Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Pencatatan dan pemantauan di AWS Control Tower
Pemantauan memungkinkan Anda untuk merencanakan dan menanggapi insiden potensial. Hasil kegiatan pemantauan disimpan dalam file log. Oleh karena itu, logging dan monitoring adalah konsep yang terkait erat, dan merupakan bagian penting dari sifat AWS Control Tower yang dirancang dengan baik.
Saat menyiapkan landing zone, salah satu akun bersama yang dibuat adalah akun *arsip log*. Ini didedikasikan untuk mengumpulkan semua log secara terpusat, termasuk log untuk semua akun bersama dan anggota Anda. File log disimpan dalam bucket Amazon S3. File log ini memungkinkan administrator dan auditor untuk meninjau tindakan dan peristiwa yang telah terjadi.
Sebagai praktik terbaik, Anda harus mengumpulkan data pemantauan dari semua bagian AWS pengaturan Anda ke dalam log Anda, sehingga Anda dapat lebih mudah men-debug kegagalan multi-titik jika terjadi. AWS menyediakan beberapa alat untuk memantau sumber daya dan aktivitas Anda di landing zone Anda.
Misalnya, status kontrol Anda dipantau terus-menerus. Anda dapat melihat status mereka secara sekilas di konsol AWS Control Tower, atau secara terprogram melalui [AWS Control](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html) Tower. APIs Kesehatan dan status akun yang Anda berikan di Account Factory juga dipantau secara konstan.
**Melihat tindakan yang dicatat dari halaman Aktivitas**
Di konsol AWS Control Tower, halaman **Aktivitas** memberikan ikhtisar tindakan akun manajemen AWS Control Tower. Untuk menavigasi ke halaman AWS Control Tower **Activities**, pilih **Aktivitas** dari navigasi kiri.
Aktivitas yang ditampilkan di halaman **Aktivitas adalah aktivitas** yang sama yang dilaporkan dalam log AWS CloudTrail peristiwa untuk AWS Control Tower, tetapi ditampilkan dalam format tabel. Untuk mempelajari lebih lanjut tentang aktivitas tertentu, pilih aktivitas dari tabel, lalu pilih **Lihat detail**.
Anda dapat melihat tindakan dan peristiwa akun anggota di file arsip log.
Bagian berikut menjelaskan pemantauan dan pencatatan di AWS Control Tower dengan detail selengkapnya:
**Topik**
+ [Alat terintegrasi untuk pemantauan](monitoring-overview.md)
+ [Mencatat Tindakan AWS Control Tower dengan AWS CloudTrail](logging-using-cloudtrail.md)
+ [Peristiwa Siklus Hidup di AWS Control Tower](lifecycle-events.md)
+ [Menggunakan Notifikasi AWS Pengguna dengan AWS Control Tower](using-user-notifications.md)
# Tentang masuk ke AWS Control Tower
AWS Control Tower menyelesaikan pencatatan tindakan dan peristiwa secara otomatis, melalui integrasinya dengan AWS CloudTrail dan AWS Config, dan merekamnya CloudWatch. Semua tindakan dicatat, termasuk tindakan dari akun manajemen AWS Control Tower dan dari akun anggota organisasi Anda. Tindakan dan peristiwa akun manajemen dapat dilihat di halaman **Aktivitas** di konsol. Anda dapat melihat tindakan dan peristiwa akun anggota di file arsip log.
**Jalur tingkat organisasi**
AWS Control Tower menyiapkan CloudTrail jejak baru saat Anda menyiapkan landing zone. Ini adalah *jejak tingkat organisasi*, yang berarti mencatat semua peristiwa untuk akun manajemen dan semua akun anggota dalam organisasi. Fitur ini mengandalkan *akses tepercaya* untuk memberikan izin akun manajemen untuk membuat jejak di setiap akun anggota.
Untuk informasi selengkapnya tentang AWS Control Tower dan jejak CloudTrail organisasi, lihat [Membuat jejak untuk organisasi](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-trail-organization.html).
**catatan**
Dalam rilis AWS Control Tower sebelum landing zone versi 3.0, AWS Control Tower membuat jejak akun anggota di setiap akun. Saat Anda memperbarui ke rilis 3.0, CloudTrail jejak Anda menjadi jejak organisasi. Untuk praktik terbaik saat berpindah antar jalur, lihat [Praktik terbaik untuk mengubah jejak](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-trail-organization.html#creating-an-organizational-trail-best-practice) di *CloudTrail Panduan Pengguna*.
Saat Anda mendaftarkan akun ke AWS Control Tower, akun Anda diatur oleh AWS CloudTrail jejak untuk organisasi AWS Control Tower. Jika Anda memiliki penerapan CloudTrail jejak yang ada di akun tersebut, Anda mungkin melihat biaya duplikat kecuali Anda menghapus jejak yang ada untuk akun tersebut sebelum Anda mendaftarkannya di AWS Control Tower.
**catatan**
Saat Anda memperbarui ke landing zone versi 3.0, AWS Control Tower menghapus jejak tingkat akun (yang telah dibuat AWS Control Tower) di akun terdaftar atas nama Anda. File log tingkat akun Anda yang ada disimpan di bucket Amazon S3 mereka.
# Kebijakan bucket Amazon S3 di akun audit
Di AWS Control Tower, AWS layanan memiliki akses ke sumber daya Anda hanya jika permintaan berasal dari organisasi atau unit organisasi (OU) Anda. `aws:SourceOrgID`Syarat harus dipenuhi untuk izin menulis apa pun.
Anda dapat menggunakan kunci `aws:SourceOrgID` kondisi dan menyetel nilainya ke **ID organisasi** di elemen kondisi kebijakan bucket Amazon S3 Anda. Kondisi ini memastikan bahwa CloudTrail hanya dapat menulis log atas nama akun dalam organisasi Anda ke bucket S3 Anda; ini mencegah CloudTrail log di luar organisasi Anda menulis ke bucket AWS Control Tower S3 Anda.
Kebijakan ini tidak memengaruhi fungsionalitas beban kerja Anda yang ada. Kebijakan ditampilkan dalam contoh berikut.
```
S3AuditBucketPolicy:
Type: AWS::S3::BucketPolicy
Properties:
Bucket: !Ref S3AuditBucket
PolicyDocument:
Version: 2012-10-17
Statement:
- Sid: AllowSSLRequestsOnly
Effect: Deny
Principal: '*'
Action: s3:*
Resource:
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}"
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/*"
Condition:
Bool:
aws:SecureTransport: false
- Sid: AWSBucketPermissionsCheck
Effect: Allow
Principal:
Service:
- cloudtrail.amazonaws.com
- config.amazonaws.com
Action: s3:GetBucketAcl
Resource:
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}"
- Sid: AWSConfigBucketExistenceCheck
Effect: Allow
Principal:
Service:
- cloudtrail.amazonaws.com
- config.amazonaws.com
Action: s3:ListBucket
Resource:
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}"
- Sid: AWSBucketDeliveryForConfig
Effect: Allow
Principal:
Service:
- config.amazonaws.com
Action: s3:PutObject
Resource:
- Fn::Join:
- ""
-
- !Sub "arn:${AWS::Partition}:s3:::"
- !Ref "S3AuditBucket"
- !Sub "/${AWSLogsS3KeyPrefix}/AWSLogs/*/*"
Condition:
StringEquals:
aws:SourceOrgID: !Ref OrganizationId
- Sid: AWSBucketDeliveryForOrganizationTrail
Effect: Allow
Principal:
Service:
- cloudtrail.amazonaws.com
Action: s3:PutObject
Resource: !If [IsAccountLevelBucketPermissionRequiredForCloudTrail,
[!Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/${Namespace}/*", !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/${OrganizationId}/*"],
!Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/*/*"]
Condition:
StringEquals:
aws:SourceOrgID: !Ref OrganizationId
```
Untuk informasi selengkapnya tentang kunci kondisi ini, lihat dokumentasi IAM dan posting blog IAM berjudul "*Gunakan kontrol yang dapat diskalakan untuk AWS layanan yang mengakses* sumber daya Anda.”
# Alat terintegrasi untuk pemantauan
Pemantauan adalah bagian penting dalam menjaga keandalan, ketersediaan, dan kinerja AWS Control Tower dan AWS solusi Anda yang lain. AWS menyediakan alat pemantauan berikut untuk mengawasi AWS Control Tower, melaporkan ketika ada sesuatu yang salah, dan mengambil tindakan otomatis bila perlu:
+ *Amazon CloudWatch* memantau AWS sumber daya Anda dan aplikasi yang Anda jalankan AWS secara real time. Anda dapat mengumpulkan dan melacak metrik, membuat dasbor yang disesuaikan, dan mengatur alarm yang memberi tahu Anda atau mengambil tindakan saat metrik tertentu mencapai ambang batas yang ditentukan. Misalnya, Anda dapat CloudWatch melacak penggunaan CPU atau metrik lain dari EC2 instans Amazon Anda dan secara otomatis meluncurkan instans baru bila diperlukan. Untuk informasi selengkapnya, lihat [Panduan CloudWatch Pengguna Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ *Amazon CloudWatch Events memberikan aliran peristiwa* sistem yang mendekati waktu nyata yang menjelaskan perubahan AWS sumber daya. CloudWatch Peristiwa memungkinkan komputasi berbasis peristiwa otomatis, karena Anda dapat menulis aturan yang mengawasi peristiwa tertentu dan memicu tindakan otomatis di AWS layanan lain saat peristiwa ini terjadi. Untuk informasi selengkapnya, lihat [Panduan Pengguna CloudWatch Acara Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/).
+ *Amazon CloudWatch Logs* memungkinkan Anda memantau, menyimpan, dan mengakses file log Anda dari EC2 instans Amazon CloudTrail, dan sumber lainnya. CloudWatch Log dapat memantau informasi dalam file log dan memberi tahu Anda ketika ambang batas tertentu terpenuhi. Anda juga dapat mengarsipkan data log dalam penyimpanan yang sangat durabel. Untuk informasi selengkapnya, lihat [Panduan Pengguna Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
+ *AWS CloudTrail*menangkap panggilan API dan peristiwa terkait yang dibuat oleh atau atas nama AWS akun Anda dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi.
**Tip:** Anda dapat melihat dan CloudTrail melakukan kueri aktivitas di akun melalui Wawasan CloudWatch Log dan CloudWatch Log. Aktivitas ini mencakup peristiwa siklus hidup AWS Control Tower. CloudWatch Kemampuan log memungkinkan Anda untuk melakukan kueri yang lebih terperinci dan akurat daripada yang biasanya dapat Anda gunakan. CloudTrail
Lihat informasi yang lebih lengkap di [Mencatat Tindakan AWS Control Tower dengan AWS CloudTrail](logging-using-cloudtrail.md).
# Mencatat Tindakan AWS Control Tower dengan AWS CloudTrail
AWS Control Tower terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di AWS Control Tower. CloudTrail menangkap tindakan untuk AWS Control Tower sebagai peristiwa. Jika Anda membuat jejak, Anda dapat mengaktifkan pengiriman CloudTrail peristiwa secara berkelanjutan ke bucket Amazon S3, termasuk peristiwa untuk AWS Control Tower.
Jika Anda tidak membuat konfigurasi jejak, Anda masih dapat melihat kejadian terbaru dalam konsol CloudTrail di **Riwayat peristiwa**. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat ke AWS Control Tower, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan.
Untuk mempelajari selengkapnya CloudTrail, termasuk cara mengonfigurasi dan mengaktifkannya, lihat [Panduan AWS CloudTrail Pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Informasi AWS Control Tower di CloudTrail
CloudTrail diaktifkan di AWS akun Anda saat Anda membuat akun. Ketika aktivitas peristiwa yang didukung terjadi di AWS Control Tower, aktivitas tersebut direkam dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam **riwayat Acara**. Anda dapat melihat, mencari, dan mengunduh acara terbaru di AWS akun Anda. Untuk informasi selengkapnya, lihat [Melihat Acara dengan Riwayat CloudTrail Acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
**catatan**
Dalam rilis AWS Control Tower sebelum landing zone versi 3.0, AWS Control Tower membuat jejak akun anggota. Saat Anda memperbarui ke rilis 3.0, CloudTrail jejak Anda diperbarui untuk menjadi jejak organisasi. Untuk praktik terbaik saat berpindah antar jalur, lihat [Membuat jejak organisasi](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-trail-organization.html#creating-an-organizational-trail-best-practice) di Panduan CloudTrail Pengguna.
**Direkomendasikan: Buat jejak**
Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, termasuk peristiwa untuk AWS Control Tower, buat jejak. *Jejak* memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Secara default, saat Anda membuat jejak di konsol tersebut, jejak diterapkan ke semua Wilayah AWS . Jejak mencatat peristiwa dari semua Wilayah di AWS partisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Untuk informasi selengkapnya, lihat berikut:
+ [Gambaran Umum untuk Membuat Jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [Bersiaplah untuk membuat jejak](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-an-organizational-trail-prepare.html)
+ [Mengelola CloudTrail biaya](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-trail-manage-costs.html)
+ [CloudTrail Layanan dan Integrasi yang Didukung](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Mengkonfigurasi Notifikasi Amazon SNS untuk CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Menerima File CloudTrail Log dari Beberapa Wilayah](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) dan [Menerima File CloudTrail Log dari Beberapa Akun](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
AWS Control Tower mencatat tindakan berikut sebagai peristiwa dalam file CloudTrail log:
**Publik APIs**
+ Untuk daftar lengkap publik AWS Control Tower APIs dan detail tentang masing-masing, lihat [Referensi API AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html). Panggilan ke publik APIs ini dicatat oleh AWS CloudTrail.
**Lainnya APIs**
+ `SetupLandingZone`
+ `UpdateAccountFactoryConfig`
+ `ManageOrganizationalUnit`
+ `CreateManagedAccount`
+ `GetLandingZoneStatus`
+ `GetHomeRegion`
+ `ListManagedAccounts`
+ `DescribeManagedAccount`
+ `DescribeAccountFactoryConfig`
+ `DescribeGuardrailForTarget`
+ `DescribeManagedOrganizationalUnit`
+ `ListEnabledGuardrails`
+ `ListGuardrailViolations`
+ `ListGuardrails`
+ `ListGuardrailsForTarget`
+ `ListManagedAccountsForGuardrail`
+ `ListManagedAccountsForParent`
+ `ListManagedOrganizationalUnits`
+ `ListManagedOrganizationalUnitsForGuardrail`
+ `GetGuardrailComplianceStatus`
+ `DescribeGuardrail`
+ `ListDirectoryGroups`
+ `DescribeSingleSignOn`
+ `DescribeCoreService`
+ `GetAvailableUpdates`
Setiap entri peristiwa atau log berisi informasi tentang entitas yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan hal berikut ini:
+ Apakah permintaan itu dibuat dengan kredenal pengguna root atau AWS Identity and Access Management (IAM).
+ Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna gabungan.
+ Apakah permintaan itu dibuat oleh AWS layanan lain.
+ Apakah permintaan ditolak karena akses ditolak atau diproses dengan sukses.
Untuk informasi lain, lihat [Elemen userIdentity CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Contoh: Entri File Log AWS Control Tower
Trail adalah konfigurasi yang memungkinkan pengiriman peristiwa sebagai file log ke bucket Amazon S3 yang Anda tentukan. CloudTrail file log berisi satu atau lebih entri log. Peristiwa mewakili permintaan tunggal dari sumber manapun dan mencakup informasi tentang tindakan yang diminta, tanggal dan waktu tindakan, parameter permintaan, dan sebagainya. CloudTrail peristiwa tidak muncul dalam urutan tertentu dalam file log.
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan struktur entri file log khas untuk acara `SetupLandingZone` AWS Control Tower, termasuk catatan identitas pengguna yang memulai tindakan.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:backend-test-assume-role-session",
"arn": "arn:aws:sts::76543EXAMPLE;:assumed-role/AWSControlTowerTestAdmin/backend-test-assume-role-session",
"accountId": "76543EXAMPLE",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2018-11-20T19:36:11Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::AKIAIOSFODNN7EXAMPLE:role/AWSControlTowerTestAdmin",
"accountId": "AIDACKCEVSQ6C2EXAMPLE",
"userName": "AWSControlTowerTestAdmin"
}
}
},
"eventTime": "2018-11-20T19:36:15Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "SetupLandingZone",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "Coral/Netty4",
"errorCode": "InvalidParametersException",
"errorMessage": "Home region EU_CENTRAL_1 is unsupported",
"requestParameters": {
"homeRegion": "EU_CENTRAL_1",
"logAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
"sharedServiceAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
"securityAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
"securityNotificationEmail": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"responseElements": null,
"requestID": "96f47b68-ed5f-4268-931c-807cd1f89a96",
"eventID": "4ef5cf08-39e5-4fdf-9ea2-b07ced506851",
"eventType": "AwsApiCall",
"recipientAccountId": "76543EXAMPLE"
}
```
# Pantau perubahan sumber daya dengan AWS Config
AWS Control Tower memungkinkan AWS Config pada semua akun yang terdaftar, sehingga dapat memantau kepatuhan melalui kontrol detektif, merekam perubahan sumber daya, dan mengirimkan log perubahan sumber daya ke akun arsip log.
**Jika versi landing zone Anda lebih awal dari 3.0**: Untuk akun terdaftar Anda, AWS Config catat semua perubahan pada sumber daya, untuk semua Wilayah tempat akun beroperasi. Setiap perubahan dimodelkan sebagai item konfigurasi (CI), yang berisi informasi seperti pengidentifikasi sumber daya, Wilayah, tanggal setiap perubahan dicatat, dan apakah perubahan tersebut terkait dengan sumber daya yang diketahui atau yang baru ditemukan.
**Jika versi landing zone Anda 3.0 atau yang lebih baru**: AWS Control Tower membatasi perekaman untuk sumber daya global, seperti pengguna IAM, grup, peran, dan kebijakan yang dikelola pelanggan, hanya untuk Wilayah asal Anda. Salinan perubahan sumber daya global tidak disimpan di setiap Wilayah. Keterbatasan perekaman sumber daya ini sesuai dengan [praktik AWS Config terbaik](https://aws.amazon.com//blogs/mt/aws-config-best-practices/). [Daftar lengkap sumber daya global](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html) tersedia dalam AWS Config dokumentasi.
+ Untuk mempelajari selengkapnya AWS Config, lihat [Cara AWS Config kerjanya](https://docs.aws.amazon.com//config/latest/developerguide/how-does-config-work.html).
+ Untuk daftar sumber daya yang AWS Config dapat mendukung, lihat [Jenis sumber daya yang didukung](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html).
+ Untuk mempelajari cara menyesuaikan pelacakan sumber daya di lingkungan AWS Control Tower, lihat posting blog berjudul [Kustomisasi pelacakan AWS Config sumber daya di AWS Control Tower](https://aws.amazon.com/blogs//mt/customize-aws-config-resource-tracking-in-aws-control-tower-environment).
AWS Control Tower menyiapkan saluran AWS Config pengiriman di semua akun yang terdaftar. Melalui saluran pengiriman ini, ia mencatat semua perubahan yang direkam oleh AWS Config di akun arsip log, di mana mereka disimpan ke folder di bucket Amazon Simple Storage Service.
# Mengelola AWS Config biaya di AWS Control Tower
Bagian ini menjelaskan cara AWS Config mencatat dan menagih Anda untuk perubahan sumber daya di akun AWS Control Tower Anda. Informasi ini dapat membantu Anda memahami cara mengelola biaya yang terkait AWS Config, saat Anda menggunakan AWS Control Tower. AWS Control Tower tidak menambahkan biaya tambahan.
**catatan**
**Jika versi landing zone Anda 3.0 atau yang lebih baru**: AWS Control Tower membatasi AWS Config perekaman untuk sumber daya global, seperti pengguna IAM, grup, peran, dan kebijakan yang dikelola pelanggan, hanya untuk Wilayah asal Anda. Oleh karena itu, beberapa informasi di bagian ini mungkin tidak berlaku untuk landing zone Anda.
AWS Config dirancang untuk mencatat setiap perubahan ke setiap sumber daya, di setiap Wilayah tempat akun beroperasi, sebagai item konfigurasi (CI). AWS Config menagih Anda untuk setiap item konfigurasi yang dihasilkannya.
**Bagaimana AWS Config beroperasi**
AWS Config mencatat sumber daya di setiap Wilayah, secara terpisah. Beberapa sumber daya global, seperti peran IAM, dicatat satu kali per Wilayah. Misalnya, jika Anda membuat peran IAM baru di akun terdaftar yang beroperasi di lima Wilayah, AWS Config hasilkan lima CIs, satu untuk setiap Wilayah. Sumber daya global lainnya, seperti zona yang dihosting Route 53, dicatat hanya sekali di semua Wilayah. Misalnya, jika Anda membuat zona host Route 53 baru di akun terdaftar, buat AWS Config satu CI, terlepas dari berapa banyak Wilayah yang dipilih untuk akun tersebut. Untuk daftar yang membantu Anda membedakan jenis sumber daya ini, lihat[Sumber daya yang sama dicatat beberapa kali](monitoring-with-config.md#duplicate-configuration-items).
**catatan**
Saat AWS Control Tower berfungsi AWS Config, Wilayah dapat diatur oleh AWS Control Tower, atau tidak diatur, dan AWS Config masih mencatat perubahan jika akun beroperasi di Wilayah tersebut.
**AWS Config mendeteksi dua jenis hubungan dalam sumber daya**
AWS Config membuat perbedaan antara hubungan *langsung* dan *tidak langsung* antara sumber daya. Jika sumber daya dikembalikan dalam panggilan API **Deskripsikan** sumber daya lain, sumber daya tersebut dicatat sebagai hubungan langsung. Ketika Anda mengubah sumber daya dalam hubungan langsung dengan sumber daya lain, AWS Config tidak membuat CI untuk kedua sumber daya.
Misalnya, jika Anda membuat instans Amazon EC2, dan API mengharuskan Anda membuat antarmuka jaringan, AWS Config pertimbangkan instans Amazon EC2 memiliki hubungan langsung dengan antarmuka jaringan. Akibatnya, hanya AWS Config menghasilkan satu CI.
AWS Config mencatat perubahan terpisah untuk hubungan sumber daya yang merupakan hubungan *tidak langsung*. Misalnya, buat AWS Config dua CI jika Anda membuat grup keamanan dan menambahkan instans Amazon EC2 terkait yang merupakan bagian dari grup keamanan.
Untuk informasi lebih lanjut tentang hubungan langsung dan tidak langsung, lihat [Apa itu hubungan langsung dan tidak langsung sehubungan dengan sumber daya?](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-0)
Anda dapat menemukan [daftar hubungan sumber daya](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html) dalam AWS Config dokumentasi.
## Melihat data AWS Config perekam pada akun terdaftar
AWS Config terintegrasi dengan CloudWatch sehingga Anda dapat melihat AWS Config CIs di dasbor. Untuk informasi selengkapnya, lihat posting blog berjudul [AWS Config mendukung CloudWatch metrik Amazon](https://aws.amazon.com/about-aws/whats-new/2022/05/aws-config-supports-amazon-cloudwatch-metrics).
Secara terprogram, untuk melihat AWS Config data, Anda dapat bekerja dengan AWS CLI, atau Anda dapat menggunakan alat lain. AWS
### Kueri data AWS Config perekam pada sumber daya tertentu
Anda dapat menggunakan AWS CLI untuk mengambil daftar perubahan terbaru untuk sumber daya.
**Perintah riwayat sumber daya:**
+ `aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION`
Untuk mempelajari lebih lanjut, lihat [dokumentasi API untuk `get-config-history`](https://docs.aws.amazon.com//cli/latest/reference/configservice/get-resource-config-history.html).
### Visualisasikan AWS Config data dengan Quick
Anda dapat memvisualisasikan dan meminta sumber daya yang direkam oleh AWS Config seluruh organisasi Anda. Untuk informasi selengkapnya, lihat [Dasbor Kepatuhan Sumber Daya Konfigurasi](https://catalog.workshops.aws/awscid/en-US/dashboards/additional/config-resource-compliance-dashboard) dan [Memvisualisasikan AWS Config data menggunakan Amazon Athena](https://aws.amazon.com/blogs/mt/visualizing-aws-config-data-using-amazon-athena-and-amazon-quicksight/) dan Quick.
## Pemecahan Masalah AWS Config di AWS Control Tower
Bagian ini memberikan informasi tentang beberapa masalah yang mungkin Anda temui saat menggunakan AWS Config AWS Control Tower.
### AWS Config Biaya tinggi
Jika alur kerja Anda menyertakan proses yang sering membuat, memperbarui, atau menghapus sumber daya, atau jika menangani sumber daya dalam jumlah besar, alur kerja tersebut dapat menghasilkan sejumlah besar sumber daya. CIs Jika Anda menjalankan proses ini di akun non-produksi, pertimbangkan untuk membuka pendaftaran akun. Anda mungkin perlu menonaktifkan AWS Config perekam untuk akun itu secara manual.
**catatan**
Setelah Anda membatalkan pendaftaran akun, AWS Control Tower tidak dapat menerapkan kontrol detektif atau peristiwa akun log, seperti AWS Config aktivitas, untuk sumber daya di akun tersebut.
Untuk informasi selengkapnya, lihat [Membatalkan kelola akun yang terdaftar](https://docs.aws.amazon.com//controltower/latest/userguide/unmanage-account.html). Untuk mempelajari cara menonaktifkan AWS Config perekam, lihat [Mengelola perekam konfigurasi](https://docs.aws.amazon.com//config/latest/developerguide/stop-start-recorder.html).
### Sumber daya yang sama dicatat beberapa kali
Periksa apakah sumber daya adalah sumber [daya global](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html). Untuk zona pendaratan AWS Control Tower sebelum versi 3.0, AWS Config dapat merekam sumber daya global tertentu satu kali untuk setiap Wilayah AWS Config yang beroperasi. Misalnya, jika AWS Config diaktifkan pada delapan Wilayah, setiap peran dicatat delapan kali.
**Sumber daya berikut dicatat satu kali untuk setiap Wilayah AWS Config yang beroperasi:**
+ `AWS::IAM::Group`
+ `AWS::IAM::Policy`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
**Sumber daya global lainnya dicatat hanya sekali. Berikut adalah beberapa contoh sumber daya yang dicatat satu kali:**
+ `AWS::Route53::HostedZone`
+ `AWS::Route53::HealthCheck`
+ `AWS::ECR::PublicRepository`
+ `AWS::GlobalAccelerator::Listener`
+ `AWS::GlobalAccelerator::EndpointGroup`
+ `AWS::GlobalAccelerator::Accelerator`
### AWS Config tidak merekam sumber daya
Sumber daya tertentu memiliki hubungan ketergantungan dengan sumber daya lain. Hubungan ini mungkin *langsung* atau *tidak langsung*. [Anda dapat menemukan daftar hubungan tidak langsung yang tidak digunakan lagi di FAQ. AWS Config](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-2)
# Peristiwa Siklus Hidup di AWS Control Tower
Beberapa peristiwa yang dicatat oleh AWS Control Tower adalah peristiwa *siklus hidup*. Tujuan peristiwa siklus hidup adalah untuk menandai *penyelesaian* tindakan AWS Control Tower tertentu yang mengubah status sumber daya. Peristiwa siklus hidup berlaku untuk sumber daya yang dibuat atau dikelola AWS Control Tower, seperti landing zone, baseline, atau kontrol, yang terkait dengan unit organisasi (OU) atau akun.
**Karakteristik peristiwa siklus hidup AWS Control Tower**
+ Untuk setiap peristiwa siklus hidup, log peristiwa menunjukkan apakah tindakan Control Tower yang berasal berhasil diselesaikan, atau gagal.
+ AWS CloudTrail secara otomatis mencatat setiap peristiwa siklus hidup sebagai acara layanan *non-API AWS *. Untuk informasi selengkapnya, lihat [Panduan AWS CloudTrail Pengguna.](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/non-api-aws-service-events.html)
+ Setiap acara siklus hidup juga dikirimkan ke layanan Amazon dan EventBridge Amazon CloudWatch Events. **Catatan:** Untuk menerima peristiwa siklus hidup EventBridge, Anda harus memiliki AWS CloudTrail jejak aktif dengan pencatatan diaktifkan. Untuk informasi selengkapnya tentang peristiwa AWS layanan yang dikirimkan melalui AWS CloudTrail, lihat [peristiwa layanan AWS yang dikirimkan melalui AWS CloudTrail](https://docs.aws.amazon.com//eventbridge/latest/userguide/eb-service-event-cloudtrail.html) di Panduan EventBridge Pengguna Amazon.
**Peristiwa siklus hidup di AWS Control Tower menawarkan dua manfaat utama:**
+ Karena peristiwa siklus hidup mendaftarkan penyelesaian tindakan AWS Control Tower, Anda dapat membuat aturan Amazon EventBridge atau aturan CloudWatch Acara Amazon yang dapat memicu langkah selanjutnya dalam alur kerja otomatisasi Anda, berdasarkan status peristiwa siklus hidup.
+ Log memberikan detail tambahan untuk membantu administrator dan auditor dalam meninjau jenis aktivitas tertentu di organisasi Anda.
**Cara kerja peristiwa siklus hidup**
AWS Control Tower mengandalkan beberapa layanan untuk mengimplementasikan tindakannya. Oleh karena itu, setiap peristiwa siklus hidup direkam hanya setelah serangkaian tindakan selesai. Misalnya, saat Anda mengaktifkan kontrol pada OU, AWS Control Tower meluncurkan serangkaian sub-langkah yang mengimplementasikan permintaan. Hasil akhir dari seluruh rangkaian sub-langkah dicatat dalam log sebagai status peristiwa siklus hidup.
+ **Jika setiap sub-langkah yang mendasari telah berhasil diselesaikan, status peristiwa siklus hidup dicatat sebagai Berhasil.**
+ **Jika salah satu sub-langkah yang mendasari tidak berhasil diselesaikan, status peristiwa siklus hidup dicatat sebagai Gagal.**
Setiap peristiwa siklus hidup menyertakan stempel waktu yang dicatat yang menunjukkan kapan tindakan AWS Control Tower dimulai, dan stempel waktu lain yang ditampilkan saat peristiwa siklus hidup selesai, menandai keberhasilan atau kegagalan.
**Melihat peristiwa siklus hidup di Control Tower**
Anda dapat melihat peristiwa siklus hidup dari halaman **Aktivitas di dasbor** AWS Control Tower.
+ Untuk menavigasi ke halaman **Aktivitas**, pilih **Aktivitas** dari panel navigasi kiri.
+ Untuk mendapatkan detail lebih lanjut tentang acara tertentu, pilih acara dan kemudian pilih tombol **Lihat detail** di kanan atas.
Untuk informasi selengkapnya tentang cara mengintegrasikan peristiwa siklus hidup AWS Control Tower ke dalam alur kerja Anda, lihat posting blog ini, [Menggunakan peristiwa siklus hidup untuk melacak tindakan AWS Control Tower dan memicu alur kerja otomatis](https://aws.amazon.com//blogs/mt/using-lifecycle-events-to-track-aws-control-tower-actions-and-trigger-automated-workflows/).
**Perilaku yang diharapkan dari CreateManagedAccount dan UpdateManagedAccount peristiwa siklus hidup**
Saat Anda membuat akun atau mendaftarkan akun di AWS Control Tower, kedua tindakan tersebut memanggil API internal yang sama. Jika ada kesalahan selama proses, biasanya terjadi setelah akun dibuat tetapi tidak sepenuhnya disediakan. Saat Anda mencoba lagi membuat akun setelah kesalahan, atau saat Anda mencoba memperbarui produk yang disediakan, AWS Control Tower melihat bahwa akun tersebut sudah ada.
Karena akun ada, AWS Control Tower merekam peristiwa `UpdateManagedAccount` siklus hidup alih-alih peristiwa `CreateManagedAccount` siklus hidup di akhir permintaan coba lagi. Anda mungkin mengharapkan untuk melihat `CreateManagedAccount` peristiwa lain karena kesalahan. Namun, peristiwa `UpdateManagedAccount` siklus hidup adalah perilaku yang diharapkan dan diinginkan.
Jika Anda berencana untuk membuat atau mendaftarkan akun ke AWS Control Tower menggunakan metode otomatis, program fungsi Lambda **UpdateManagedAccount**untuk mencari peristiwa siklus hidup serta peristiwa siklus hidup. **CreateManagedAccount**
**Nama acara siklus hidup**
Setiap peristiwa siklus hidup diberi nama sedemikian rupa sehingga sesuai dengan tindakan AWS Control Tower yang berasal, yang juga direkam oleh AWS. CloudTrail Jadi, misalnya, peristiwa siklus hidup yang berasal dari peristiwa AWS Control Tower `CreateManagedAccount` CloudTrail diberi nama. `CreateManagedAccount`
Setiap nama dalam daftar berikut adalah tautan ke contoh detail yang dicatat dalam `JSON` format. Detail tambahan yang ditunjukkan dalam contoh ini diambil dari log CloudWatch peristiwa Amazon.
Meskipun `JSON` tidak mendukung komentar, beberapa komentar telah ditambahkan dalam contoh untuk tujuan penjelasan. Komentar didahului oleh “//” dan muncul di sisi kanan contoh.
Dalam contoh ini, beberapa nama akun dan nama organisasi dikaburkan. An selalu `accountId` merupakan urutan 12 angka, yang telah diganti dengan “xxxxxxxxxxxx” dalam contoh. An `organizationalUnitID` adalah rangkaian huruf dan angka yang unik. Bentuknya dipertahankan dalam contoh.
+ [`CreateManagedAccount`](#create-managed-account): Log mencatat apakah AWS Control Tower berhasil menyelesaikan setiap tindakan untuk membuat dan menyediakan akun baru menggunakan pabrik akun.
+ [`UpdateManagedAccount`](#update-managed-account): Log mencatat apakah AWS Control Tower berhasil menyelesaikan setiap tindakan untuk memperbarui produk yang disediakan yang terkait dengan akun yang sebelumnya Anda buat dengan menggunakan account factory.
+ [`EnableGuardrail`](#enable-control): Log mencatat apakah AWS Control Tower berhasil menyelesaikan setiap tindakan untuk mengaktifkan kontrol pada OU.
+ [`DisableGuardrail`](#disable-control): Log mencatat apakah AWS Control Tower berhasil menyelesaikan setiap tindakan untuk menonaktifkan kontrol pada OU.
+ [`SetupLandingZone`](#setup-landing-zone): Log mencatat apakah AWS Control Tower berhasil menyelesaikan setiap tindakan untuk menyiapkan landing zone.
+ [`UpdateLandingZone`](#update-landing-zone): Log mencatat apakah AWS Control Tower berhasil menyelesaikan setiap tindakan untuk memperbarui landing zone yang ada.
+ [`RegisterOrganizationalUnit`](#register-organizational-unit): Log mencatat apakah AWS Control Tower berhasil menyelesaikan setiap tindakan untuk mengaktifkan fitur tata kelola pada OU.
+ [`DeregisterOrganizationalUnit`](#deregister-organizational-unit): Log mencatat apakah AWS Control Tower berhasil menyelesaikan setiap tindakan untuk menonaktifkan fitur tata kelola pada OU.
+ [`PrecheckOrganizationalUnit`](#precheck-organizational-unit): Log mencatat apakah AWS Control Tower mendeteksi sumber daya apa pun yang akan mencegah operasi **tata kelola Perpanjang** selesai dengan sukses.
+ [`EnableBaseline`](#enable-baseline-lfc): Log mencatat apakah AWS Control Tower berhasil menyelesaikan setiap tindakan untuk mengaktifkan baseline baru pada akun anggota target di bawah OU. Operasi aktifkan dapat dimulai menggunakan `EnableBaseline` API atau konsol.
+ [`ResetEnabledBaseline`](#reset-enabled-baseline-lfc): Log mencatat apakah AWS Control Tower berhasil menyelesaikan setiap tindakan untuk mengatur ulang baseline aktif yang ada pada akun anggota target di bawah OU. Operasi reset dapat dimulai menggunakan `ResetEnabledBaseline` API atau konsol.
+ [`UpdateEnabledBaseline`](#update-enabled-baseline-lfc): Log mencatat apakah AWS Control Tower berhasil menyelesaikan setiap tindakan untuk memperbarui baseline aktif yang ada pada akun anggota target di bawah OU. Operasi pembaruan dapat dimulai menggunakan `UpdateEnabledBaseline` API atau konsol.
+ [`DisableBaseline`](#disable-baseline-lfc): Log mencatat apakah AWS Control Tower berhasil menyelesaikan setiap tindakan untuk menonaktifkan baseline aktif yang ada pada akun anggota target di bawah OU. Operasi nonaktifkan dapat dimulai menggunakan `DisableBaseline` API atau konsol.
Bagian berikut menyediakan daftar peristiwa siklus hidup AWS Control Tower, dengan contoh detail yang dicatat untuk setiap jenis peristiwa siklus hidup.
## `CreateManagedAccount`
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil membuat dan menyediakan akun baru menggunakan account factory. Acara ini sesuai dengan peristiwa AWS Control Tower `CreateManagedAccount` CloudTrail . Log peristiwa siklus hidup mencakup `accountName` dan `accountId` dari akun yang baru dibuat, dan `organizationalUnitName` dan `organizationalUnitId` dari OU di mana akun telah ditempatkan.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // Management account ID.
"time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "us-east-1", // AWS Control Tower home region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "CreateManagedAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"createManagedAccountStatus": {
"organizationalUnit":{
"organizationalUnitName":"Custom",
"organizationalUnitId":"ou-XXXX-l3zc8b3h"
},
"account":{
"accountName":"LifeCycle1",
"accountId":"XXXXXXXXXXXX"
},
"state":"SUCCEEDED",
"message":"AWS Control Tower successfully created a managed account.",
"requestedTimestamp":"2019-11-15T11:45:18+0000",
"completedTimestamp":"2019-11-16T12:09:32+0000"}
}
}
}
```
## `UpdateManagedAccount`
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil memperbarui produk yang disediakan yang terkait dengan akun yang dibuat sebelumnya dengan menggunakan account factory. Acara ini sesuai dengan peristiwa AWS Control Tower `UpdateManagedAccount` CloudTrail. Log peristiwa siklus hidup mencakup `accountName` dan `accountId` dari akun terkait, dan `organizationalUnitName` dan `organizationalUnitId` dari OU di mana akun yang diperbarui ditempatkan.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // AWS Control Tower organization management account.
"time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "us-east-1", // AWS Control Tower home region.
"resources": [],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "UpdateManagedAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"updateManagedAccountStatus": {
"organizationalUnit":{
"organizationalUnitName":"Custom",
"organizationalUnitId":"ou-XXXX-l3zc8b3h"
},
"account":{
"accountName":"LifeCycle1",
"accountId":"XXXXXXXXXXXX"
},
"state":"SUCCEEDED",
"message":"AWS Control Tower successfully updated a managed account.",
"requestedTimestamp":"2019-11-15T11:45:18+0000",
"completedTimestamp":"2019-11-16T12:09:32+0000"}
}
}
}
```
## `EnableGuardrail`
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil mengaktifkan kontrol pada OU yang dikelola oleh AWS Control Tower. Acara ini sesuai dengan peristiwa AWS Control Tower `EnableGuardrail` CloudTrail . Log peristiwa siklus hidup mencakup `guardrailId` dan `guardrailBehavior` kontrol, dan `organizationalUnitName` dan `organizationalUnitId` dari OU tempat kontrol diaktifkan.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX",
"time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "us-east-1", // AWS Control Tower home region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "EnableGuardrail",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"enableGuardrailStatus": {
"organizationalUnits": [
{
"organizationalUnitName": "Custom",
"organizationalUnitId": "ou-vwxy-18vy4yro"
}
],
"guardrails": [
{
"guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK",
"guardrailBehavior": "DETECTIVE"
}
],
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.",
"requestTimestamp": "2019-11-12T09:01:07+0000",
"completedTimestamp": "2019-11-12T09:01:54+0000"
}
}
}
}
```
## `DisableGuardrail`
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil menonaktifkan kontrol pada OU yang dikelola oleh AWS Control Tower. Acara ini sesuai dengan peristiwa AWS Control Tower `DisableGuardrail` CloudTrail . Log peristiwa siklus hidup mencakup `guardrailId` dan `guardrailBehavior` kontrol, dan `organizationalUnitName` dan `organizationalUnitId` dari OU tempat kontrol dinonaktifkan.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX",
"time": "2018-08-30T21:42:18Z",
"region": "us-east-1",
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "DisableGuardrail",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"disableGuardrailStatus": {
"organizationalUnits": [
{
"organizationalUnitName": "Custom",
"organizationalUnitId": "ou-vwxy-18vy4yro"
}
],
"guardrails": [
{
"guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK",
"guardrailBehavior": "DETECTIVE"
}
],
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.",
"requestTimestamp": "2019-11-12T09:01:07+0000",
"completedTimestamp": "2019-11-12T09:01:54+0000"
}
}
}
}
```
## `SetupLandingZone`
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil menyiapkan landing zone. Acara ini sesuai dengan peristiwa AWS Control Tower `SetupLandingZone` CloudTrail . Log peristiwa siklus hidup menyertakan`rootOrganizationalId`, yang merupakan ID organisasi yang dibuat AWS Control Tower dari akun manajemen. Entri log juga mencakup `organizationalUnitName` dan `organizationalUnitId` untuk masing-masing OUs, dan `accountName` dan `accountId` untuk setiap akun, yang dibuat saat AWS Control Tower menyiapkan landing zone.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID.
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // Management account ID.
"time": "2018-08-30T21:42:18Z", // Event time from CloudTrail.
"region": "us-east-1", // Management account CloudTrail region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX", // Management-account ID.
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "SetupLandingZone",
"awsRegion": "us-east-1", // AWS Control Tower home region.
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail.
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"setupLandingZoneStatus": {
"state": "SUCCEEDED", // Status of entire lifecycle operation.
"message": "AWS Control Tower successfully set up a new landing zone.",
"rootOrganizationalId" : "r-1234",
"organizationalUnits" : [ // Use a list.
{
"organizationalUnitName": "Security", // Security OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Security OU ID.
},
{
"organizationalUnitName": "Custom", // Custom OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID.
},
],
"accounts": [ // All created accounts are here. Use a list of "account" objects.
{
"accountName": "Audit",
"accountId": "XXXXXXXXXXXX"
},
{
"accountName": "Log archive",
"accountId": "XXXXXXXXXXXX"
}
],
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `UpdateLandingZone`
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil memperbarui landing zone yang ada. Acara ini sesuai dengan peristiwa AWS Control Tower `UpdateLandingZone` CloudTrail . Log peristiwa siklus hidup menyertakan`rootOrganizationalId`, yang merupakan ID organisasi (diperbarui) yang diatur oleh AWS Control Tower. Entri log juga mencakup `organizationalUnitName` dan `organizationalUnitId` untuk masing-masing OUs, dan `accountName` dan `accountId` untuk setiap akun, yang dibuat sebelumnya, ketika AWS Control Tower awalnya mengatur landing zone.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID.
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // Management account ID.
"time": "2018-08-30T21:42:18Z", // Event time from CloudTrail.
"region": "us-east-1", // Management account CloudTrail region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX", // Management account ID.
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "UpdateLandingZone",
"awsRegion": "us-east-1", // AWS Control Tower home region.
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail.
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"updateLandingZoneStatus": {
"state": "SUCCEEDED", // Status of entire operation.
"message": "AWS Control Tower successfully updated a landing zone.",
"rootOrganizationalId" : "r-1234",
"organizationalUnits" : [ // Use a list.
{
"organizationalUnitName": "Security", // Security OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Security OU ID.
},
{
"organizationalUnitName": "Custom", // Custom OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID.
},
],
"accounts": [ // All created accounts are here. Use a list of "account" objects.
{
"accountName": "Audit",
"accountId": "XXXXXXXXXXXX"
},
{
"accountName": "Log archive",
"accountId": "XXXXXXXXXX"
}
],
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `RegisterOrganizationalUnit`
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil mengaktifkan fitur tata kelola pada OU. Acara ini sesuai dengan peristiwa AWS Control Tower `RegisterOrganizationalUnit` CloudTrail . Log peristiwa siklus hidup mencakup `organizationalUnitName` dan `organizationalUnitId` dari OU yang dibawa AWS Control Tower di bawah tata kelolanya.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "123456789012",
"time": "2018-08-30T21:42:18Z",
"region": "us-east-1",
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "RegisterOrganizationalUnit",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"registerOrganizationalUnitStatus": {
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully registered an organizational unit.",
"organizationalUnit" :
{
"organizationalUnitName": "Test",
"organizationalUnitId": "ou-adpf-302pk332"
}
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `DeregisterOrganizationalUnit`
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil menonaktifkan fitur tata kelola pada OU. Acara ini sesuai dengan peristiwa AWS Control Tower `DeregisterOrganizationalUnit` CloudTrail . Log peristiwa siklus hidup mencakup `organizationalUnitName` dan `organizationalUnitId` OU tempat AWS Control Tower menonaktifkan fitur tata kelolanya.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX",
"time": "2018-08-30T21:42:18Z",
"region": "us-east-1",
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "DeregisterOrganizationalUnit",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"deregisterOrganizationalUnitStatus": {
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.",
"organizationalUnit" :
{
"organizationalUnitName": "Test", // Foundational OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID.
},
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `PrecheckOrganizationalUnit`
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil melakukan pemeriksaan awal pada OU. Acara ini sesuai dengan peristiwa AWS Control Tower `PrecheckOrganizationalUnit` CloudTrail . Log peristiwa siklus hidup berisi bidang untuk,, dan `failedPrechecks` nilai `Id``Name`, untuk setiap sumber daya tempat AWS Control Tower telah melakukan pemeriksaan awal selama proses pendaftaran OU.
Log peristiwa juga berisi informasi tentang akun bersarang tempat precheck dilakukan, termasuk, `accountName``accountId`, dan `failedPrechecks` bidang.
Jika `failedPrechecks` nilainya kosong, itu berarti bahwa semua prechecks untuk sumber daya itu berhasil lolos.
+ Peristiwa ini dipancarkan hanya jika ada kegagalan precheck.
+ Acara ini tidak dipancarkan jika Anda mendaftarkan OU kosong.
Contoh acara:
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-09-20T22:45:43Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "PrecheckOrganizationalUnit",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"precheckOrganizationalUnitStatus": {
"organizationalUnit": {
"organizationalUnitName": "Ou-123",
"organizationalUnitId": "ou-abcd-123456",
"failedPrechecks": [
"SCP_CONFLICT"
]
},
"accounts": [
{
"accountName": "Child Account 1",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": [
"FAILED_TO_ASSUME_ROLE"
]
},
{
"accountName": "Child Account 2",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": [
"FAILED_TO_ASSUME_ROLE"
]
},
{
"accountName": "Management Account",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": [
"MISSING_PERMISSIONS_AF_PRODUCT"
]
},
{
"accountName": "Child Account 3",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": []
},
...
],
"state": "FAILED",
"message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.",
"requestedTimestamp": "2021-09-20T22:44:02+0000",
"completedTimestamp": "2021-09-20T22:45:43+0000"
}
},
"eventCategory": "Management"
}
```
## `EnableBaseline`
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil mengaktifkan baseline pada akun anggota target di bawah OU. Peristiwa ini sesuai dengan AWS Control Tower `RegisterOrganizationalUnit` atau `EnableBaseline` CloudTrail peristiwa. Log peristiwa siklus hidup mencakup baseline yang diaktifkan dan versinya, `targetIdentifier` di mana baseline diaktifkan, baseline diaktifkan pada OU induk, dan `statusSummary` menampilkan status SUCCEEDED atau FAILED, bersama dengan parameter tambahan dan stempel waktu operasi. `parentIdentifier`
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-02-10T17:14:57Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "EnableBaseline",
"awsRegion": "us-east-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "366911a2-4fa6-4e4a-ac2b-280f627e0027",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"enableBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-ern76xmzvf/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-east-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "4.0",
"statusSummary": {
"lastOperationIdentifier": "37f5eb68-e5b9-4c70-ae76-4ca15f6b16de",
"status": "SUCCEEDED"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": {
"untyped": {
"object": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX" }
}
}
]
},
"requestedTimestamp": "2025-02-10T17:07:09+0000",
"completedTimestamp": "2025-02-10T17:14:57+0000"
}
},
"eventCategory": "Management"
}
```
## `ResetEnabledBaseline`
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil mengatur ulang baseline aktif yang ada pada akun anggota target di bawah OU. Peristiwa ini sesuai dengan AWS Control Tower `RegisterOrganizationalUnit` atau `ResetEnabledBaseline` CloudTrail peristiwa. Log peristiwa siklus hidup mencakup baseline yang diaktifkan dan versinya, `targetIdentifier` di mana baseline diaktifkan, baseline diaktifkan pada OU induk, dan `statusSummary` menampilkan status SUCCEEDED atau FAILED, bersama dengan parameter tambahan dan stempel waktu operasi. `parentIdentifier`
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-02-10T21:17:55Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "ResetEnabledBaseline",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "c01a32e1-13ab-4b46-8f1b-00699ef6f989",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"resetEnabledBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "3e364c89-89fa-42b8-9776-9f7cc47ba1fa",
"status": "SUCCEEDED"
},
"parameters": []
},
"requestedTimestamp": "2025-02-10T21:14:24Z",
"completedTimestamp": "2025-02-10T21:17:54+0000"
}
},
"eventCategory": "Management"
}
```
## `UpdateEnabledBaseline`
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil memperbarui baseline aktif yang ada pada akun anggota target di bawah OU. Peristiwa ini sesuai dengan AWS Control Tower `RegisterOrganizationalUnit` atau `UpdateEnabledBaseline` CloudTrail peristiwa. Log peristiwa siklus hidup mencakup baseline yang diaktifkan dan versinya, `targetIdentifier` di mana baseline diaktifkan, baseline diaktifkan pada OU induk, dan `statusSummary` menampilkan status SUCCEEDED atau FAILED, bersama dengan parameter tambahan dan stempel waktu operasi. `parentIdentifier`
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-02-10T19:45:28Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "UpdateEnabledBaseline",
"awsRegion": "us-east-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "514f2aff-1a99-4912-bda1-0d4d6662c96e",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"updateEnabledBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-ern76xmzvf/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-east-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "4.0",
"statusSummary": {
"lastOperationIdentifier": "ba3de28f-83fb-4c9a-8a8c-a4e15fac2c41",
"status": "SUCCEEDED"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": {
"untyped": {
"object": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX" }
}
}
]
},
"requestedTimestamp": "2025-02-10T19:39:35+0000",
"completedTimestamp": "2025-02-10T19:45:28+0000"
}
},
"eventCategory": "Management"
}
```
## `DisableBaseline`
Peristiwa siklus hidup ini mencatat apakah AWS Control Tower berhasil menonaktifkan baseline aktif yang ada pada akun anggota target di bawah OU. Acara ini sesuai dengan peristiwa AWS Control Tower `DisableBaseline` CloudTrail . Log peristiwa siklus hidup mencakup baseline yang diaktifkan dan versinya, `targetIdentifier` di mana baseline diaktifkan, baseline diaktifkan pada OU induk, dan `statusSummary` menampilkan status SUCCEEDED atau FAILED, bersama dengan parameter tambahan dan stempel waktu operasi. `parentIdentifier`
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-03-14T00:50:58Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "DisableBaseline",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "704794c4-a32e-4960-8386-c7efaa5a22a1",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"disableBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "7b895594-0edb-48bc-9f3d-d88c2ad618df",
"status": "SUCCEEDED"
},
"parameters": []
},
"baselineDetails": {
"arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "7b895594-0edb-48bc-9f3d-d88c2ad618df",
"status": "SUCCEEDED"
},
"parameters": []
},
"requestedTimestamp": "2025-03-14T00:49:13Z",
"completedTimestamp": "2025-03-14T00:50:58+0000"
}
},
"eventCategory": "Management"
}
```
# Menggunakan Notifikasi AWS Pengguna dengan AWS Control Tower
Anda dapat menggunakan [Pemberitahuan AWS Pengguna](https://docs.aws.amazon.com/notifications/latest/userguide/what-is.html) untuk mengatur saluran pengiriman agar diberi tahu tentang AWS Control Tower peristiwa. Anda akan menerima notifikasi saat ada sebuah peristiwa yang cocok dengan sebuah aturan yang Anda tentukan. Anda dapat menerima pemberitahuan untuk acara melalui beberapa saluran, termasuk email, pemberitahuan [obrolan aplikasi obrolan Amazon Q Developer di aplikasi](https://docs.aws.amazon.com/chatbot/latest/adminguide/what-is.html) obrolan, atau pemberitahuan push [Aplikasi Seluler AWS Konsol](https://docs.aws.amazon.com/consolemobileapp/latest/userguide/what-is-consolemobileapp.html). Anda juga dapat melihat notifikasi di Pusat Notifikasi Konsol.
AWS Pemberitahuan Pengguna mendukung agregasi, yang dapat mengurangi jumlah notifikasi yang Anda terima selama acara tertentu. Pemberitahuan juga terlihat di Pusat Pemberitahuan Konsol.
Keuntungan berlangganan notifikasi melalui Pemberitahuan AWS Pengguna alih-alih EventBridge meliputi:
+ Antarmuka pengguna yang lebih ramah (UI).
+ Integrasi dengan AWS konsol, di bell/notifications area pada bilah navigasi global.
+ Dukungan asli untuk pemberitahuan email, tidak perlu mengatur Amazon SNS.
+ Terutama, dukungan untuk pemberitahuan push seluler, eksklusif untuk Pemberitahuan AWS Pengguna.
Misalnya, salah satu jenis pemberitahuan yang mungkin ingin Anda terima adalah dalam kasus temuan kritis dan tingkat keparahan CSPM Security Hub CSPM. Cuplikan kode di JSON untuk mengatur langganan notifikasi mungkin terlihat seperti ini:
```
{
"detail": {
"findings": {
"Compliance": {
"Status": ["FAILED", "WARNING", "NOT_AVAILABLE"]
},
"RecordState": ["ACTIVE"],
"Severity": {
"Label": ["CRITICAL", "HIGH"]
},
"Workflow": {
"Status": ["NEW", "NOTIFIED"]
}
}
}
}
```
**Penyaringan acara**
+ Anda dapat memfilter peristiwa berdasarkan layanan dan nama menggunakan filter yang tersedia di konsol Pemberitahuan AWS Pengguna.
+ Anda dapat memfilter peristiwa berdasarkan properti tertentu jika Anda membuat EventBridge filter sendiri dari kode JSON.
**Contoh AWS Control Tower acara**
Berikut adalah contoh acara umum untuk AWS Control Tower.
+ Ini sebuah EventBridge peristiwa.
+ Anda dapat berlangganan EventBridge acara (seperti ini) menggunakan Pemberitahuan AWS Pengguna.
```
{
"version": "0",
"id": "", // alphanumeric string
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "", // Management account ID.
"time": "", // Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "", // AWS Control Tower home region.
"resources": [],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "121212121212",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "", // one of the 9 event names in https://docs.aws.amazon.com/controltower/latest/userguide/lifecycle-events.html
"awsRegion": "",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
// the contents of this object vary depending on the event subtype and event state
}
}
}
```