekorders finden Sie unter [Verwaltung des Konfigurationsrekorders](https://docs.aws.amazon.com//config/latest/developerguide/stop-start-recorder.html).
### Dieselbe Ressource wird mehrfach aufgezeichnet
Prüfen Sie, ob es sich bei der Ressource um eine [globale Ressource](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html) handelt. Für AWS Control Tower Tower-Landezonen vor Version 3.0 AWS Config können bestimmte globale Ressourcen für jede Region, in der sie betrieben AWS Config wird, einmal aufgezeichnet werden. Wenn AWS Config es beispielsweise in acht Regionen aktiviert ist, wird jede Rolle achtmal aufgezeichnet.
**Die folgenden Ressourcen werden für jede Region, in der gearbeitet AWS Config wird, einmal aufgezeichnet:**
+ `AWS::IAM::Group`
+ `AWS::IAM::Policy`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
**Andere globale Ressourcen werden nur einmal aufgezeichnet. Hier sind einige Beispiele für Ressourcen, die einmal aufgezeichnet wurden:**
+ `AWS::Route53::HostedZone`
+ `AWS::Route53::HealthCheck`
+ `AWS::ECR::PublicRepository`
+ `AWS::GlobalAccelerator::Listener`
+ `AWS::GlobalAccelerator::EndpointGroup`
+ `AWS::GlobalAccelerator::Accelerator`
### AWS Config hat keine Ressource aufgezeichnet
Bestimmte Ressourcen haben Abhängigkeitsbeziehungen zu anderen Ressourcen. Diese Beziehungen können *direkt* oder *indirekt* sein. Eine Liste der veralteten indirekten Beziehungen finden Sie in [den AWS Config](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-2) häufig gestellten Fragen.
# Lebenszyklusereignisse in AWS Control Tower
Einige von AWS Control Tower protokollierte Ereignisse sind *Lebenszyklusereignisse*. Der Zweck eines Lebenszyklusereignisses besteht darin, den *Abschluss* bestimmter AWS Control Tower Tower-Aktionen zu kennzeichnen, die den Status von Ressourcen ändern. Lebenszyklusereignisse beziehen sich auf Ressourcen, die AWS Control Tower erstellt oder verwaltet, z. B. eine landing zone, Baseline oder Kontrolle, die sich auf eine Organisationseinheit (OU) oder ein Konto beziehen.
**Merkmale von AWS Control Tower Tower-Lebenszyklusereignissen**
+ Für jedes Lebenszyklusereignis zeigt das Ereignisprotokoll an, ob die ursprüngliche Control Tower-Aktion erfolgreich abgeschlossen wurde oder fehlgeschlagen ist.
+ AWS CloudTrail zeichnet jedes Lebenszyklusereignis automatisch als * AWS Nicht-API-Serviceereignis* auf. Weitere Informationen finden Sie [im AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/non-api-aws-service-events.html).
+ Jedes Lifecycle-Ereignis wird auch an die Amazon EventBridge - und Amazon CloudWatch Events-Services übermittelt. **Hinweis:** Um Lifecycle-Ereignisse empfangen zu können EventBridge, müssen Sie über einen aktiven AWS CloudTrail Trail mit aktivierter Protokollierung verfügen. Weitere Informationen zu AWS Serviceereignissen, die über bereitgestellt werden AWS CloudTrail, finden Sie unter [AWS-Serviceereignisse, die über AWS bereitgestellt werden](https://docs.aws.amazon.com//eventbridge/latest/userguide/eb-service-event-cloudtrail.html), CloudTrail im EventBridge Amazon-Benutzerhandbuch.
**Lebenszyklusereignisse in AWS Control Tower bieten zwei Hauptvorteile:**
+ Da ein Lebenszyklusereignis den Abschluss einer AWS Control Tower Tower-Aktion registriert, können Sie eine EventBridge Amazon-Regel oder eine Amazon CloudWatch Events-Regel erstellen, die je nach Status des Lebenszyklusereignisses die nächsten Schritte in Ihrem Automatisierungs-Workflow auslösen kann.
+ Die Protokolle bieten zusätzliche Details, um Administratoren und Prüfer bei der Überprüfung bestimmter Aktivitätstypen in Ihren Organisationen zu unterstützen.
**Funktionsweise von Lebenszyklusereignissen**
AWS Control Tower stützt sich bei der Umsetzung seiner Aktionen auf mehrere Services. Daher wird jedes Lebenszyklusereignis erst aufgezeichnet, nachdem eine Reihe von Aktionen abgeschlossen ist. Wenn Sie beispielsweise eine Steuerung auf einer Organisationseinheit aktivieren, startet AWS Control Tower eine Reihe von Unterschritten, die die Anforderung implementieren. Das Endergebnis der gesamten Reihe von Unterschritten wird im Protokoll als Status des Lebenszyklusereignisses aufgezeichnet.
+ Wenn jeder zugrunde liegende Unterschritt erfolgreich abgeschlossen wurde, wird der Lebenszyklusereignis-Status als **Succeeded (Erfolgreich)** aufgezeichnet.
+ Wenn einer der zugrunde liegenden Unterschritte nicht erfolgreich abgeschlossen wurde, wird der Lebenszyklusereignis-Status als **Failed (Fehlgeschlagen)** aufgezeichnet.
Jedes Lebenszyklusereignis enthält einen protokollierten Zeitstempel, der angibt, wann die AWS Control Tower Tower-Aktion initiiert wurde, und einen weiteren Zeitstempel, der angibt, wann das Lebenszyklusereignis abgeschlossen ist, was Erfolg oder Misserfolg kennzeichnet.
**Anzeigen von Lebenszyklusereignissen im Control Tower**
Sie können Lebenszyklusereignisse auf der Seite **Aktivitäten** in Ihrem AWS Control Tower Tower-Dashboard anzeigen.
+ Um zur Seite **Activities (Aktivitäten)** zu gelangen, wählen Sie im linken Navigationsbereich die Option **Activities (Aktivitäten)** aus.
+ Um weitere Details zu einem bestimmten Ereignis zu erhalten, wählen Sie das Ereignis und dann oben rechts die Schaltfläche **View Details (Details anzeigen)** aus.
Weitere Informationen zur Integration von AWS Control Tower Tower-Lifecycle-Ereignissen in Ihre Workflows finden Sie in diesem Blogbeitrag Using [Lifecycle-Ereignisse, um AWS Control Tower Tower-Aktionen nachzuverfolgen und automatisierte Workflows auszulösen](https://aws.amazon.com//blogs/mt/using-lifecycle-events-to-track-aws-control-tower-actions-and-trigger-automated-workflows/).
**Erwartetes Verhalten CreateManagedAccount und UpdateManagedAccount Lebenszyklusereignisse**
Wenn Sie ein Konto erstellen oder ein Konto bei AWS Control Tower registrieren, rufen diese beiden Aktionen dieselbe interne API auf. Wenn während des Vorgangs ein Fehler auftritt, tritt dieser normalerweise auf, nachdem das Konto erstellt, aber nicht vollständig bereitgestellt wurde. Wenn Sie nach dem Fehler erneut versuchen, das Konto zu erstellen, oder wenn Sie versuchen, das bereitgestellte Produkt zu aktualisieren, stellt AWS Control Tower fest, dass das Konto bereits existiert.
Da das Konto existiert, zeichnet AWS Control Tower das `UpdateManagedAccount` Lebenszyklusereignis statt des `CreateManagedAccount` Lebenszyklusereignisses am Ende der Wiederholungsanforderung auf. Möglicherweise haben Sie aufgrund des Fehlers mit einem weiteren `CreateManagedAccount` Ereignis gerechnet. Bei dem `UpdateManagedAccount` Lebenszyklusereignis handelt es sich jedoch um das erwartete und erwünschte Verhalten.
Wenn Sie planen, Konten mithilfe automatisierter Methoden bei AWS Control Tower zu erstellen oder zu registrieren, programmieren Sie die Lambda-Funktion so, dass sie sowohl nach **UpdateManagedAccount**Lebenszyklusereignissen als **CreateManagedAccount**auch nach Lebenszyklusereignissen sucht.
**Namen des Lebenszyklusereignis**
Jedes Lebenszyklusereignis ist so benannt, dass es der ursprünglichen AWS Control Tower Tower-Aktion entspricht, die ebenfalls von AWS aufgezeichnet wird CloudTrail. So wird beispielsweise ein Lebenszyklusereignis benannt, das durch das AWS Control Tower `CreateManagedAccount` CloudTrail Tower-Ereignis ausgelöst wurde`CreateManagedAccount`.
Jeder Name in der nachfolgenden Liste ist ein Link zu einem Beispiel der protokollierten Details im `JSON`-Format. Die zusätzlichen Details in diesen Beispielen stammen aus den CloudWatch Amazon-Ereignisprotokollen.
Obwohl `JSON` Kommentare nicht unterstützt, wurden zur Erläuterung einige Kommentare in den Beispielen hinzugefügt. Kommentaren wird "//" vorangestellt und sie werden auf der rechten Seite der Beispiele angezeigt.
In diesen Beispielen sind einige Kontonamen und Organisationsnamen verdeckt. Eine `accountId` ist immer eine 12-stellige Zahlenfolge, die in den Beispielen durch "xxxxxxxxxxxx" ersetzt wurde. Eine `organizationalUnitID` ist eine eindeutige Zeichenfolge aus Buchstaben und Zahlen. Ihre Form bleibt in den Beispielen erhalten.
+ [`CreateManagedAccount`](#create-managed-account): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Erstellung und Bereitstellung eines neuen Kontos mit Account Factory erfolgreich abgeschlossen hat.
+ [`UpdateManagedAccount`](#update-managed-account): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Aktualisierung eines bereitgestellten Produkts, das mit einem Konto verknüpft ist, das Sie zuvor mithilfe von Account Factory erstellt hatten, erfolgreich abgeschlossen hat.
+ [`EnableGuardrail`](#enable-control): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Aktivierung einer Steuerung auf einer Organisationseinheit erfolgreich abgeschlossen hat.
+ [`DisableGuardrail`](#disable-control): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Deaktivierung einer Steuerung auf einer Organisationseinheit erfolgreich abgeschlossen hat.
+ [`SetupLandingZone`](#setup-landing-zone): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Einrichtung einer landing zone erfolgreich abgeschlossen hat.
+ [`UpdateLandingZone`](#update-landing-zone): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Aktualisierung Ihrer bestehenden landing zone erfolgreich abgeschlossen hat.
+ [`RegisterOrganizationalUnit`](#register-organizational-unit): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Aktivierung seiner Governance-Funktionen auf einer Organisationseinheit erfolgreich abgeschlossen hat.
+ [`DeregisterOrganizationalUnit`](#deregister-organizational-unit): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Deaktivierung seiner Governance-Funktionen auf einer Organisationseinheit erfolgreich abgeschlossen hat.
+ [`PrecheckOrganizationalUnit`](#precheck-organizational-unit): Das Protokoll zeichnet auf, ob AWS Control Tower eine Ressource erkannt hat, die den erfolgreichen Abschluss des **Extend Governance-Vorgangs** verhindern würde.
+ [`EnableBaseline`](#enable-baseline-lfc): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Aktivierung einer neuen Baseline auf einem Zielmitgliedskonto unter einer OU erfolgreich abgeschlossen hat. Der Aktivierungsvorgang kann über die `EnableBaseline` API oder die Konsole initiiert werden.
+ [`ResetEnabledBaseline`](#reset-enabled-baseline-lfc): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zum Zurücksetzen einer vorhandenen aktivierten Baseline auf einem Zielmitgliedskonto unter einer OU erfolgreich abgeschlossen hat. Der Rücksetzvorgang kann über die `ResetEnabledBaseline` API oder die Konsole initiiert werden.
+ [`UpdateEnabledBaseline`](#update-enabled-baseline-lfc): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Aktualisierung einer vorhandenen aktivierten Baseline auf einem Zielmitgliedskonto unter einer OU erfolgreich abgeschlossen hat. Der Aktualisierungsvorgang kann über die `UpdateEnabledBaseline` API oder die Konsole initiiert werden.
+ [`DisableBaseline`](#disable-baseline-lfc): Das Protokoll zeichnet auf, ob AWS Control Tower alle Aktionen zur Deaktivierung einer vorhandenen aktivierten Baseline auf einem Zielmitgliedskonto unter einer OU erfolgreich abgeschlossen hat. Der Deaktivierungsvorgang kann über die `DisableBaseline` API oder die Konsole initiiert werden.
Die folgenden Abschnitte enthalten eine Liste der AWS Control Tower Tower-Lebenszyklusereignisse mit Beispielen für die Details, die für jeden Typ von Lebenszyklusereignissen protokolliert wurden.
## `CreateManagedAccount`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower erfolgreich ein neues Konto mit Account Factory erstellt und bereitgestellt hat. Dieses Ereignis entspricht dem AWS Control Tower `CreateManagedAccount` CloudTrail Tower-Ereignis. Das Lebenszyklusereignis-Protokoll enthält den `accountName` und die `accountId` des neu erstellten Kontos und den `organizationalUnitName` und die `organizationalUnitId` der Organisationseinheit, in der sich das Konto befindet.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // Management account ID.
"time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "us-east-1", // AWS Control Tower home region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "CreateManagedAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"createManagedAccountStatus": {
"organizationalUnit":{
"organizationalUnitName":"Custom",
"organizationalUnitId":"ou-XXXX-l3zc8b3h"
},
"account":{
"accountName":"LifeCycle1",
"accountId":"XXXXXXXXXXXX"
},
"state":"SUCCEEDED",
"message":"AWS Control Tower successfully created a managed account.",
"requestedTimestamp":"2019-11-15T11:45:18+0000",
"completedTimestamp":"2019-11-16T12:09:32+0000"}
}
}
}
```
## `UpdateManagedAccount`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower das bereitgestellte Produkt, das einem Konto zugeordnet ist, das zuvor mithilfe von Account Factory erstellt wurde, erfolgreich aktualisiert hat. Dieses Ereignis entspricht dem AWS Control Tower `UpdateManagedAccount` CloudTrail Tower-Ereignis. Das Lebenszyklusereignis-Protokoll enthält den `accountName` und die `accountId` des zugeordneten Kontos und den `organizationalUnitName` und die `organizationalUnitId` der Organisationseinheit, in der sich das aktualisierte Konto befindet.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // AWS Control Tower organization management account.
"time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "us-east-1", // AWS Control Tower home region.
"resources": [],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "UpdateManagedAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"updateManagedAccountStatus": {
"organizationalUnit":{
"organizationalUnitName":"Custom",
"organizationalUnitId":"ou-XXXX-l3zc8b3h"
},
"account":{
"accountName":"LifeCycle1",
"accountId":"XXXXXXXXXXXX"
},
"state":"SUCCEEDED",
"message":"AWS Control Tower successfully updated a managed account.",
"requestedTimestamp":"2019-11-15T11:45:18+0000",
"completedTimestamp":"2019-11-16T12:09:32+0000"}
}
}
}
```
## `EnableGuardrail`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower erfolgreich eine Kontrolle auf einer Organisationseinheit aktiviert hat, die von AWS Control Tower verwaltet wird. Dieses Ereignis entspricht dem AWS Control Tower `EnableGuardrail` CloudTrail Tower-Ereignis. Das Lebenszyklus-Ereignisprotokoll umfasst das `guardrailId` Ende `guardrailBehavior` der Steuerung `organizationalUnitName` und das Ende `organizationalUnitId` der Organisationseinheit, auf der die Steuerung aktiviert ist.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX",
"time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "us-east-1", // AWS Control Tower home region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "EnableGuardrail",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"enableGuardrailStatus": {
"organizationalUnits": [
{
"organizationalUnitName": "Custom",
"organizationalUnitId": "ou-vwxy-18vy4yro"
}
],
"guardrails": [
{
"guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK",
"guardrailBehavior": "DETECTIVE"
}
],
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.",
"requestTimestamp": "2019-11-12T09:01:07+0000",
"completedTimestamp": "2019-11-12T09:01:54+0000"
}
}
}
}
```
## `DisableGuardrail`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower erfolgreich eine Steuerung auf einer Organisationseinheit deaktiviert hat, die von AWS Control Tower verwaltet wird. Dieses Ereignis entspricht dem AWS Control Tower `DisableGuardrail` CloudTrail Tower-Ereignis. Das Lebenszyklus-Ereignisprotokoll umfasst das `guardrailId` `guardrailBehavior` Ende des Steuerelements `organizationalUnitName` und das Ende `organizationalUnitId` der Organisationseinheit, auf der das Steuerelement deaktiviert ist.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX",
"time": "2018-08-30T21:42:18Z",
"region": "us-east-1",
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "DisableGuardrail",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"disableGuardrailStatus": {
"organizationalUnits": [
{
"organizationalUnitName": "Custom",
"organizationalUnitId": "ou-vwxy-18vy4yro"
}
],
"guardrails": [
{
"guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK",
"guardrailBehavior": "DETECTIVE"
}
],
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.",
"requestTimestamp": "2019-11-12T09:01:07+0000",
"completedTimestamp": "2019-11-12T09:01:54+0000"
}
}
}
}
```
## `SetupLandingZone`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower erfolgreich eine landing zone eingerichtet hat. Dieses Ereignis entspricht dem AWS Control Tower `SetupLandingZone` CloudTrail Tower-Ereignis. Das Lebenszyklus-Ereignisprotokoll enthält die `rootOrganizationalId` ID der Organisation, die AWS Control Tower über das Verwaltungskonto erstellt. Der Protokolleintrag enthält auch das `organizationalUnitName` und `organizationalUnitId` für jedes der Konten und das OUs `accountName` und `accountId` für jedes Konto, die erstellt werden, wenn AWS Control Tower die landing zone einrichtet.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID.
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // Management account ID.
"time": "2018-08-30T21:42:18Z", // Event time from CloudTrail.
"region": "us-east-1", // Management account CloudTrail region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX", // Management-account ID.
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "SetupLandingZone",
"awsRegion": "us-east-1", // AWS Control Tower home region.
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail.
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"setupLandingZoneStatus": {
"state": "SUCCEEDED", // Status of entire lifecycle operation.
"message": "AWS Control Tower successfully set up a new landing zone.",
"rootOrganizationalId" : "r-1234",
"organizationalUnits" : [ // Use a list.
{
"organizationalUnitName": "Security", // Security OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Security OU ID.
},
{
"organizationalUnitName": "Custom", // Custom OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID.
},
],
"accounts": [ // All created accounts are here. Use a list of "account" objects.
{
"accountName": "Audit",
"accountId": "XXXXXXXXXXXX"
},
{
"accountName": "Log archive",
"accountId": "XXXXXXXXXXXX"
}
],
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `UpdateLandingZone`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower Ihre bestehende landing zone erfolgreich aktualisiert hat. Dieses Ereignis entspricht dem AWS Control Tower `UpdateLandingZone` CloudTrail Tower-Ereignis. Das Lebenszyklus-Ereignisprotokoll enthält die `rootOrganizationalId` ID der (aktualisierten) Organisation, die von AWS Control Tower verwaltet wird. Der Protokolleintrag enthält auch das `organizationalUnitName` und `organizationalUnitId` für jedes der OUs Konten und das `accountName` und `accountId` für jedes Konto, das zuvor erstellt wurde, als AWS Control Tower die landing zone ursprünglich einrichtete.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID.
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // Management account ID.
"time": "2018-08-30T21:42:18Z", // Event time from CloudTrail.
"region": "us-east-1", // Management account CloudTrail region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX", // Management account ID.
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "UpdateLandingZone",
"awsRegion": "us-east-1", // AWS Control Tower home region.
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail.
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"updateLandingZoneStatus": {
"state": "SUCCEEDED", // Status of entire operation.
"message": "AWS Control Tower successfully updated a landing zone.",
"rootOrganizationalId" : "r-1234",
"organizationalUnits" : [ // Use a list.
{
"organizationalUnitName": "Security", // Security OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Security OU ID.
},
{
"organizationalUnitName": "Custom", // Custom OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID.
},
],
"accounts": [ // All created accounts are here. Use a list of "account" objects.
{
"accountName": "Audit",
"accountId": "XXXXXXXXXXXX"
},
{
"accountName": "Log archive",
"accountId": "XXXXXXXXXX"
}
],
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `RegisterOrganizationalUnit`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower seine Governance-Funktionen auf einer Organisationseinheit erfolgreich aktiviert hat. Dieses Ereignis entspricht dem AWS Control Tower `RegisterOrganizationalUnit` CloudTrail Tower-Ereignis. Das Lifecycle-Ereignisprotokoll umfasst das `organizationalUnitName` Ende `organizationalUnitId` der Organisationseinheit, die AWS Control Tower unter seine Kontrolle gebracht hat.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "123456789012",
"time": "2018-08-30T21:42:18Z",
"region": "us-east-1",
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "RegisterOrganizationalUnit",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"registerOrganizationalUnitStatus": {
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully registered an organizational unit.",
"organizationalUnit" :
{
"organizationalUnitName": "Test",
"organizationalUnitId": "ou-adpf-302pk332"
}
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `DeregisterOrganizationalUnit`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower seine Governance-Funktionen auf einer Organisationseinheit erfolgreich deaktiviert hat. Dieses Ereignis entspricht dem AWS Control Tower `DeregisterOrganizationalUnit` CloudTrail Tower-Ereignis. Das Lifecycle-Ereignisprotokoll enthält das `organizationalUnitName` Ende `organizationalUnitId` der Organisationseinheit, auf der AWS Control Tower seine Governance-Funktionen deaktiviert hat.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX",
"time": "2018-08-30T21:42:18Z",
"region": "us-east-1",
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "DeregisterOrganizationalUnit",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"deregisterOrganizationalUnitStatus": {
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.",
"organizationalUnit" :
{
"organizationalUnitName": "Test", // Foundational OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID.
},
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `PrecheckOrganizationalUnit`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower erfolgreich Vorabprüfungen an einer Organisationseinheit durchgeführt hat. Dieses Ereignis entspricht dem AWS Control Tower `PrecheckOrganizationalUnit` CloudTrail Tower-Ereignis. Das Lebenszyklus-Ereignisprotokoll enthält ein Feld für die `failedPrechecks` Werte `Id``Name`, und für jede Ressource, für die AWS Control Tower während des OU-Registrierungsprozesses Vorabprüfungen durchgeführt hat.
Das Ereignisprotokoll enthält auch Informationen über die verschachtelten Konten, für die die Vorabprüfungen durchgeführt wurden, einschließlich der Felder `accountName``accountId`, und. `failedPrechecks`
Wenn der `failedPrechecks` Wert leer ist, bedeutet dies, dass alle Vorprüfungen für diese Ressource erfolgreich bestanden wurden.
+ Dieses Ereignis wird nur ausgelöst, wenn eine Vorabprüfung fehlgeschlagen ist.
+ Dieses Ereignis wird nicht ausgelöst, wenn Sie eine leere Organisationseinheit registrieren.
Beispiel für ein Ereignis:
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-09-20T22:45:43Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "PrecheckOrganizationalUnit",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"precheckOrganizationalUnitStatus": {
"organizationalUnit": {
"organizationalUnitName": "Ou-123",
"organizationalUnitId": "ou-abcd-123456",
"failedPrechecks": [
"SCP_CONFLICT"
]
},
"accounts": [
{
"accountName": "Child Account 1",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": [
"FAILED_TO_ASSUME_ROLE"
]
},
{
"accountName": "Child Account 2",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": [
"FAILED_TO_ASSUME_ROLE"
]
},
{
"accountName": "Management Account",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": [
"MISSING_PERMISSIONS_AF_PRODUCT"
]
},
{
"accountName": "Child Account 3",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": []
},
...
],
"state": "FAILED",
"message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.",
"requestedTimestamp": "2021-09-20T22:44:02+0000",
"completedTimestamp": "2021-09-20T22:45:43+0000"
}
},
"eventCategory": "Management"
}
```
## `EnableBaseline`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower erfolgreich eine Baseline für ein Zielmitgliedskonto unter einer Organisationseinheit aktiviert hat. Dieses Ereignis entspricht dem AWS Control Tower `RegisterOrganizationalUnit` oder den `EnableBaseline` CloudTrail Ereignissen. Das Lifecycle-Ereignisprotokoll enthält die Baseline, die aktiviert wurde, und ihre Version, die, `targetIdentifier` auf der die Baseline aktiviert wurde, die `parentIdentifier` Baseline, die auf der übergeordneten Organisationseinheit aktiviert wurde, und die `statusSummary` Anzeige des Status SUCCEED oder FAILED sowie die zusätzlichen Parameter und den Zeitstempel des Vorgangs.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-02-10T17:14:57Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "EnableBaseline",
"awsRegion": "us-east-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "366911a2-4fa6-4e4a-ac2b-280f627e0027",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"enableBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-ern76xmzvf/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-east-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "4.0",
"statusSummary": {
"lastOperationIdentifier": "37f5eb68-e5b9-4c70-ae76-4ca15f6b16de",
"status": "SUCCEEDED"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": {
"untyped": {
"object": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX" }
}
}
]
},
"requestedTimestamp": "2025-02-10T17:07:09+0000",
"completedTimestamp": "2025-02-10T17:14:57+0000"
}
},
"eventCategory": "Management"
}
```
## `ResetEnabledBaseline`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower die bestehende aktivierte Baseline auf einem Zielmitgliedskonto unter einer OU erfolgreich zurückgesetzt hat. Dieses Ereignis entspricht dem AWS Control Tower `RegisterOrganizationalUnit` oder den `ResetEnabledBaseline` CloudTrail Ereignissen. Das Lifecycle-Ereignisprotokoll enthält die Baseline, die aktiviert wurde, und ihre Version, die, `targetIdentifier` auf der die Baseline aktiviert wurde, die `parentIdentifier` Baseline, die auf der übergeordneten Organisationseinheit aktiviert wurde, und die `statusSummary` Anzeige des Status SUCCEED oder FAILED sowie die zusätzlichen Parameter und den Zeitstempel des Vorgangs.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-02-10T21:17:55Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "ResetEnabledBaseline",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "c01a32e1-13ab-4b46-8f1b-00699ef6f989",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"resetEnabledBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "3e364c89-89fa-42b8-9776-9f7cc47ba1fa",
"status": "SUCCEEDED"
},
"parameters": []
},
"requestedTimestamp": "2025-02-10T21:14:24Z",
"completedTimestamp": "2025-02-10T21:17:54+0000"
}
},
"eventCategory": "Management"
}
```
## `UpdateEnabledBaseline`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower die bestehende aktivierte Baseline auf einem Zielmitgliedskonto unter einer OU erfolgreich aktualisiert hat. Dieses Ereignis entspricht dem AWS Control Tower `RegisterOrganizationalUnit` oder den `UpdateEnabledBaseline` CloudTrail Ereignissen. Das Lifecycle-Ereignisprotokoll enthält die Baseline, die aktiviert wurde, und ihre Version, die, `targetIdentifier` auf der die Baseline aktiviert wurde, die `parentIdentifier` Baseline, die auf der übergeordneten Organisationseinheit aktiviert wurde, und die `statusSummary` Anzeige des Status SUCCEED oder FAILED sowie die zusätzlichen Parameter und den Zeitstempel des Vorgangs.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-02-10T19:45:28Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "UpdateEnabledBaseline",
"awsRegion": "us-east-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "514f2aff-1a99-4912-bda1-0d4d6662c96e",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"updateEnabledBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-ern76xmzvf/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-east-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "4.0",
"statusSummary": {
"lastOperationIdentifier": "ba3de28f-83fb-4c9a-8a8c-a4e15fac2c41",
"status": "SUCCEEDED"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": {
"untyped": {
"object": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX" }
}
}
]
},
"requestedTimestamp": "2025-02-10T19:39:35+0000",
"completedTimestamp": "2025-02-10T19:45:28+0000"
}
},
"eventCategory": "Management"
}
```
## `DisableBaseline`
Dieses Lebenszyklusereignis zeichnet auf, ob AWS Control Tower die bestehende aktivierte Baseline auf einem Zielmitgliedskonto unter einer OU erfolgreich deaktiviert hat. Dieses Ereignis entspricht dem AWS Control Tower `DisableBaseline` CloudTrail Tower-Ereignis. Das Lifecycle-Ereignisprotokoll enthält die Baseline, die aktiviert wurde, und ihre Version, die Version, `targetIdentifier` auf der die Baseline aktiviert wurde, die `parentIdentifier` Baseline, die auf der übergeordneten Organisationseinheit aktiviert wurde, und die `statusSummary` Anzeige des Status SUCCEED oder FAILED sowie die zusätzlichen Parameter und den Zeitstempel des Vorgangs.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-03-14T00:50:58Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "DisableBaseline",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "704794c4-a32e-4960-8386-c7efaa5a22a1",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"disableBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "7b895594-0edb-48bc-9f3d-d88c2ad618df",
"status": "SUCCEEDED"
},
"parameters": []
},
"baselineDetails": {
"arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "7b895594-0edb-48bc-9f3d-d88c2ad618df",
"status": "SUCCEEDED"
},
"parameters": []
},
"requestedTimestamp": "2025-03-14T00:49:13Z",
"completedTimestamp": "2025-03-14T00:50:58+0000"
}
},
"eventCategory": "Management"
}
```
# AWS Benutzerbenachrichtigungen verwenden mit AWS Control Tower
Sie können [AWS Benutzerbenachrichtigungen](https://docs.aws.amazon.com/notifications/latest/userguide/what-is.html) verwenden, um Zustellungskanäle einzurichten, über die Sie über AWS Control Tower Ereignisse informiert werden können. Sie erhalten eine Benachrichtigung, wenn ein Ereignis einer von Ihnen angegebenen Regel entspricht. Sie können Benachrichtigungen für Ereignisse über mehrere Kanäle erhalten, darunter E-Mail, Chat-Benachrichtigungen von [Amazon Q Developer in Chat-Anwendungen](https://docs.aws.amazon.com/chatbot/latest/adminguide/what-is.html) oder Push-Benachrichtigungen für die [mobile AWS Konsolen-App](https://docs.aws.amazon.com/consolemobileapp/latest/userguide/what-is-consolemobileapp.html). Benachrichtigungen werden auch im Console Notifications Center angezeigt.
AWS Benutzerbenachrichtigungen unterstützen die Aggregation, wodurch die Anzahl der Benachrichtigungen, die Sie bei bestimmten Ereignissen erhalten, reduziert werden kann. Benachrichtigungen sind auch im Benachrichtigungscenter der Konsole sichtbar.
Das Abonnieren von Benachrichtigungen über AWS Benutzerbenachrichtigungen anstatt über EventBridge folgende Vorteile bietet:
+ Eine benutzerfreundlichere Benutzeroberfläche (UI).
+ Integration mit der AWS Konsole im bell/notifications Bereich der globalen Navigationsleiste.
+ Native Unterstützung für E-Mail-Benachrichtigungen, Amazon SNS muss nicht eingerichtet werden.
+ Vor allem Unterstützung für mobile Push-Benachrichtigungen, exklusiv für AWS Benutzerbenachrichtigungen.
Eine Art von Benachrichtigung, die Sie möglicherweise erhalten möchten, ist beispielsweise der Fall, dass Security Hub CSPM kritische und schwerwiegende Ergebnisse enthält. Ein JSON-Codeausschnitt zum Einrichten dieses Benachrichtigungsabonnements könnte etwa so aussehen:
```
{
"detail": {
"findings": {
"Compliance": {
"Status": ["FAILED", "WARNING", "NOT_AVAILABLE"]
},
"RecordState": ["ACTIVE"],
"Severity": {
"Label": ["CRITICAL", "HIGH"]
},
"Workflow": {
"Status": ["NEW", "NOTIFIED"]
}
}
}
}
```
**Filterung von Ereignissen**
+ Sie können Ereignisse mithilfe der in der AWS Benutzerbenachrichtigungskonsole verfügbaren Filter nach Dienst und Namen filtern.
+ Sie können Ereignisse nach bestimmten Eigenschaften filtern, wenn Sie Ihren eigenen EventBridge Filter aus JSON-Code erstellen.
**Beispiel für ein AWS Control Tower Ereignis**
Hier ist ein verallgemeinertes Beispielereignis für AWS Control Tower.
+ Es ist ein EventBridge Ereignis.
+ Sie können EventBridge Ereignisse (wie dieses) mithilfe von AWS Benutzerbenachrichtigungen abonnieren.
```
{
"version": "0",
"id": "", // alphanumeric string
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "", // Management account ID.
"time": "", // Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "", // AWS Control Tower home region.
"resources": [],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "121212121212",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "", // one of the 9 event names in https://docs.aws.amazon.com/controltower/latest/userguide/lifecycle-events.html
"awsRegion": "",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
// the contents of this object vary depending on the event subtype and event state
}
}
}
```