Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Registro y monitorización en AWS Control Tower
La monitorización le permite planificar y responder a posibles incidentes. Los resultados de las actividades de monitorización se almacenan en archivos de registro. Por lo tanto, el registro y la monitorización son conceptos estrechamente relacionados y constituyen una parte importante de la buena arquitectura de AWS Control Tower.
Cuando configura la zona de aterrizaje, una de las cuentas compartidas que se crean es la cuenta de *archivo de registros*. Se dedica a recopilar todos los registros de forma centralizada, incluidos los registros de todas sus cuentas compartidas y de miembros. Los archivos de registro se almacenan en un bucket de Amazon S3. Estos archivos de registro permiten a los administradores y auditores revisar las acciones y los eventos que se han producido.
Como práctica recomendada, debe recopilar datos de monitorización de todas las partes de su configuración de AWS en sus registros para que le resulte más sencillo depurar un error que se produce en distintas partes del código, en caso de que ocurra.AWS proporciona varias herramientas para monitorizar los recursos y la actividad de la zona de aterrizaje.
Por ejemplo, el estado de sus controles se monitoriza constantemente. Puede ver su estado de un vistazo en la consola de la Torre de Control de AWS o mediante programación mediante [la Torre de Control de AWS](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html). APIs El estado de las cuentas aprovisionadas en el generador de cuentas también se monitoriza constantemente.
**Visualización de las acciones registradas desde la página Actividades**
En la consola de AWS Control Tower, la página **Actividades** ofrece información general de las acciones de la cuenta de administración de AWS Control Tower. Para navegar a la página **Actividades** de AWS Control Tower, seleccione **Actividades** en el panel de navegación izquierdo.
Las actividades que se muestran en la página **Actividades** son las mismas que se muestran en el registro de AWS CloudTrail eventos de AWS Control Tower, pero se muestran en formato de tabla. Para obtener más información sobre una actividad específica, selecciónela en la tabla y, a continuación, elija **View details (Ver detalles)**.
Puede ver las acciones y los eventos de las cuentas de miembro en los archivos de registro.
En las secciones siguientes se describe la monitorización y el registro en AWS Control Tower con más detalle:
**Temas**
+ [Herramientas de monitorización integradas](monitoring-overview.md)
+ [Registro de las acciones de AWS Control Tower con AWS CloudTrail](logging-using-cloudtrail.md)
+ [Eventos del ciclo de vida en AWS Control Tower](lifecycle-events.md)
+ [Uso de las notificaciones de AWS usuario con AWS Control Tower](using-user-notifications.md)
# Acerca del inicio de sesión en AWS Control Tower
AWS Control Tower registra las acciones y los eventos automáticamente, mediante su integración con AWS CloudTrail y AWS Config, y los registra en CloudWatch ella. Se registran todas las acciones, incluidas las acciones de la cuenta de administración de AWS Control Tower y de las cuentas de miembro de su organización. Las acciones y los eventos de la cuenta de administración se pueden ver en la página **Actividades** de la consola. Puede ver las acciones y los eventos de las cuentas de miembro en los archivos de registro.
**Registros de seguimiento por organización**
AWS Control Tower establece una nueva CloudTrail ruta al configurar una landing zone. Es un *registro de seguimiento por organización*, lo que significa que registra todos los eventos de la cuenta de administración y de todas las cuentas de miembros de la organización. Esta característica se basa en un *acceso de confianza* para otorgar permisos a la cuenta de administración para crear un registro en cada cuenta de miembro.
Para obtener más información sobre la Torre de Control de AWS y las rutas CloudTrail organizativas, consulte [Crear una ruta para una organización](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-trail-organization.html).
**nota**
En las versiones de AWS Control Tower anteriores a la versión 3.0 de la zona de aterrizaje, AWS Control Tower creó un registro de seguimiento de de cuentas de miembros en cada cuenta. Cuando actualiza a la versión 3.0, su CloudTrail registro se convierte en un registro de la organización. Para conocer las mejores prácticas a la hora de moverse entre senderos, consulta [las prácticas recomendadas para cambiar](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-trail-organization.html#creating-an-organizational-trail-best-practice) de sendero en la *Guía del CloudTrail usuario*.
Cuando inscribe una cuenta en la Torre de Control de AWS, esta se rige por el AWS CloudTrail registro de la organización de la Torre de Control de AWS. Si ya tiene una implementación de una versión de CloudTrail seguimiento en esa cuenta, es posible que vea cargos duplicados, a menos que elimine la versión de seguimiento existente de la cuenta antes de inscribirla en AWS Control Tower.
**nota**
Cuando actualiza a la versión 3.0 de la zona de aterrizaje, AWS Control Tower elimina en su nombre los registros de seguimiento por cuenta (que AWS Control Tower ha creado) de las cuentas inscritas. Los archivos de registro por cuenta existentes se conservan en el bucket de Amazon S3.
# Política de bucket de Amazon S3 en la cuenta de auditoría
En AWS Control Tower,AWS los servicios tienen acceso a sus recursos solo cuando la solicitud proviene de su organización o unidad organizativa (OU). Todos los permisos de escritura deben cumplirse con una condición `aws:SourceOrgID`.
Puede utilizar la clave de condición `aws:SourceOrgID` y establecer el valor del **ID de organización** en el elemento de condición de la política de bucket de Amazon S3. Esta condición garantiza que CloudTrail solo pueda escribir registros en nombre de las cuentas de su organización en su bucket de S3; evita que CloudTrail los registros ajenos a su organización se escriban en su bucket de S3 de AWS Control Tower.
Esta política no afecta a la funcionalidad de las cargas de trabajo actuales. La política se muestra en el siguiente ejemplo.
```
S3AuditBucketPolicy:
Type: AWS::S3::BucketPolicy
Properties:
Bucket: !Ref S3AuditBucket
PolicyDocument:
Version: 2012-10-17
Statement:
- Sid: AllowSSLRequestsOnly
Effect: Deny
Principal: '*'
Action: s3:*
Resource:
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}"
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/*"
Condition:
Bool:
aws:SecureTransport: false
- Sid: AWSBucketPermissionsCheck
Effect: Allow
Principal:
Service:
- cloudtrail.amazonaws.com
- config.amazonaws.com
Action: s3:GetBucketAcl
Resource:
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}"
- Sid: AWSConfigBucketExistenceCheck
Effect: Allow
Principal:
Service:
- cloudtrail.amazonaws.com
- config.amazonaws.com
Action: s3:ListBucket
Resource:
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}"
- Sid: AWSBucketDeliveryForConfig
Effect: Allow
Principal:
Service:
- config.amazonaws.com
Action: s3:PutObject
Resource:
- Fn::Join:
- ""
-
- !Sub "arn:${AWS::Partition}:s3:::"
- !Ref "S3AuditBucket"
- !Sub "/${AWSLogsS3KeyPrefix}/AWSLogs/*/*"
Condition:
StringEquals:
aws:SourceOrgID: !Ref OrganizationId
- Sid: AWSBucketDeliveryForOrganizationTrail
Effect: Allow
Principal:
Service:
- cloudtrail.amazonaws.com
Action: s3:PutObject
Resource: !If [IsAccountLevelBucketPermissionRequiredForCloudTrail,
[!Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/${Namespace}/*", !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/${OrganizationId}/*"],
!Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/*/*"]
Condition:
StringEquals:
aws:SourceOrgID: !Ref OrganizationId
```
Para obtener más información sobre esta clave de condición, consulte la documentación de IAM y la entrada del blog de IAM titulada «*Use controles escalables para los AWS servicios que acceden a sus recursos*».
# Herramientas de monitorización integradas
La supervisión es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el rendimiento de AWS Control Tower y sus demás AWS soluciones.AWS proporciona las siguientes herramientas de supervisión para vigilar la Torre de Control de AWS, informar cuando algo va mal y tomar medidas automáticas cuando sea necesario:
+ *Amazon CloudWatch* monitorea tus AWS recursos y las aplicaciones en las que AWS ejecutas en tiempo real. Puede recopilar métricas y realizar un seguimiento de las métricas, crear paneles personalizados y definir alarmas que le advierten o que toman medidas cuando una métrica determinada alcanza el umbral que se especifique. Por ejemplo, puedes CloudWatch hacer un seguimiento del uso de la CPU u otras métricas de tus EC2 instancias de Amazon y lanzar automáticamente nuevas instancias cuando sea necesario. Para obtener más información, consulta la [Guía del CloudWatch usuario de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ *Amazon CloudWatch Events* ofrece una transmisión casi en tiempo real de los eventos del sistema que describen los cambios en AWS los recursos. CloudWatch Events permite la computación automatizada basada en eventos, ya que puede escribir reglas que vigilen ciertos eventos y activen acciones automatizadas en otros AWS servicios cuando estos eventos ocurren. Para obtener más información, consulta la [Guía del usuario de Amazon CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/).
+ *Amazon CloudWatch Logs* le permite supervisar, almacenar y acceder a sus archivos de registro desde EC2 instancias de Amazon y otras fuentes. CloudTrail CloudWatch Los registros pueden monitorear la información de los archivos de registro y notificarle cuando se alcanzan ciertos umbrales. También se pueden archivar los datos del registro en un almacenamiento de larga duración. Para obtener más información, consulta la [Guía del usuario CloudWatch de Amazon Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
+ *AWS CloudTrail*captura las llamadas a la API y los eventos relacionados realizados por su AWS cuenta o en su nombre y entrega los archivos de registro a un bucket de Amazon S3 que especifique. Puede identificar qué usuarios y cuentas llamaron AWS, la dirección IP de origen desde la que se realizaron las llamadas y cuándo se produjeron.
**Consejo:** Puedes ver y consultar la CloudTrail actividad de una cuenta a través de CloudWatch Logs and CloudWatch Logs Insights. Esta actividad incluye los eventos del ciclo de vida de AWS Control Tower. CloudWatch Las funciones de los registros te permiten realizar consultas más detalladas y precisas de las que normalmente podrías realizar con CloudTrail ellas.
Para obtener más información, consulte [Registro de las acciones de AWS Control Tower con AWS CloudTrail](logging-using-cloudtrail.md).
# Registro de las acciones de AWS Control Tower con AWS CloudTrail
AWS Control Tower está integrada con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en la Torre de Control de AWS. CloudTrail captura las acciones de AWS Control Tower como eventos. Si crea una ruta, puede habilitar la entrega continua de CloudTrail eventos a un bucket de Amazon S3, incluidos los eventos de AWS Control Tower.
Si no configura un registro de seguimiento, puede ver los eventos más recientes en la consola de CloudTrail en el **Event history** (Historial de eventos). Con la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a la Torre de Control de AWS, la dirección IP desde la que se realizó la solicitud, quién la hizo, cuándo se realizó y detalles adicionales.
Para obtener más información CloudTrail, incluido cómo configurarlo y habilitarlo, consulte la [Guía del AWS CloudTrail usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Información sobre la Torre de Control de AWS en CloudTrail
CloudTrail está activado en su AWS cuenta al crearla. Cuando se produce una actividad de eventos admitidos en la Torre de Control de AWS, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el **historial** de eventos. Puede ver, buscar y descargar los eventos recientes en su AWS cuenta. Para obtener más información, consulte [Visualización de eventos con el historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
**nota**
En las versiones de AWS Control Tower anteriores a la versión 3.0 de la zona de aterrizaje, AWS Control Tower creó un registro de seguimiento de cuentas de miembros. Cuando actualizas a la versión 3.0, tu CloudTrail registro se actualiza para convertirse en un registro de la organización. Para conocer las mejores prácticas a la hora de moverse de un sendero a otro, consulta [Cómo crear un sendero organizativo](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-trail-organization.html#creating-an-organizational-trail-best-practice) en la Guía del CloudTrail usuario.
**Recomendado: Creación de un registro de seguimiento**
Para obtener un registro continuo de los eventos de su AWS cuenta, incluidos los eventos de AWS Control Tower, cree una ruta. Un *rastro* permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. De manera predeterminada, cuando se crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las regiones de AWS . La ruta registra los eventos de todas las regiones de la AWS partición y envía los archivos de registro al bucket de Amazon S3 que especifique. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para más información, consulte los siguientes temas:
+ [Introducción a la creación de registros de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [Prepararse para crear un registro de seguimiento](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-an-organizational-trail-prepare.html)
+ [Administrar CloudTrail los costos](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-trail-manage-costs.html)
+ [CloudTrail Integraciones y servicios compatibles](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuración de las notificaciones de Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recibir archivos de CloudTrail registro de varias regiones](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) y [recibir archivos de CloudTrail registro de varias cuentas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
AWS Control Tower registra las siguientes acciones como eventos en los archivos de CloudTrail registro:
**Público APIs**
+ Para obtener una lista completa del público de la Torre de Control de AWS APIs y detalles sobre cada uno de ellos, consulte [La referencia de la API de la Torre de Control de AWS](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html). Las llamadas a estos públicos APIs son registradas por AWS CloudTrail.
**Otros APIs**
+ `SetupLandingZone`
+ `UpdateAccountFactoryConfig`
+ `ManageOrganizationalUnit`
+ `CreateManagedAccount`
+ `GetLandingZoneStatus`
+ `GetHomeRegion`
+ `ListManagedAccounts`
+ `DescribeManagedAccount`
+ `DescribeAccountFactoryConfig`
+ `DescribeGuardrailForTarget`
+ `DescribeManagedOrganizationalUnit`
+ `ListEnabledGuardrails`
+ `ListGuardrailViolations`
+ `ListGuardrails`
+ `ListGuardrailsForTarget`
+ `ListManagedAccountsForGuardrail`
+ `ListManagedAccountsForParent`
+ `ListManagedOrganizationalUnits`
+ `ListManagedOrganizationalUnitsForGuardrail`
+ `GetGuardrailComplianceStatus`
+ `DescribeGuardrail`
+ `ListDirectoryGroups`
+ `DescribeSingleSignOn`
+ `DescribeCoreService`
+ `GetAvailableUpdates`
Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario le ayuda a determinar lo siguiente:
+ Si la solicitud se realizó con credenciales de usuario root o AWS Identity and Access Management (IAM).
+ Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.
+ Si la solicitud la realizó otro AWS servicio.
+ Si la solicitud se rechazó como acceso denegado o se procesó correctamente.
Para obtener más información, consulte el [Elemento userIdentity de CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Ejemplo: entradas del archivo de registro de AWS Control Tower
Un rastro es una configuración que permite la entrega de eventos como archivos de registro a un bucket de Amazon S3 que usted especifique. CloudTrail Los archivos de registro contienen una o más entradas de registro. Un evento representa una solicitud única de cualquier fuente e incluye información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. CloudTrail los eventos no aparecen en ningún orden específico en los archivos de registro.
El siguiente ejemplo muestra una entrada de CloudTrail registro que muestra la estructura de una entrada de archivo de registro típica para un evento de la Torre de Control de `SetupLandingZone` AWS, incluido un registro de la identidad del usuario que inició la acción.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:backend-test-assume-role-session",
"arn": "arn:aws:sts::76543EXAMPLE;:assumed-role/AWSControlTowerTestAdmin/backend-test-assume-role-session",
"accountId": "76543EXAMPLE",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2018-11-20T19:36:11Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::AKIAIOSFODNN7EXAMPLE:role/AWSControlTowerTestAdmin",
"accountId": "AIDACKCEVSQ6C2EXAMPLE",
"userName": "AWSControlTowerTestAdmin"
}
}
},
"eventTime": "2018-11-20T19:36:15Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "SetupLandingZone",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "Coral/Netty4",
"errorCode": "InvalidParametersException",
"errorMessage": "Home region EU_CENTRAL_1 is unsupported",
"requestParameters": {
"homeRegion": "EU_CENTRAL_1",
"logAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
"sharedServiceAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
"securityAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
"securityNotificationEmail": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"responseElements": null,
"requestID": "96f47b68-ed5f-4268-931c-807cd1f89a96",
"eventID": "4ef5cf08-39e5-4fdf-9ea2-b07ced506851",
"eventType": "AwsApiCall",
"recipientAccountId": "76543EXAMPLE"
}
```
# Supervise los cambios en los recursos con AWS Config
AWS Control Tower habilita todas AWS Config las cuentas inscritas, de modo que puede supervisar el cumplimiento mediante controles de detección, registrar los cambios en los recursos y entregar los registros de cambios de los recursos a la cuenta de archivo de registros.
**Si tu versión de landing zone es anterior a la 3.0**: en el caso de las cuentas inscritas, AWS Config registra todos los cambios en los recursos de todas las regiones en las que opera la cuenta. Cada cambio se modela como un elemento de configuración (CI) que contiene información, como el identificador de recursos, la región, la fecha en que se registró cada cambio y si el cambio se refiere a un recurso conocido o a uno descubierto recientemente.
**Si la versión de la zona de aterrizaje es la 3.0 o posterior**: AWS Control Tower limita el registro de recursos globales, como los usuarios de IAM, los grupos, los roles y las políticas administradas por el cliente únicamente a la región de origen. Las copias de los cambios de recursos globales no se almacenan en todas las regiones. Esta limitación del registro de recursos se ajusta a las [prácticas AWS Config recomendadas](https://aws.amazon.com//blogs/mt/aws-config-best-practices/). La [lista completa de los recursos globales](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html) está disponible en la AWS Config documentación.
+ Para obtener más información AWS Config, consulte [Cómo AWS Config funciona](https://docs.aws.amazon.com//config/latest/developerguide/how-does-config-work.html).
+ Para ver una lista de los recursos compatibles AWS Config , consulta [Tipos de recursos compatibles](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html).
+ Para obtener información sobre cómo personalizar el seguimiento de recursos en el entorno de la Torre de Control de AWS, consulte la entrada del blog titulada [Personalizar el seguimiento de AWS Config recursos en la Torre de Control de AWS](https://aws.amazon.com/blogs//mt/customize-aws-config-resource-tracking-in-aws-control-tower-environment).
AWS Control Tower configura un canal de AWS Config entrega en todas las cuentas inscritas. A través de este canal de entrega, registra todos los cambios registrados AWS Config en la cuenta del archivo de registros, donde se almacenan en una carpeta de un depósito de Amazon Simple Storage Service.
# Administre AWS Config los costos en AWS Control Tower
En esta sección se describe cómo se AWS Config registran y facturan los cambios en los recursos de sus cuentas de AWS Control Tower. Esta información puede ayudarlo a comprender cómo administrar los costos asociados AWS Config a la utilización de AWS Control Tower. AWS Control Tower no añade ningún coste adicional.
**nota**
**Si su versión de landing zone es 3.0 o posterior**: AWS Control Tower limita el AWS Config registro de los recursos globales, como los usuarios de IAM, los grupos, las funciones y las políticas administradas por los clientes, únicamente a su región de origen. Por lo tanto, es posible que parte de la información de esta sección no se aplique a la zona de aterrizaje.
AWS Config está diseñado para registrar cada cambio en cada recurso, en cada región en la que opera una cuenta, como un elemento de configuración (CI). AWS Config le factura por cada elemento de configuración que genere.
**¿Cómo AWS Config funciona?**
AWS Config registra los recursos de cada región, por separado. Algunos recursos globales, como los roles de IAM, se registran una vez por región. Por ejemplo, si crea un nuevo rol de IAM en una cuenta inscrita que opera en cinco regiones, AWS Config generará cinco CIs, una para cada región. Otros recursos globales, como las zonas alojadas en Route 53, se registran una sola vez en todas las regiones. Por ejemplo, si crea una nueva zona alojada de Route 53 en una cuenta inscrita, AWS Config genera un CI, independientemente del número de regiones seleccionadas para dicha cuenta. Para obtener una lista que le ayude a distinguir estos tipos de recursos, consulte [El mismo recurso se registra varias veces](monitoring-with-config.md#duplicate-configuration-items).
**nota**
Cuando AWS Control Tower trabaja con AWS Config, una región puede estar gobernada por AWS Control Tower o no estar gobernada y, AWS Config aun así, registra los cambios si la cuenta opera en esa región.
**AWS Config detecta dos tipos de relaciones en los recursos**
AWS Config hace una distinción entre las relaciones *directas* e *indirectas* entre los recursos. Si se devuelve un recurso en la llamada a la API **Describir** de otro recurso, dichos recursos se registran como una relación directa. Cuando se cambia un recurso en relación directa con otro recurso, AWS Config no se crea un CI para ambos recursos.
Por ejemplo, si crea una instancia de Amazon EC2 y la API requiere que cree una interfaz de red, AWS Config considera que la instancia de Amazon EC2 tiene una relación directa con la interfaz de red. Como resultado, AWS Config genera solo un CI.
AWS Config registra los cambios separados para las relaciones de recursos que son relaciones *indirectas*. Por ejemplo, AWS Config genera dos CI si crea un grupo de seguridad y agrega una instancia de Amazon EC2 asociada que forma parte del grupo de seguridad.
Para obtener más información sobre las relaciones directas e indirectas, consulte [What is a direct and an indirect relationship with respect to a resource?](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-0)
Puede encontrar [una lista de relaciones de recursos](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html) en la AWS Config documentación.
## Vea los datos del AWS Config registrador de las cuentas inscritas
AWS Config está integrado CloudWatch para que pueda verlos AWS Config CIs en un panel de control. Para obtener más información, consulta la entrada del blog titulada [AWS Config Compatible con CloudWatch las métricas de Amazon](https://aws.amazon.com/about-aws/whats-new/2022/05/aws-config-supports-amazon-cloudwatch-metrics).
Mediante programación, para ver AWS Config los datos, puede trabajar con la AWS CLI o utilizar otras AWS herramientas.
### Consulte los datos de la AWS Config grabadora en un recurso específico
Puede usar la AWS CLI para recuperar una lista de los cambios más recientes de un recurso.
**Comando de historial de recursos:**
+ `aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION`
Para obtener más información, consulte [la documentación de la API para `get-config-history`](https://docs.aws.amazon.com//cli/latest/reference/configservice/get-resource-config-history.html).
### Visualice AWS Config los datos con Quick
Puede visualizar y consultar los recursos registrados AWS Config en toda la organización. Para obtener más información, consulte el [panel de cumplimiento de los recursos de Config](https://catalog.workshops.aws/awscid/en-US/dashboards/additional/config-resource-compliance-dashboard) y la [visualización de AWS Config datos con Amazon Athena](https://aws.amazon.com/blogs/mt/visualizing-aws-config-data-using-amazon-athena-and-amazon-quicksight/) y Quick.
## Solución de problemas AWS Config en AWS Control Tower
En esta sección se proporciona información sobre algunos problemas que pueden surgir AWS Config al utilizar AWS Control Tower.
### AWS Config Costos elevados
Si su flujo de trabajo incluye procesos que crean, actualizan o eliminan recursos con frecuencia, o si gestiona los recursos en grandes cantidades, ese flujo de trabajo puede generar un gran número de CIs. Si ejecuta estos procesos en una cuenta que no sea de producción, considere la posibilidad de anular la inscripción de la cuenta. Es posible que tengas que desactivar la AWS Config grabadora de esa cuenta manualmente.
**nota**
Tras anular la inscripción de la cuenta, AWS Control Tower no podrá aplicar controles de detección ni registrar los eventos de la cuenta, como AWS Config las actividades, para los recursos de esa cuenta.
Para obtener más información, consulte [Unmanage an enrolled account](https://docs.aws.amazon.com//controltower/latest/userguide/unmanage-account.html). Para obtener información sobre cómo desactivar la AWS Config grabadora, consulte [Administración de la grabadora de configuración](https://docs.aws.amazon.com//config/latest/developerguide/stop-start-recorder.html).
### El mismo recurso se registra varias veces
Compruebe si el recurso es un [recurso global](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html). En el caso de las zonas de aterrizaje de la Torre de Control de AWS anteriores a la versión 3.0, AWS Config es AWS Config posible que se registren determinados recursos globales una vez por cada región en la que opere. Por ejemplo, si AWS Config está habilitado en ocho regiones, cada rol se graba ocho veces.
**Los siguientes recursos se registran una vez para cada región en la que AWS Config se opera:**
+ `AWS::IAM::Group`
+ `AWS::IAM::Policy`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
**Los demás recursos globales se registran solo una vez. A continuación, se muestran algunos ejemplos de recursos que se registran solo una vez:**
+ `AWS::Route53::HostedZone`
+ `AWS::Route53::HealthCheck`
+ `AWS::ECR::PublicRepository`
+ `AWS::GlobalAccelerator::Listener`
+ `AWS::GlobalAccelerator::EndpointGroup`
+ `AWS::GlobalAccelerator::Accelerator`
### AWS Config no registró un recurso
Determinados recursos tienen relaciones de dependencia con otros recursos. Estas relaciones pueden ser *directas* o *indirectas*. Puede encontrar una lista de relaciones indirectas obsoletas en [las AWS Config preguntas frecuentes.](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-2)
# Eventos del ciclo de vida en AWS Control Tower
Algunos eventos registrados por AWS Control Tower son *eventos del ciclo de vida*. El propósito de un evento del ciclo de vida es marcar la *finalización* de ciertas acciones de AWS Control Tower que cambian el estado de los recursos. Los eventos del ciclo de vida se aplican a los recursos que AWS Control Tower crea o administra, una zona de aterrizaje, una línea de base o un control, relacionados con una unidad organizativa (UO) o una cuenta.
**Características de los eventos del ciclo de vida de AWS Control Tower**
+ En cada evento del ciclo de vida, el registro de eventos muestra si la acción de Control Tower de origen se completó correctamente o falló.
+ AWS CloudTrail registra automáticamente cada evento del ciclo de vida como un evento de * AWS servicio ajeno a la API*. Para obtener más información, consulte [la Guía del AWS CloudTrail usuario](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/non-api-aws-service-events.html).
+ Cada evento del ciclo de vida también se envía a los servicios Amazon EventBridge y Amazon CloudWatch Events. **Nota:** Para recibir los eventos del ciclo de vida EventBridge, debes tener un registro AWS CloudTrail activo con el registro activado. Para obtener más información sobre los eventos de AWS servicio que se ofrecen a través de [AWS AWS CloudTrail, consulte los eventos de servicio de AWS que se ofrecen a través de AWS CloudTrail](https://docs.aws.amazon.com//eventbridge/latest/userguide/eb-service-event-cloudtrail.html) en la Guía del EventBridge usuario de Amazon.
**Los eventos del ciclo de vida de AWS Control Tower ofrecen dos ventajas principales:**
+ Como un evento del ciclo de vida registra la finalización de una acción de la Torre de Control de AWS, puede crear una EventBridge regla de Amazon o una regla de Amazon CloudWatch Events que pueda activar los siguientes pasos de su flujo de trabajo de automatización, en función del estado del evento del ciclo de vida.
+ Los registros proporcionan detalles adicionales para ayudar a los administradores y auditores a revisar ciertos tipos de actividad en las organizaciones.
**Cómo funcionan los eventos del ciclo de vida**
AWS Control Tower se basa en varios servicios para implementar sus acciones. Por lo tanto, cada evento del ciclo de vida se registra solo después de completar una serie de acciones. Por ejemplo, cuando habilita un control en una OU, AWS Control Tower inicia una serie de pasos secundarios que implementan la solicitud. El resultado final de toda la serie de pasos secundarios se registra en el registro como el estado del evento del ciclo de vida.
+ Si todos los pasos secundarios subyacentes se han completado correctamente, el estado del evento del ciclo de vida se registra como **Succeeded (Correcto)**.
+ Si alguno de los pasos secundarios subyacentes no se ha completado correctamente, el estado del evento del ciclo de vida se registra como **Failed (Error)**.
Cada evento del ciclo de vida incluye una marca de tiempo registrada que muestra cuándo se inició la acción de AWS Control Tower y otra marca de tiempo que muestra cuándo se completa el evento del ciclo de vida, que marca el éxito o el error.
**Visualización de eventos del ciclo de vida en Control Tower**
Puede ver los eventos del ciclo de vida en la página **Actividades** del panel de AWS Control Tower.
+ Para navegar a la página **Activities (Actividades)**, seleccione **Activities (Actividades)** en el panel de navegación izquierdo.
+ Para obtener más detalles acerca de un evento específico, seleccione el evento y, a continuación, haga clic en el botón **View details (Ver detalles)** en la parte superior derecha.
Para obtener más información sobre cómo integrar eventos del ciclo de vida de AWS Control Tower en sus flujos de trabajo, consulte esta entrada de blog, [Using lifecycle events to track AWS Control Tower actions and trigger automated workflows](https://aws.amazon.com//blogs/mt/using-lifecycle-events-to-track-aws-control-tower-actions-and-trigger-automated-workflows/).
**Comportamiento esperado CreateManagedAccount y eventos UpdateManagedAccount del ciclo de vida**
Cuando crea o inscribe una cuenta en AWS Control Tower, esas dos acciones llaman a la misma API interna. Si se produce un error durante el proceso, lo normal es que tenga lugar después de la cuenta se haya creado pero no esté completamente aprovisionada. Cuando vuelva a intentar crear la cuenta después del error o cuando intente actualizar el producto aprovisionado, AWS Control Tower comprobará que la cuenta ya existe.
Como la cuenta existe, AWS Control Tower registra el evento del ciclo de vida `UpdateManagedAccount` en lugar del evento del ciclo de vida `CreateManagedAccount` al final de la solicitud de reintento. Es posible que esperara ver otro evento `CreateManagedAccount` debido al error. Sin embargo, el evento del ciclo de vida `UpdateManagedAccount` es el comportamiento esperado y deseado.
Si planea crear o inscribir cuentas en AWS Control Tower mediante métodos automatizados, programe la función Lambda para que busque eventos del ciclo de vida y eventos **UpdateManagedAccount**del ciclo de **CreateManagedAccount**vida.
**Nombres de eventos del ciclo de vida**
Cada evento del ciclo de vida recibe un nombre que corresponde a la acción originaria de la Torre de Control de AWS, que también registra AWS CloudTrail. Así, por ejemplo, se denomina un evento del ciclo de vida originado por el `CreateManagedAccount` CloudTrail evento de la Torre de Control de AWS`CreateManagedAccount`.
Cada nombre de la lista siguiente es un enlace a un ejemplo del detalle registrado en formato `JSON`. Los detalles adicionales que se muestran en estos ejemplos provienen de los registros de CloudWatch eventos de Amazon.
Aunque `JSON` no admite comentarios, se han añadido algunos comentarios a los ejemplos con fines explicativos. Los comentarios van precedidos por "//" y aparecen en el lado derecho de los ejemplos.
En estos ejemplos, se ocultan algunos nombres de cuentas y de organizaciones. Un `accountId` es siempre una secuencia de 12 números, que se ha sustituido por "xxxxxxxxxxxx" en los ejemplos. Un `organizationalUnitID` es una cadena única de letras y números. Su forma se conserva en los ejemplos.
+ [`CreateManagedAccount`](#create-managed-account): el registro registra si AWS Control Tower ha completado correctamente todas las acciones para crear y aprovisionar una nueva cuenta mediante una fábrica de cuentas.
+ [`UpdateManagedAccount`](#update-managed-account): el registro registra si AWS Control Tower ha completado correctamente todas las acciones para actualizar un producto aprovisionado asociado a una cuenta que ha creado anteriormente mediante una fábrica de cuentas.
+ [`EnableGuardrail`](#enable-control): El registro registra si AWS Control Tower completó correctamente todas las acciones para permitir el control de una unidad organizativa.
+ [`DisableGuardrail`](#disable-control): El registro registra si AWS Control Tower completó correctamente todas las acciones para deshabilitar un control en una unidad organizativa.
+ [`SetupLandingZone`](#setup-landing-zone): el registro registra si AWS Control Tower ha completado correctamente todas las acciones para configurar una zona de aterrizaje.
+ [`UpdateLandingZone`](#update-landing-zone): el registro registra si AWS Control Tower ha completado correctamente todas las acciones para actualizar la zona de aterrizaje existente.
+ [`RegisterOrganizationalUnit`](#register-organizational-unit): el registro registra si AWS Control Tower ha completado correctamente todas las acciones para habilitar las características de gobernanza en una OU.
+ [`DeregisterOrganizationalUnit`](#deregister-organizational-unit): el registro registra si AWS Control Tower ha completado correctamente todas las acciones para deshabilitar las características de gobernanza en una OU.
+ [`PrecheckOrganizationalUnit`](#precheck-organizational-unit): el registro registra si AWS Control Tower ha detectado algún recurso que pudiera impedir que la operación **Ampliar gobierno** se completara correctamente.
+ [`EnableBaseline`](#enable-baseline-lfc): se registra si AWS Control Tower ha completado correctamente todas las acciones para habilitar una nueva línea de base en una cuenta de miembro de destino bajo una UO. La operación de habilitación se puede iniciar mediante la API `EnableBaseline` o la consola.
+ [`ResetEnabledBaseline`](#reset-enabled-baseline-lfc): se registra si AWS Control Tower ha completado correctamente todas las acciones para restablecer una línea de base habilitada existente en una cuenta de miembro de destino bajo una UO. La operación de restablecimiento se puede iniciar mediante la API `ResetEnabledBaseline` o la consola.
+ [`UpdateEnabledBaseline`](#update-enabled-baseline-lfc): se registra si AWS Control Tower ha completado correctamente todas las acciones para actualizar una línea de base habilitada existente en una cuenta de miembro de destino bajo una UO. La operación de actualización se puede iniciar mediante la API `UpdateEnabledBaseline` o la consola.
+ [`DisableBaseline`](#disable-baseline-lfc): se registra si AWS Control Tower ha completado correctamente todas las acciones para deshabilitar una línea de base habilitada existente en una cuenta de miembro de destino bajo una UO. La operación de deshabilitación se puede iniciar mediante la API `DisableBaseline` o la consola.
Las siguientes secciones proporcionan una lista de eventos del ciclo de vida de AWS Control Tower, con ejemplos de los detalles registrados para cada tipo de evento del ciclo de vida.
## `CreateManagedAccount`
Este evento del ciclo de vida registra si AWS Control Tower ha creado y aprovisionado correctamente una nueva cuenta mediante una fábrica de cuentas. Este evento corresponde al evento de la Torre `CreateManagedAccount` CloudTrail de Control de AWS. El registro de eventos del ciclo de vida incluye el `accountName` y `accountId` de la cuenta recién creada y el `organizationalUnitName` y `organizationalUnitId` de la OU en la que se ha colocado la cuenta.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // Management account ID.
"time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "us-east-1", // AWS Control Tower home region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "CreateManagedAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"createManagedAccountStatus": {
"organizationalUnit":{
"organizationalUnitName":"Custom",
"organizationalUnitId":"ou-XXXX-l3zc8b3h"
},
"account":{
"accountName":"LifeCycle1",
"accountId":"XXXXXXXXXXXX"
},
"state":"SUCCEEDED",
"message":"AWS Control Tower successfully created a managed account.",
"requestedTimestamp":"2019-11-15T11:45:18+0000",
"completedTimestamp":"2019-11-16T12:09:32+0000"}
}
}
}
```
## `UpdateManagedAccount`
Este evento de ciclo de vida registra si AWS Control Tower ha actualizado correctamente el producto aprovisionado asociado a una cuenta que se ha creado anteriormente mediante una fábrica de cuentas. Este evento corresponde al evento de la Torre `UpdateManagedAccount` CloudTrail de Control de AWS. El registro de eventos del ciclo de vida incluye el `accountName` y `accountId` de la cuenta asociada y el `organizationalUnitName` y `organizationalUnitId` de la OU en la que se ha colocado la cuenta actualizada.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // AWS Control Tower organization management account.
"time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "us-east-1", // AWS Control Tower home region.
"resources": [],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "UpdateManagedAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"updateManagedAccountStatus": {
"organizationalUnit":{
"organizationalUnitName":"Custom",
"organizationalUnitId":"ou-XXXX-l3zc8b3h"
},
"account":{
"accountName":"LifeCycle1",
"accountId":"XXXXXXXXXXXX"
},
"state":"SUCCEEDED",
"message":"AWS Control Tower successfully updated a managed account.",
"requestedTimestamp":"2019-11-15T11:45:18+0000",
"completedTimestamp":"2019-11-16T12:09:32+0000"}
}
}
}
```
## `EnableGuardrail`
Este evento del ciclo de vida registra si AWS Control Tower ha habilitado correctamente un control en una OU administrada por AWS Control Tower. Este evento corresponde al evento de la Torre `EnableGuardrail` CloudTrail de Control de AWS. El registro de eventos del ciclo de vida incluye el `guardrailId` y `guardrailBehavior` del control y el `organizationalUnitName` y `organizationalUnitId` de la OU en la que se ha habilitado el control.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX",
"time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "us-east-1", // AWS Control Tower home region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "EnableGuardrail",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"enableGuardrailStatus": {
"organizationalUnits": [
{
"organizationalUnitName": "Custom",
"organizationalUnitId": "ou-vwxy-18vy4yro"
}
],
"guardrails": [
{
"guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK",
"guardrailBehavior": "DETECTIVE"
}
],
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.",
"requestTimestamp": "2019-11-12T09:01:07+0000",
"completedTimestamp": "2019-11-12T09:01:54+0000"
}
}
}
}
```
## `DisableGuardrail`
Este evento del ciclo de vida registra si AWS Control Tower ha deshabilitado correctamente un control en una OU administrada por AWS Control Tower. Este evento corresponde al evento de la Torre `DisableGuardrail` CloudTrail de Control de AWS. El registro de eventos del ciclo de vida incluye el `guardrailId` y `guardrailBehavior` del control y el `organizationalUnitName` y `organizationalUnitId` de la OU en la que se ha deshabilitado el control.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX",
"time": "2018-08-30T21:42:18Z",
"region": "us-east-1",
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "DisableGuardrail",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"disableGuardrailStatus": {
"organizationalUnits": [
{
"organizationalUnitName": "Custom",
"organizationalUnitId": "ou-vwxy-18vy4yro"
}
],
"guardrails": [
{
"guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK",
"guardrailBehavior": "DETECTIVE"
}
],
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.",
"requestTimestamp": "2019-11-12T09:01:07+0000",
"completedTimestamp": "2019-11-12T09:01:54+0000"
}
}
}
}
```
## `SetupLandingZone`
Este evento del ciclo de vida registra si AWS Control Tower ha configurado correctamente una zona de aterrizaje. Este evento corresponde al evento de la Torre `SetupLandingZone` CloudTrail de Control de AWS. El registro de eventos del ciclo de vida incluye el `rootOrganizationalId`, que es el ID de la organización que AWS Control Tower crea a partir de la cuenta de administración. La entrada del registro también incluye las `organizationalUnitName` y `organizationalUnitId` para cada una de las OUs `accountName` y `accountId` para cada cuenta que se crean cuando AWS Control Tower configura la landing zone.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID.
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // Management account ID.
"time": "2018-08-30T21:42:18Z", // Event time from CloudTrail.
"region": "us-east-1", // Management account CloudTrail region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX", // Management-account ID.
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "SetupLandingZone",
"awsRegion": "us-east-1", // AWS Control Tower home region.
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail.
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"setupLandingZoneStatus": {
"state": "SUCCEEDED", // Status of entire lifecycle operation.
"message": "AWS Control Tower successfully set up a new landing zone.",
"rootOrganizationalId" : "r-1234",
"organizationalUnits" : [ // Use a list.
{
"organizationalUnitName": "Security", // Security OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Security OU ID.
},
{
"organizationalUnitName": "Custom", // Custom OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID.
},
],
"accounts": [ // All created accounts are here. Use a list of "account" objects.
{
"accountName": "Audit",
"accountId": "XXXXXXXXXXXX"
},
{
"accountName": "Log archive",
"accountId": "XXXXXXXXXXXX"
}
],
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `UpdateLandingZone`
Este evento del ciclo de vida registra si AWS Control Tower ha actualizado correctamente su zona de aterrizaje existente. Este evento corresponde al evento de la Torre `UpdateLandingZone` CloudTrail de Control de AWS. El registro de eventos del ciclo de vida incluye el `rootOrganizationalId`, que es el ID de la organización (actualizada) controlada por AWS Control Tower. La entrada del registro también incluye la `organizationalUnitName` y `organizationalUnitId` para cada una de las OUs cuentas `accountName` y `accountId` para cada una de las cuentas que se crearon anteriormente, cuando AWS Control Tower configuró originalmente la landing zone.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID.
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // Management account ID.
"time": "2018-08-30T21:42:18Z", // Event time from CloudTrail.
"region": "us-east-1", // Management account CloudTrail region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX", // Management account ID.
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "UpdateLandingZone",
"awsRegion": "us-east-1", // AWS Control Tower home region.
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail.
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"updateLandingZoneStatus": {
"state": "SUCCEEDED", // Status of entire operation.
"message": "AWS Control Tower successfully updated a landing zone.",
"rootOrganizationalId" : "r-1234",
"organizationalUnits" : [ // Use a list.
{
"organizationalUnitName": "Security", // Security OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Security OU ID.
},
{
"organizationalUnitName": "Custom", // Custom OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID.
},
],
"accounts": [ // All created accounts are here. Use a list of "account" objects.
{
"accountName": "Audit",
"accountId": "XXXXXXXXXXXX"
},
{
"accountName": "Log archive",
"accountId": "XXXXXXXXXX"
}
],
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `RegisterOrganizationalUnit`
Este evento del ciclo de vida registra si AWS Control Tower ha habilitado correctamente las características de gobernanza en una OU. Este evento corresponde al evento de la Torre `RegisterOrganizationalUnit` CloudTrail de Control de AWS. Este registro de eventos del ciclo de vida incluye el `organizationalUnitName` y `organizationalUnitId` de la OU que AWS Control Tower ha sometido a su gobernanza.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "123456789012",
"time": "2018-08-30T21:42:18Z",
"region": "us-east-1",
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "RegisterOrganizationalUnit",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"registerOrganizationalUnitStatus": {
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully registered an organizational unit.",
"organizationalUnit" :
{
"organizationalUnitName": "Test",
"organizationalUnitId": "ou-adpf-302pk332"
}
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `DeregisterOrganizationalUnit`
Este evento del ciclo de vida registra si AWS Control Tower ha deshabilitado correctamente las características de gobernanza en una OU. Este evento corresponde al evento de la Torre `DeregisterOrganizationalUnit` CloudTrail de Control de AWS. El registro de eventos del ciclo de vida incluye el `organizationalUnitName` y `organizationalUnitId` de la OU en la que AWS Control Tower ha deshabilitado las características de gobernanza.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX",
"time": "2018-08-30T21:42:18Z",
"region": "us-east-1",
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "DeregisterOrganizationalUnit",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"deregisterOrganizationalUnitStatus": {
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.",
"organizationalUnit" :
{
"organizationalUnitName": "Test", // Foundational OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID.
},
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `PrecheckOrganizationalUnit`
Este evento del ciclo de vida registra si AWS Control Tower realizó correctamente las comprobaciones previas en una OU. Este evento corresponde al evento de la Torre `PrecheckOrganizationalUnit` CloudTrail de Control de AWS. El registro de eventos del ciclo de vida contiene un campo para los valores `Id`, `Name` y `failedPrechecks`, para cada recurso en el que AWS Control Tower haya realizado comprobaciones previas durante el proceso de registro de la OU.
El registro de eventos también contiene información sobre las cuentas anidadas en las que se realizaron las comprobaciones previas, incluidos los campos `accountName`, `accountId` y `failedPrechecks`.
Si el valor `failedPrechecks` está vacío, significa que todas las comprobaciones previas de ese recurso se han realizado correctamente.
+ Este evento se emite solo si se produce un error en la comprobación previa.
+ Este evento no se emite si se registra una OU vacía.
Evento de ejemplo:
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-09-20T22:45:43Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "PrecheckOrganizationalUnit",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"precheckOrganizationalUnitStatus": {
"organizationalUnit": {
"organizationalUnitName": "Ou-123",
"organizationalUnitId": "ou-abcd-123456",
"failedPrechecks": [
"SCP_CONFLICT"
]
},
"accounts": [
{
"accountName": "Child Account 1",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": [
"FAILED_TO_ASSUME_ROLE"
]
},
{
"accountName": "Child Account 2",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": [
"FAILED_TO_ASSUME_ROLE"
]
},
{
"accountName": "Management Account",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": [
"MISSING_PERMISSIONS_AF_PRODUCT"
]
},
{
"accountName": "Child Account 3",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": []
},
...
],
"state": "FAILED",
"message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.",
"requestedTimestamp": "2021-09-20T22:44:02+0000",
"completedTimestamp": "2021-09-20T22:45:43+0000"
}
},
"eventCategory": "Management"
}
```
## `EnableBaseline`
Este evento del ciclo de vida registra si AWS Control Tower ha habilitado correctamente una línea de base en una cuenta de miembro de destino bajo una UO. Este evento corresponde a la Torre de Control `RegisterOrganizationalUnit` o `EnableBaseline` CloudTrail eventos de AWS. El registro de eventos del ciclo de vida incluye la línea de base que se ha habilitado y su versión, el `targetIdentifier` en el que se habilitó la línea de base, el `parentIdentifier` de la línea de base habilitada en la UO principal y el `statusSummary` que muestra el estado de CORRECTO o ERROR, junto con los parámetros adicionales y la marca de tiempo de la operación.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-02-10T17:14:57Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "EnableBaseline",
"awsRegion": "us-east-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "366911a2-4fa6-4e4a-ac2b-280f627e0027",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"enableBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-ern76xmzvf/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-east-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "4.0",
"statusSummary": {
"lastOperationIdentifier": "37f5eb68-e5b9-4c70-ae76-4ca15f6b16de",
"status": "SUCCEEDED"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": {
"untyped": {
"object": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX" }
}
}
]
},
"requestedTimestamp": "2025-02-10T17:07:09+0000",
"completedTimestamp": "2025-02-10T17:14:57+0000"
}
},
"eventCategory": "Management"
}
```
## `ResetEnabledBaseline`
Este evento del ciclo de vida registra si AWS Control Tower ha restablecido correctamente la línea de base habilitada existente en una cuenta de miembro de destino bajo una UO. Este evento corresponde a la Torre de Control `RegisterOrganizationalUnit` o `ResetEnabledBaseline` CloudTrail eventos de AWS. El registro de eventos del ciclo de vida incluye la línea de base que se ha habilitado y su versión, el `targetIdentifier` en el que se habilitó la línea de base, el `parentIdentifier` de la línea de base habilitada en la UO principal y el `statusSummary` que muestra el estado de CORRECTO o ERROR, junto con los parámetros adicionales y la marca de tiempo de la operación.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-02-10T21:17:55Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "ResetEnabledBaseline",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "c01a32e1-13ab-4b46-8f1b-00699ef6f989",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"resetEnabledBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "3e364c89-89fa-42b8-9776-9f7cc47ba1fa",
"status": "SUCCEEDED"
},
"parameters": []
},
"requestedTimestamp": "2025-02-10T21:14:24Z",
"completedTimestamp": "2025-02-10T21:17:54+0000"
}
},
"eventCategory": "Management"
}
```
## `UpdateEnabledBaseline`
Este evento del ciclo de vida registra si AWS Control Tower ha actualizado correctamente la línea de base habilitada existente en una cuenta de miembro de destino bajo una UO. Este evento corresponde a la Torre de Control `RegisterOrganizationalUnit` o `UpdateEnabledBaseline` CloudTrail eventos de AWS. El registro de eventos del ciclo de vida incluye la línea de base que se ha habilitado y su versión, el `targetIdentifier` en el que se habilitó la línea de base, el `parentIdentifier` de la línea de base habilitada en la UO principal y el `statusSummary` que muestra el estado de CORRECTO o ERROR, junto con los parámetros adicionales y la marca de tiempo de la operación.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-02-10T19:45:28Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "UpdateEnabledBaseline",
"awsRegion": "us-east-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "514f2aff-1a99-4912-bda1-0d4d6662c96e",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"updateEnabledBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-ern76xmzvf/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-east-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "4.0",
"statusSummary": {
"lastOperationIdentifier": "ba3de28f-83fb-4c9a-8a8c-a4e15fac2c41",
"status": "SUCCEEDED"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": {
"untyped": {
"object": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX" }
}
}
]
},
"requestedTimestamp": "2025-02-10T19:39:35+0000",
"completedTimestamp": "2025-02-10T19:45:28+0000"
}
},
"eventCategory": "Management"
}
```
## `DisableBaseline`
Este evento del ciclo de vida registra si AWS Control Tower ha deshabilitado correctamente la línea de base habilitada existente en una cuenta de miembro de destino bajo una UO. Este evento corresponde al evento de la Torre `DisableBaseline` CloudTrail de Control de AWS. El registro de eventos del ciclo de vida incluye la línea de base que se ha habilitado y su versión, el `targetIdentifier` en el que se habilitó la línea de base, el `parentIdentifier` de la línea de base habilitada en la UO principal y el `statusSummary` que muestra el estado de CORRECTO o ERROR, junto con los parámetros adicionales y la marca de tiempo de la operación.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-03-14T00:50:58Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "DisableBaseline",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "704794c4-a32e-4960-8386-c7efaa5a22a1",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"disableBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "7b895594-0edb-48bc-9f3d-d88c2ad618df",
"status": "SUCCEEDED"
},
"parameters": []
},
"baselineDetails": {
"arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "7b895594-0edb-48bc-9f3d-d88c2ad618df",
"status": "SUCCEEDED"
},
"parameters": []
},
"requestedTimestamp": "2025-03-14T00:49:13Z",
"completedTimestamp": "2025-03-14T00:50:58+0000"
}
},
"eventCategory": "Management"
}
```
# Uso de las notificaciones de AWS usuario con AWS Control Tower
Puede usar [notificaciones de usuario de AWS](https://docs.aws.amazon.com/notifications/latest/userguide/what-is.html) para configurar los canales de entrega a fin de recibir notificaciones sobre los eventos de AWS Control Tower. Recibirá una notificación cuando un evento coincida con una regla que especifique. Puede recibir notificaciones sobre eventos a través de varios canales, como correo electrónico, notificaciones por chat de [Amazon Q Developer en aplicaciones de chat](https://docs.aws.amazon.com/chatbot/latest/adminguide/what-is.html) o notificaciones de inserción de [Aplicación móvil de la consola de AWS](https://docs.aws.amazon.com/consolemobileapp/latest/userguide/what-is-consolemobileapp.html). También puede ver las notificaciones en el Centro de notificaciones de la consola.
AWS Las notificaciones de usuario admiten la agregación, lo que puede reducir la cantidad de notificaciones que recibes durante eventos específicos. Las notificaciones también son visibles en el Centro de notificaciones de la consola.
Entre las ventajas de suscribirse a las notificaciones a través de las notificaciones de AWS usuario, en lugar de las notificaciones, se EventBridge incluyen las siguientes:
+ Una interfaz de usuario (IU) más simple.
+ Integración con la AWS consola, en el bell/notifications área de la barra de navegación global.
+ Soporte nativo para notificaciones por correo electrónico, no es necesario configurar Amazon SNS.
+ En particular, el soporte para notificaciones push móviles, exclusivo de las notificaciones AWS de usuario.
Por ejemplo, un tipo de notificación que quizás desee recibir es en caso de que el Security Hub detecte que el CSPM es crítico y de alta gravedad. Un fragmento de código en JSON para configurar la suscripción a las notificaciones puede tener el siguiente aspecto:
```
{
"detail": {
"findings": {
"Compliance": {
"Status": ["FAILED", "WARNING", "NOT_AVAILABLE"]
},
"RecordState": ["ACTIVE"],
"Severity": {
"Label": ["CRITICAL", "HIGH"]
},
"Workflow": {
"Status": ["NEW", "NOTIFIED"]
}
}
}
}
```
**Filtrado de eventos**
+ Puede filtrar los eventos por servicio y nombre mediante los filtros disponibles en la consola de notificaciones AWS de usuario.
+ Puedes filtrar los eventos por propiedades específicas si creas tu propio EventBridge filtro a partir del código JSON.
**Ejemplo de AWS Control Tower evento**
A continuación se muestra un ejemplo generalizado de un evento para AWS Control Tower.
+ Es un EventBridge evento.
+ Puedes suscribirte a EventBridge eventos (como este) mediante las notificaciones AWS de usuario.
```
{
"version": "0",
"id": "", // alphanumeric string
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "", // Management account ID.
"time": "", // Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "", // AWS Control Tower home region.
"resources": [],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "121212121212",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "", // one of the 9 event names in https://docs.aws.amazon.com/controltower/latest/userguide/lifecycle-events.html
"awsRegion": "",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
// the contents of this object vary depending on the event subtype and event state
}
}
}
```