Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Registrazione e monitoraggio in AWS Control Tower
Il monitoraggio consente di pianificare e rispondere a potenziali incidenti. I risultati delle attività di monitoraggio vengono archiviati in file di registro. Pertanto, la registrazione e il monitoraggio sono concetti strettamente correlati e sono una parte importante della natura ben architettata di AWS Control Tower.
Quando configuri la landing zone, uno degli account condivisi creati è l'account di *archiviazione dei log*. È dedicato alla raccolta centralizzata di tutti i registri, compresi i registri di tutti gli account condivisi e dei membri. I file di log vengono archiviati in un bucket Amazon S3. Questi file di log consentono agli amministratori e ai revisori di esaminare le operazioni e gli eventi che si sono verificati.
Come best practice, è consigliabile raccogliere i dati di monitoraggio da tutte le parti della AWS configurazione e inserirli nei log, in modo da poter eseguire più facilmente il debug di un errore multipunto, se ne verifica uno. AWS fornisce diversi strumenti per monitorare le risorse e le attività nella landing zone.
Ad esempio, lo stato dei comandi viene monitorato costantemente. Puoi vedere il loro stato a colpo d'occhio nella console AWS Control Tower o in modo programmatico tramite [AWS](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html) Control Tower. APIs Inoltre, lo stato e lo stato degli account che hai fornito in Account Factory vengono monitorati costantemente.
**Visualizza le azioni registrate dalla pagina Attività**
Nella console AWS Control Tower, la pagina **Attività** fornisce una panoramica delle azioni dell'account di gestione AWS Control Tower. Per accedere alla pagina delle **attività** di AWS Control Tower, seleziona **Activities** dalla barra di navigazione a sinistra.
Le attività mostrate nella pagina **Attività** sono le stesse riportate nel registro degli AWS CloudTrail eventi per AWS Control Tower, ma sono mostrate in formato tabellare. Per ulteriori informazioni su un'attività specifica, selezionare l'attività dalla tabella e quindi scegliere **View details (Visualizza dettagli)**.
Puoi visualizzare le azioni e gli eventi degli account dei membri nei file di archivio dei log.
Le seguenti sezioni descrivono il monitoraggio e la registrazione in AWS Control Tower con maggiori dettagli:
**Argomenti**
+ [Strumenti integrati per il monitoraggio](monitoring-overview.md)
+ [Registrazione delle azioni di AWS Control Tower con AWS CloudTrail](logging-using-cloudtrail.md)
+ [Eventi del ciclo di vita in AWS Control Tower](lifecycle-events.md)
+ [Utilizzo delle notifiche AWS utente con AWS Control Tower](using-user-notifications.md)
# Informazioni sulla registrazione in AWS Control Tower
AWS Control Tower registra automaticamente le azioni e gli eventi, attraverso la sua integrazione con AWS CloudTrail e AWS Config, e li registra in. CloudWatch Tutte le azioni vengono registrate, incluse le azioni dall'account di gestione AWS Control Tower e dagli account dei membri dell'organizzazione. Le azioni e gli eventi dell'account di gestione sono visualizzabili nella pagina **Attività** della console. È possibile visualizzare le azioni e gli eventi dell'account membro nei file di archivio dei registri.
**Percorsi a livello di organizzazione**
AWS Control Tower imposta un nuovo CloudTrail percorso quando configuri una landing zone. È un *percorso a livello di organizzazione*, il che significa che registra tutti gli eventi per l'account di gestione e tutti gli account dei membri dell'organizzazione. Questa funzionalità si basa su un *accesso affidabile per concedere* all'account di gestione le autorizzazioni per creare un percorso su ogni account membro.
Per ulteriori informazioni su AWS Control Tower e sugli itinerari CloudTrail organizzativi, consulta [Creazione di un percorso per un'organizzazione](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-trail-organization.html).
**Nota**
Nelle versioni di AWS Control Tower precedenti alla versione 3.0 della landing zone, AWS Control Tower creava una traccia degli account dei membri in ogni account. Quando esegui l'aggiornamento alla versione 3.0, il CloudTrail percorso diventa un percorso organizzativo. Per le migliori pratiche quando ci si sposta da un percorso all'altro, consulta [le migliori pratiche per la modifica dei percorsi](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-trail-organization.html#creating-an-organizational-trail-best-practice) nella *Guida per l'CloudTrail utente*.
Quando registri un account in AWS Control Tower, il tuo account è regolato dal AWS CloudTrail percorso dell'organizzazione AWS Control Tower. Se disponi già di una distribuzione di un CloudTrail trail in quell'account, potresti riscontrare addebiti duplicati, a meno che non elimini il trail esistente per l'account prima di registrarlo in AWS Control Tower.
**Nota**
Quando esegui l'aggiornamento alla versione 3.0 della landing zone, AWS Control Tower elimina i trail a livello di account (creati da AWS Control Tower) negli account registrati per tuo conto. I tuoi file di log esistenti a livello di account vengono conservati nel loro bucket Amazon S3.
# Policy sui bucket di Amazon S3 nell'account di controllo
In AWS Control Tower, AWS i servizi hanno accesso alle tue risorse solo quando la richiesta proviene dalla tua organizzazione o unità organizzativa (OU). È necessario soddisfare una `aws:SourceOrgID` condizione per qualsiasi autorizzazione di scrittura.
Puoi utilizzare la chiave di `aws:SourceOrgID` condizione e impostare il valore dell'**ID della tua organizzazione** nell'elemento condition della tua policy sui bucket di Amazon S3. Questa condizione garantisce che CloudTrail solo i log possano scrivere log per conto degli account all'interno dell'organizzazione nel bucket S3; impedisce ai CloudTrail log esterni all'organizzazione di scrivere nel bucket AWS Control Tower S3.
Questa policy non influisce sulla funzionalità dei carichi di lavoro esistenti. La politica è illustrata nell'esempio che segue.
```
S3AuditBucketPolicy:
Type: AWS::S3::BucketPolicy
Properties:
Bucket: !Ref S3AuditBucket
PolicyDocument:
Version: 2012-10-17
Statement:
- Sid: AllowSSLRequestsOnly
Effect: Deny
Principal: '*'
Action: s3:*
Resource:
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}"
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/*"
Condition:
Bool:
aws:SecureTransport: false
- Sid: AWSBucketPermissionsCheck
Effect: Allow
Principal:
Service:
- cloudtrail.amazonaws.com
- config.amazonaws.com
Action: s3:GetBucketAcl
Resource:
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}"
- Sid: AWSConfigBucketExistenceCheck
Effect: Allow
Principal:
Service:
- cloudtrail.amazonaws.com
- config.amazonaws.com
Action: s3:ListBucket
Resource:
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}"
- Sid: AWSBucketDeliveryForConfig
Effect: Allow
Principal:
Service:
- config.amazonaws.com
Action: s3:PutObject
Resource:
- Fn::Join:
- ""
-
- !Sub "arn:${AWS::Partition}:s3:::"
- !Ref "S3AuditBucket"
- !Sub "/${AWSLogsS3KeyPrefix}/AWSLogs/*/*"
Condition:
StringEquals:
aws:SourceOrgID: !Ref OrganizationId
- Sid: AWSBucketDeliveryForOrganizationTrail
Effect: Allow
Principal:
Service:
- cloudtrail.amazonaws.com
Action: s3:PutObject
Resource: !If [IsAccountLevelBucketPermissionRequiredForCloudTrail,
[!Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/${Namespace}/*", !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/${OrganizationId}/*"],
!Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/*/*"]
Condition:
StringEquals:
aws:SourceOrgID: !Ref OrganizationId
```
Per ulteriori informazioni su questa chiave condizionale, consulta la documentazione IAM e il post sul blog IAM intitolato "*Use scalable controls for AWS services access your resources*».
# Strumenti integrati per il monitoraggio
Il monitoraggio è una parte importante per mantenere l'affidabilità, la disponibilità e le prestazioni di AWS Control Tower e delle altre AWS soluzioni. AWS fornisce i seguenti strumenti di monitoraggio per monitorare AWS Control Tower, segnalare quando qualcosa non va e intraprendere azioni automatiche se necessario:
+ *Amazon CloudWatch* monitora AWS le tue risorse e le applicazioni su cui esegui AWS in tempo reale. È possibile raccogliere e tenere traccia dei parametri, creare pannelli di controllo personalizzati e impostare allarmi per inviare una notifica o intraprendere azioni quando un parametro specificato raggiunge una determinata soglia. Ad esempio, puoi tenere CloudWatch traccia dell'utilizzo della CPU o di altri parametri delle tue EC2 istanze Amazon e avviare automaticamente nuove istanze quando necessario. Per ulteriori informazioni, consulta la [Amazon CloudWatch User Guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ *Amazon CloudWatch Events* offre un flusso quasi in tempo reale di eventi di sistema che descrivono i cambiamenti nelle AWS risorse. CloudWatch Events consente l'elaborazione automatizzata basata sugli eventi, poiché puoi scrivere regole che controllano determinati eventi e attivano azioni automatizzate in altri AWS servizi quando si verificano tali eventi. Per ulteriori informazioni, consulta la [Amazon CloudWatch Events User Guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/).
+ *Amazon CloudWatch Logs* ti consente di monitorare, archiviare e accedere ai tuoi file di registro da EC2 istanze Amazon e altre fonti. CloudTrail CloudWatch I log possono monitorare le informazioni nei file di registro e avvisarti quando vengono raggiunte determinate soglie. Puoi inoltre archiviare i dati del log in storage estremamente durevole. Per ulteriori informazioni, consulta la [Amazon CloudWatch Logs User Guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
+ *AWS CloudTrail*acquisisce le chiamate API e gli eventi correlati effettuati da o per conto del tuo AWS account e invia i file di log a un bucket Amazon S3 da te specificato. Puoi identificare quali utenti e account hanno chiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute le chiamate.
**Suggerimento:** è possibile visualizzare e interrogare le CloudTrail attività su un account tramite CloudWatch Logs and CloudWatch Logs Insights. Questa attività include gli eventi del ciclo di vita di AWS Control Tower. CloudWatch Le funzionalità di Logs ti consentono di eseguire query più granulari e precise di quelle che normalmente saresti in grado di eseguire utilizzando. CloudTrail
Per ulteriori informazioni, consulta [Registrazione delle azioni di AWS Control Tower con AWS CloudTrail](logging-using-cloudtrail.md).
# Registrazione delle azioni di AWS Control Tower con AWS CloudTrail
AWS Control Tower è integrato con AWS CloudTrail un servizio che fornisce un registro delle azioni intraprese da un utente, un ruolo o un AWS servizio in AWS Control Tower. CloudTrail acquisisce le azioni per AWS Control Tower come eventi. Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per AWS Control Tower.
Se non configuri un trail, è comunque possibile visualizzare gli eventi più recenti nella console di CloudTrail in **Event history (Cronologia eventi)**. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta effettuata ad AWS Control Tower, l'indirizzo IP da cui è stata effettuata, chi ha effettuato la richiesta, quando è stata effettuata e ulteriori dettagli.
Per ulteriori informazioni CloudTrail, incluso come configurarlo e abilitarlo, consulta la [Guida per l'AWS CloudTrail utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Informazioni su AWS Control Tower in CloudTrail
CloudTrail è abilitato sul tuo AWS account al momento della creazione dell'account. Quando si verifica un'attività di evento supportata in AWS Control Tower, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi di AWS servizio nella **cronologia** degli eventi. Puoi visualizzare, cercare e scaricare eventi recenti nel tuo AWS account. Per ulteriori informazioni, consulta [Visualizzazione degli eventi con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
**Nota**
Nelle versioni di AWS Control Tower precedenti alla versione 3.0 di landing zone, AWS Control Tower creava una traccia degli account dei membri. Quando esegui l'aggiornamento alla versione 3.0, il CloudTrail percorso viene aggiornato per diventare un percorso organizzativo. Per le migliori pratiche per spostarsi tra i percorsi, consulta [Creazione di un percorso organizzativo](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-trail-organization.html#creating-an-organizational-trail-best-practice) nella Guida CloudTrail per l'utente.
**Consigliato: crea un percorso**
Per una registrazione continua degli eventi nel tuo AWS account, inclusi gli eventi per AWS Control Tower, crea un percorso. Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando si crea un trail nella console, il trail sarà valido in tutte le Regioni AWS . Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Panoramica della creazione di un trail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [Preparati a creare un percorso](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-an-organizational-trail-prepare.html)
+ [Gestione dei CloudTrail costi](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-trail-manage-costs.html)
+ [CloudTrail Servizi e integrazioni supportati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurazione delle notifiche Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Ricezione di file di CloudTrail registro da più regioni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [ricezione di file di CloudTrail registro da](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) più account
AWS Control Tower registra le seguenti azioni come eventi nei file di CloudTrail registro:
**Pubblico APIs**
+ Per un elenco completo degli AWS Control Tower pubblici APIs e dettagli su ciascuno di essi, consulta [The AWS Control Tower API Reference](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html). Le chiamate verso questi utenti pubblici APIs vengono registrate da AWS CloudTrail.
**Altro APIs**
+ `SetupLandingZone`
+ `UpdateAccountFactoryConfig`
+ `ManageOrganizationalUnit`
+ `CreateManagedAccount`
+ `GetLandingZoneStatus`
+ `GetHomeRegion`
+ `ListManagedAccounts`
+ `DescribeManagedAccount`
+ `DescribeAccountFactoryConfig`
+ `DescribeGuardrailForTarget`
+ `DescribeManagedOrganizationalUnit`
+ `ListEnabledGuardrails`
+ `ListGuardrailViolations`
+ `ListGuardrails`
+ `ListGuardrailsForTarget`
+ `ListManagedAccountsForGuardrail`
+ `ListManagedAccountsForParent`
+ `ListManagedOrganizationalUnits`
+ `ListManagedOrganizationalUnitsForGuardrail`
+ `GetGuardrailComplianceStatus`
+ `DescribeGuardrail`
+ `ListDirectoryGroups`
+ `DescribeSingleSignOn`
+ `DescribeCoreService`
+ `GetAvailableUpdates`
Ogni evento o voce di log contiene informazioni sull’utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con credenziali utente root o AWS Identity and Access Management (IAM).
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro AWS servizio.
+ Se la richiesta è stata rifiutata perché accesso negato o elaborata correttamente.
Per ulteriori informazioni, consulta [Elemento CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Esempio: voci dei file di log di AWS Control Tower
Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. CloudTrail gli eventi non vengono visualizzati in un ordine specifico nei file di registro.
L'esempio seguente mostra una voce di CloudTrail registro che mostra la struttura di una tipica voce di file di registro per un evento `SetupLandingZone` AWS Control Tower, incluso un record dell'identità dell'utente che ha avviato l'azione.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:backend-test-assume-role-session",
"arn": "arn:aws:sts::76543EXAMPLE;:assumed-role/AWSControlTowerTestAdmin/backend-test-assume-role-session",
"accountId": "76543EXAMPLE",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2018-11-20T19:36:11Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::AKIAIOSFODNN7EXAMPLE:role/AWSControlTowerTestAdmin",
"accountId": "AIDACKCEVSQ6C2EXAMPLE",
"userName": "AWSControlTowerTestAdmin"
}
}
},
"eventTime": "2018-11-20T19:36:15Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "SetupLandingZone",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "Coral/Netty4",
"errorCode": "InvalidParametersException",
"errorMessage": "Home region EU_CENTRAL_1 is unsupported",
"requestParameters": {
"homeRegion": "EU_CENTRAL_1",
"logAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
"sharedServiceAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
"securityAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
"securityNotificationEmail": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"responseElements": null,
"requestID": "96f47b68-ed5f-4268-931c-807cd1f89a96",
"eventID": "4ef5cf08-39e5-4fdf-9ea2-b07ced506851",
"eventType": "AwsApiCall",
"recipientAccountId": "76543EXAMPLE"
}
```
# Monitora le modifiche alle risorse con AWS Config
AWS Control Tower è abilitato AWS Config su tutti gli account registrati, in modo da monitorare la conformità attraverso controlli investigativi, registrare le modifiche alle risorse e fornire i log delle modifiche delle risorse all'account di archiviazione dei log.
**Se la versione della tua landing zone è precedente alla 3.0**: per gli account registrati, AWS Config registra tutte le modifiche alle risorse, per tutte le regioni in cui opera l'account. Ogni modifica è modellata come un elemento di configurazione (CI), che contiene informazioni come l'identificatore della risorsa, la regione, la data di registrazione di ogni modifica e se la modifica si riferisce a una risorsa nota o scoperta di recente.
**Se la versione della tua landing zone è 3.0 o successiva**: AWS Control Tower limita la registrazione per risorse globali, come utenti, gruppi, ruoli e policy gestite dai clienti IAM, solo alla tua regione di origine. Le copie delle modifiche globali alle risorse non vengono archiviate in tutte le regioni. Questa limitazione della registrazione delle risorse è conforme [alle AWS Config migliori pratiche](https://aws.amazon.com//blogs/mt/aws-config-best-practices/). Un [elenco completo delle risorse globali](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html) è disponibile nella AWS Config documentazione.
+ Per ulteriori informazioni AWS Config, consulta [How AWS Config works](https://docs.aws.amazon.com//config/latest/developerguide/how-does-config-work.html).
+ Per un elenco delle risorse che AWS Config possono supportare, consulta [Tipi di risorse supportati](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html).
+ Per ulteriori informazioni su come personalizzare il monitoraggio delle risorse nell'ambiente AWS Control Tower, consulta il post del blog intitolato [Personalizza il monitoraggio AWS Config delle risorse in AWS Control Tower](https://aws.amazon.com/blogs//mt/customize-aws-config-resource-tracking-in-aws-control-tower-environment).
AWS Control Tower configura un canale AWS Config di distribuzione in tutti gli account registrati. Attraverso questo canale di distribuzione, registra tutte le modifiche registrate AWS Config nell'account di archiviazione dei log, dove vengono archiviate in una cartella in un bucket Amazon Simple Storage Service.
# Gestisci AWS Config i costi in AWS Control Tower
Questa sezione descrive come AWS Config registrare e fatturare le modifiche alle risorse nei tuoi account AWS Control Tower. Queste informazioni possono aiutarti a capire come gestire i costi associati a AWS Config, quando utilizzi AWS Control Tower. AWS Control Tower non comporta costi aggiuntivi.
**Nota**
**Se la versione della tua landing zone è 3.0 o successiva**: AWS Control Tower limita AWS Config la registrazione per risorse globali, come utenti, gruppi, ruoli e policy gestite dai clienti IAM, solo alla tua regione di origine. Pertanto, alcune delle informazioni contenute in questa sezione potrebbero non essere applicabili alla tua landing zone.
AWS Config è progettato per registrare ogni modifica apportata a ciascuna risorsa, in ogni regione in cui opera un account, come elemento di configurazione (CI). AWS Config ti fattura per ogni elemento di configurazione che genera.
**Come funziona AWS Config **
AWS Config registra le risorse in ogni regione, separatamente. Alcune risorse globali, come i ruoli IAM, vengono registrate una volta per regione. Ad esempio, se crei un nuovo ruolo IAM in un account registrato che opera in cinque regioni, ne AWS Config genera cinque CIs, uno per ogni regione. Altre risorse globali, come le zone ospitate su Route 53, vengono registrate una sola volta in tutte le regioni. Ad esempio, se crei una nuova zona ospitata su Route 53 in un account registrato, AWS Config genera un CI, indipendentemente dal numero di regioni selezionate per quell'account. Per un elenco che ti aiuti a distinguere questi tipi di risorse, consulta[La stessa risorsa viene registrata più volte](monitoring-with-config.md#duplicate-configuration-items).
**Nota**
Quando AWS Control Tower funziona con AWS Config, una regione può essere governata da AWS Control Tower o non governata e registrare AWS Config comunque le modifiche se l'account opera in quella regione.
**AWS Config rileva due tipi di relazioni nelle risorse**
AWS Config fa una distinzione tra relazioni *dirette* e *indirette* tra le risorse. Se una risorsa viene restituita nella chiamata API **Descrivi** di un'altra risorsa, tali risorse vengono registrate come relazione diretta. Quando si modifica una risorsa in relazione diretta con un'altra risorsa, AWS Config non crea un CI per entrambe le risorse.
Ad esempio, se crei un'istanza Amazon EC2 e l'API richiede la creazione di un'interfaccia di rete, AWS Config considera che l'istanza Amazon EC2 abbia una relazione diretta con l'interfaccia di rete. Di conseguenza, AWS Config genera un solo CI.
AWS Config registra le modifiche separate per le relazioni tra risorse che sono relazioni *indirette*. Ad esempio, AWS Config genera due CI se crei un gruppo di sicurezza e aggiungi un'istanza Amazon EC2 associata che fa parte del gruppo di sicurezza.
Per ulteriori informazioni sulle relazioni dirette e indirette, consulta [Cos'è una relazione diretta e indiretta rispetto a una risorsa](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-0)?
È possibile trovare [un elenco delle relazioni tra le risorse](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html) nella AWS Config documentazione.
## Visualizza i dati del AWS Config registratore sugli account registrati
AWS Config è integrato in CloudWatch modo da poterli visualizzare AWS Config CIs in una dashboard. Per ulteriori informazioni, consulta il post del blog intitolato [AWS Config support Amazon CloudWatch metrics](https://aws.amazon.com/about-aws/whats-new/2022/05/aws-config-supports-amazon-cloudwatch-metrics).
A livello di programmazione, per visualizzare AWS Config i dati, puoi utilizzare la AWS CLI o utilizzare altri strumenti. AWS
### Interroga i dati del AWS Config registratore su una risorsa specifica
È possibile utilizzare la AWS CLI per recuperare un elenco delle modifiche più recenti per una risorsa.
**Comando di cronologia delle risorse:**
+ `aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION`
Per ulteriori informazioni, consulta [la documentazione dell'API per `get-config-history`](https://docs.aws.amazon.com//cli/latest/reference/configservice/get-resource-config-history.html).
### Visualizza i AWS Config dati con Quick
Puoi visualizzare e interrogare le risorse registrate da AWS Config tutta l'organizzazione. Per ulteriori informazioni, consulta [Config Resource Compliance Dashboard](https://catalog.workshops.aws/awscid/en-US/dashboards/additional/config-resource-compliance-dashboard) e [Visualizzazione dei dati con AWS Config Amazon Athena](https://aws.amazon.com/blogs/mt/visualizing-aws-config-data-using-amazon-athena-and-amazon-quicksight/) e Quick.
## Risoluzione dei problemi AWS Config in AWS Control Tower
Questa sezione fornisce informazioni su alcuni problemi che potresti riscontrare durante l'utilizzo AWS Config con AWS Control Tower.
### AWS Config Costi elevati
Se il flusso di lavoro include processi che creano, aggiornano o eliminano risorse frequentemente o se gestisce un gran numero di risorse, tale flusso di lavoro può generare un gran numero di CIs. Se esegui questi processi in un account non di produzione, valuta la possibilità di annullare la registrazione dell'account. Potrebbe essere necessario disattivare manualmente il AWS Config registratore per quell'account.
**Nota**
Dopo aver annullato la registrazione dell'account, AWS Control Tower non può applicare controlli investigativi o registrare gli eventi dell'account, come AWS Config le attività, per le risorse in quell'account.
Per ulteriori informazioni, consulta [Annullare la gestione](https://docs.aws.amazon.com//controltower/latest/userguide/unmanage-account.html) di un account registrato. Per informazioni su come disattivare il AWS Config registratore, vedere [Gestione](https://docs.aws.amazon.com//config/latest/developerguide/stop-start-recorder.html) del registratore di configurazione.
### La stessa risorsa viene registrata più volte
Verifica se la risorsa è una [risorsa globale](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html). Per le zone di atterraggio di AWS Control Tower precedenti alla versione 3.0, AWS Config è AWS Config possibile registrare determinate risorse globali una volta per ogni regione in cui opera. Ad esempio, se AWS Config è abilitato su otto regioni, ogni ruolo viene registrato otto volte.
**Le seguenti risorse vengono registrate una volta per ogni regione in AWS Config cui opera:**
+ `AWS::IAM::Group`
+ `AWS::IAM::Policy`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
**Le altre risorse globali vengono registrate una sola volta. Ecco alcuni esempi di risorse che vengono registrate una sola volta:**
+ `AWS::Route53::HostedZone`
+ `AWS::Route53::HealthCheck`
+ `AWS::ECR::PublicRepository`
+ `AWS::GlobalAccelerator::Listener`
+ `AWS::GlobalAccelerator::EndpointGroup`
+ `AWS::GlobalAccelerator::Accelerator`
### AWS Config non ha registrato una risorsa
Alcune risorse hanno relazioni di dipendenza con altre risorse. Queste relazioni possono essere *dirette* o *indirette*. [Puoi trovare un elenco di relazioni indirette obsolete nelle domande frequenti. AWS Config](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-2)
# Eventi del ciclo di vita in AWS Control Tower
Alcuni eventi registrati da AWS Control Tower sono eventi del *ciclo* di vita. Lo scopo di un evento del ciclo di vita è contrassegnare il *completamento* di determinate azioni di AWS Control Tower che modificano lo stato delle risorse. Gli eventi del ciclo di vita si applicano alle risorse create o gestite da AWS Control Tower, come una landing zone, una baseline o un controllo, relative a un'unità organizzativa (OU) o a un account.
**Caratteristiche degli eventi del ciclo di vita di AWS Control Tower**
+ Per ogni evento del ciclo di vita, il log eventi mostra se l'operazione originaria di Control Tower è stata completata correttamente o non è riuscita.
+ AWS CloudTrail *registra automaticamente ogni evento del ciclo di vita come evento di servizio non API. AWS * Per ulteriori informazioni, consulta la Guida per [l' AWS CloudTrail ](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/non-api-aws-service-events.html)utente.
+ Ogni evento del ciclo di vita viene inoltre fornito ai servizi Amazon e EventBridge Amazon CloudWatch Events. **Nota:** per ricevere gli eventi del ciclo di vita EventBridge, devi disporre di un AWS CloudTrail percorso attivo con la registrazione abilitata. Per ulteriori informazioni sugli eventi di AWS servizio forniti tramite AWS CloudTrail, consulta [AWS service events delivery via AWS CloudTrail](https://docs.aws.amazon.com//eventbridge/latest/userguide/eb-service-event-cloudtrail.html) nella Amazon EventBridge User Guide.
**Gli eventi del ciclo di vita in AWS Control Tower offrono due vantaggi principali:**
+ Poiché un evento del ciclo di vita registra il completamento di un'azione AWS Control Tower, puoi creare una regola Amazon EventBridge o una regola Amazon CloudWatch Events in grado di attivare i passaggi successivi del tuo flusso di lavoro di automazione, in base allo stato dell'evento del ciclo di vita.
+ I log forniscono ulteriori dettagli per aiutare amministratori e revisori nell'esame di determinati tipi di attività nelle organizzazioni.
**Come funzionano gli eventi del ciclo di vita**
AWS Control Tower si affida a più servizi per implementare le proprie azioni. Pertanto, ogni evento del ciclo di vita viene registrato solo dopo il completamento di una serie di operazioni. Ad esempio, quando abiliti un controllo su un'unità organizzativa, AWS Control Tower avvia una serie di passaggi secondari che implementano la richiesta. Il risultato finale dell'intera serie di fasi secondarie viene registrato nel log come stato dell'evento del ciclo di vita.
+ Se ogni fase secondaria sottostante è stata completata correttamente, lo stato dell'evento del ciclo di vita viene registrato come **Succeeded (Riuscito)**.
+ Se una delle fasi secondarie sottostanti non è stata completata correttamente, lo stato dell'evento del ciclo di vita viene registrato come **Failed (Non riuscito)**.
Ogni evento del ciclo di vita include un timestamp registrato che mostra quando è stata avviata l'azione AWS Control Tower e un altro timestamp che mostra quando l'evento del ciclo di vita è completato, indicando il successo o il fallimento.
**Visualizzazione degli eventi del ciclo di vita in Control Tower**
Puoi visualizzare gli eventi del ciclo di vita dalla pagina **Attività nella dashboard** di AWS Control Tower.
+ Per passare alla pagina **Activities (Attività)** selezionare **Activities (Attività)** dal riquadro di navigazione a sinistra.
+ Per ottenere ulteriori dettagli su un evento specifico, selezionare l'evento e quindi scegliere il pulsante **View details (Visualizza dettagli)** in alto a destra.
Per ulteriori informazioni su come integrare gli eventi del ciclo di vita di AWS Control Tower nei flussi di lavoro, consulta questo post del blog, [Utilizzo degli eventi del ciclo di vita per tracciare le azioni di AWS Control Tower e attivare flussi di lavoro automatizzati](https://aws.amazon.com//blogs/mt/using-lifecycle-events-to-track-aws-control-tower-actions-and-trigger-automated-workflows/).
**Comportamento previsto e ciclo di vita degli eventi CreateManagedAccount UpdateManagedAccount**
Quando crei un account o registri un account in AWS Control Tower, queste due azioni richiamano la stessa API interna. Se si verifica un errore durante il processo, di solito si verifica dopo la creazione dell'account, ma il provisioning non è completo. Quando si tenta di creare nuovamente l'account dopo l'errore o quando si tenta di aggiornare il prodotto fornito, AWS Control Tower rileva che l'account esiste già.
Poiché l'account esiste, AWS Control Tower registra l'evento del `UpdateManagedAccount` ciclo di vita anziché l'evento del `CreateManagedAccount` ciclo di vita alla fine della richiesta di nuovo tentativo. Potresti aspettarti di vedere un altro `CreateManagedAccount` evento a causa dell'errore. Tuttavia, l'evento del `UpdateManagedAccount` ciclo di vita è il comportamento previsto e desiderato.
Se prevedi di creare o registrare account in AWS Control Tower utilizzando metodi automatizzati, programma la funzione Lambda **UpdateManagedAccount**per cercare sia gli eventi del ciclo di vita che gli eventi del ciclo di vita. **CreateManagedAccount**
**Nomi dell'evento del ciclo di vita**
Ogni evento del ciclo di vita è denominato in modo che corrisponda all'azione AWS Control Tower di origine, anch'essa registrata da AWS. CloudTrail Pertanto, ad esempio, viene denominato un evento del ciclo di vita originato dall'evento AWS Control Tower `CreateManagedAccount` CloudTrail . `CreateManagedAccount`
Ogni nome nell'elenco che segue è un collegamento a un esempio dei dettagli registrati in formato `JSON`. I dettagli aggiuntivi mostrati in questi esempi sono tratti dai registri degli CloudWatch eventi di Amazon.
Anche se `JSON` non supporta i commenti, alcuni commenti sono stati aggiunti negli esempi a scopo esplicativo. I commenti sono preceduti da "//" e appaiono sul lato destro degli esempi.
In questi esempi, alcuni nomi di account e nomi di organizzazione vengono oscurati. `accountId` è sempre una sequenza di 12 numeri, che negli esempi è stata sostituita con "xxxxxxxxxxxx". `organizationalUnitID` è una stringa univoca di lettere e numeri. Il formato viene mantenuto negli esempi.
+ [`CreateManagedAccount`](#create-managed-account): Il registro registra se AWS Control Tower ha completato con successo ogni azione per creare e fornire un nuovo account utilizzando account factory.
+ [`UpdateManagedAccount`](#update-managed-account): Il registro registra se AWS Control Tower ha completato con successo ogni azione di aggiornamento di un prodotto fornito associato a un account creato in precedenza utilizzando account factory.
+ [`EnableGuardrail`](#enable-control): Il registro registra se AWS Control Tower ha completato con successo ogni azione per abilitare il controllo su un'unità organizzativa.
+ [`DisableGuardrail`](#disable-control): Il registro registra se AWS Control Tower ha completato con successo ogni azione per disabilitare un controllo su un'unità organizzativa.
+ [`SetupLandingZone`](#setup-landing-zone): Il registro registra se AWS Control Tower ha completato con successo ogni azione per configurare una landing zone.
+ [`UpdateLandingZone`](#update-landing-zone): Il registro registra se AWS Control Tower ha completato con successo ogni azione di aggiornamento della landing zone esistente.
+ [`RegisterOrganizationalUnit`](#register-organizational-unit): Il registro registra se AWS Control Tower ha completato con successo ogni azione per abilitare le sue funzionalità di governance su un'unità organizzativa.
+ [`DeregisterOrganizationalUnit`](#deregister-organizational-unit): Il registro registra se AWS Control Tower ha completato con successo ogni azione per disabilitare le sue funzionalità di governance su un'unità organizzativa.
+ [`PrecheckOrganizationalUnit`](#precheck-organizational-unit): Il registro registra se AWS Control Tower ha rilevato risorse che potrebbero impedire il corretto completamento dell'operazione di **governance di Extend**.
+ [`EnableBaseline`](#enable-baseline-lfc): Il log registra se AWS Control Tower ha completato con successo ogni azione per abilitare una nuova baseline su un account membro di destinazione in un'unità organizzativa. L'operazione di abilitazione può essere avviata utilizzando l'`EnableBaseline`API o la console.
+ [`ResetEnabledBaseline`](#reset-enabled-baseline-lfc): Il registro registra se AWS Control Tower ha completato con successo ogni azione di ripristino di una baseline abilitata esistente su un account membro di destinazione in un'unità organizzativa. L'operazione di ripristino può essere avviata utilizzando l'`ResetEnabledBaseline`API o la console.
+ [`UpdateEnabledBaseline`](#update-enabled-baseline-lfc): Il registro registra se AWS Control Tower ha completato con successo ogni azione di aggiornamento di una baseline abilitata esistente su un account membro di destinazione in un'unità organizzativa. L'operazione di aggiornamento può essere avviata utilizzando l'`UpdateEnabledBaseline`API o la console.
+ [`DisableBaseline`](#disable-baseline-lfc): Il registro registra se AWS Control Tower ha completato con successo ogni azione per disabilitare una baseline abilitata esistente su un account membro di destinazione in un'unità organizzativa. L'operazione di disabilitazione può essere avviata utilizzando l'`DisableBaseline`API o la console.
Le seguenti sezioni forniscono un elenco di eventi del ciclo di vita di AWS Control Tower, con esempi dei dettagli registrati per ogni tipo di evento del ciclo di vita.
## `CreateManagedAccount`
Questo evento del ciclo di vita registra se AWS Control Tower ha creato e fornito correttamente un nuovo account utilizzando account factory. Questo evento corrisponde all'evento AWS Control Tower `CreateManagedAccount` CloudTrail . Il log eventi del ciclo di vita include `accountName` e `accountId` dell'account appena creato e `organizationalUnitName` e `organizationalUnitId` dell'unità organizzativa in cui è stato inserito l'account.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // Management account ID.
"time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "us-east-1", // AWS Control Tower home region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "CreateManagedAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"createManagedAccountStatus": {
"organizationalUnit":{
"organizationalUnitName":"Custom",
"organizationalUnitId":"ou-XXXX-l3zc8b3h"
},
"account":{
"accountName":"LifeCycle1",
"accountId":"XXXXXXXXXXXX"
},
"state":"SUCCEEDED",
"message":"AWS Control Tower successfully created a managed account.",
"requestedTimestamp":"2019-11-15T11:45:18+0000",
"completedTimestamp":"2019-11-16T12:09:32+0000"}
}
}
}
```
## `UpdateManagedAccount`
Questo evento del ciclo di vita registra se AWS Control Tower ha aggiornato correttamente il prodotto fornito associato a un account creato in precedenza utilizzando account factory. Questo evento corrisponde all'evento AWS Control Tower `UpdateManagedAccount` CloudTrail. Il log eventi del ciclo di vita include `accountName` e `accountId` dell'account associato e `organizationalUnitName` e `organizationalUnitId` dell'unità organizzativa in cui è stato inserito l'account aggiornato.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // AWS Control Tower organization management account.
"time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "us-east-1", // AWS Control Tower home region.
"resources": [],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "UpdateManagedAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"updateManagedAccountStatus": {
"organizationalUnit":{
"organizationalUnitName":"Custom",
"organizationalUnitId":"ou-XXXX-l3zc8b3h"
},
"account":{
"accountName":"LifeCycle1",
"accountId":"XXXXXXXXXXXX"
},
"state":"SUCCEEDED",
"message":"AWS Control Tower successfully updated a managed account.",
"requestedTimestamp":"2019-11-15T11:45:18+0000",
"completedTimestamp":"2019-11-16T12:09:32+0000"}
}
}
}
```
## `EnableGuardrail`
Questo evento del ciclo di vita registra se AWS Control Tower ha abilitato con successo un controllo su un'unità organizzativa gestita da AWS Control Tower. Questo evento corrisponde all'evento AWS Control Tower `EnableGuardrail` CloudTrail . Il registro degli eventi del ciclo di vita include l'`guardrailId`and `guardrailBehavior` del controllo e l'`organizationalUnitName`e `organizationalUnitId` dell'unità organizzativa su cui è abilitato il controllo.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX",
"time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "us-east-1", // AWS Control Tower home region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "EnableGuardrail",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"enableGuardrailStatus": {
"organizationalUnits": [
{
"organizationalUnitName": "Custom",
"organizationalUnitId": "ou-vwxy-18vy4yro"
}
],
"guardrails": [
{
"guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK",
"guardrailBehavior": "DETECTIVE"
}
],
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.",
"requestTimestamp": "2019-11-12T09:01:07+0000",
"completedTimestamp": "2019-11-12T09:01:54+0000"
}
}
}
}
```
## `DisableGuardrail`
Questo evento del ciclo di vita registra se AWS Control Tower ha disabilitato con successo un controllo su un'unità organizzativa gestita da AWS Control Tower. Questo evento corrisponde all'evento AWS Control Tower `DisableGuardrail` CloudTrail . Il registro degli eventi del ciclo di vita include l'`guardrailId`and `guardrailBehavior` del controllo e l'`organizationalUnitName`e `organizationalUnitId` dell'unità organizzativa su cui il controllo è disabilitato.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX",
"time": "2018-08-30T21:42:18Z",
"region": "us-east-1",
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "DisableGuardrail",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"disableGuardrailStatus": {
"organizationalUnits": [
{
"organizationalUnitName": "Custom",
"organizationalUnitId": "ou-vwxy-18vy4yro"
}
],
"guardrails": [
{
"guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK",
"guardrailBehavior": "DETECTIVE"
}
],
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.",
"requestTimestamp": "2019-11-12T09:01:07+0000",
"completedTimestamp": "2019-11-12T09:01:54+0000"
}
}
}
}
```
## `SetupLandingZone`
Questo evento del ciclo di vita registra se AWS Control Tower ha configurato correttamente una landing zone. Questo evento corrisponde all'evento AWS Control Tower `SetupLandingZone` CloudTrail . Il registro degli eventi del ciclo di vita include`rootOrganizationalId`, che è l'ID dell'organizzazione che AWS Control Tower crea dall'account di gestione. La voce di registro include anche il `organizationalUnitName` `accountName` e `organizationalUnitId` `accountId` per ogni account che vengono creati quando AWS Control Tower configura la landing zone. OUs
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID.
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // Management account ID.
"time": "2018-08-30T21:42:18Z", // Event time from CloudTrail.
"region": "us-east-1", // Management account CloudTrail region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX", // Management-account ID.
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "SetupLandingZone",
"awsRegion": "us-east-1", // AWS Control Tower home region.
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail.
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"setupLandingZoneStatus": {
"state": "SUCCEEDED", // Status of entire lifecycle operation.
"message": "AWS Control Tower successfully set up a new landing zone.",
"rootOrganizationalId" : "r-1234",
"organizationalUnits" : [ // Use a list.
{
"organizationalUnitName": "Security", // Security OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Security OU ID.
},
{
"organizationalUnitName": "Custom", // Custom OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID.
},
],
"accounts": [ // All created accounts are here. Use a list of "account" objects.
{
"accountName": "Audit",
"accountId": "XXXXXXXXXXXX"
},
{
"accountName": "Log archive",
"accountId": "XXXXXXXXXXXX"
}
],
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `UpdateLandingZone`
Questo evento del ciclo di vita registra se AWS Control Tower ha aggiornato con successo la landing zone esistente. Questo evento corrisponde all'evento AWS Control Tower `UpdateLandingZone` CloudTrail . Il registro degli eventi del ciclo di vita include`rootOrganizationalId`, che è l'ID dell'organizzazione (aggiornata) governata da AWS Control Tower. La voce di registro include anche il `organizationalUnitName` `accountName` e `organizationalUnitId` `accountId` per ogni account creato in precedenza, quando AWS Control Tower aveva originariamente configurato la landing zone. OUs
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID.
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // Management account ID.
"time": "2018-08-30T21:42:18Z", // Event time from CloudTrail.
"region": "us-east-1", // Management account CloudTrail region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX", // Management account ID.
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "UpdateLandingZone",
"awsRegion": "us-east-1", // AWS Control Tower home region.
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail.
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"updateLandingZoneStatus": {
"state": "SUCCEEDED", // Status of entire operation.
"message": "AWS Control Tower successfully updated a landing zone.",
"rootOrganizationalId" : "r-1234",
"organizationalUnits" : [ // Use a list.
{
"organizationalUnitName": "Security", // Security OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Security OU ID.
},
{
"organizationalUnitName": "Custom", // Custom OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID.
},
],
"accounts": [ // All created accounts are here. Use a list of "account" objects.
{
"accountName": "Audit",
"accountId": "XXXXXXXXXXXX"
},
{
"accountName": "Log archive",
"accountId": "XXXXXXXXXX"
}
],
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `RegisterOrganizationalUnit`
Questo evento del ciclo di vita registra se AWS Control Tower ha abilitato con successo le sue funzionalità di governance su un'unità organizzativa. Questo evento corrisponde all'evento AWS Control Tower `RegisterOrganizationalUnit` CloudTrail . Il registro degli eventi del ciclo di vita include la fine `organizationalUnitName` `organizationalUnitId` dell'unità organizzativa che AWS Control Tower ha sottoposto alla sua governance.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "123456789012",
"time": "2018-08-30T21:42:18Z",
"region": "us-east-1",
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "RegisterOrganizationalUnit",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"registerOrganizationalUnitStatus": {
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully registered an organizational unit.",
"organizationalUnit" :
{
"organizationalUnitName": "Test",
"organizationalUnitId": "ou-adpf-302pk332"
}
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `DeregisterOrganizationalUnit`
Questo evento del ciclo di vita registra se AWS Control Tower ha disabilitato con successo le sue funzionalità di governance su un'unità organizzativa. Questo evento corrisponde all'evento AWS Control Tower `DeregisterOrganizationalUnit` CloudTrail . Il registro degli eventi del ciclo di vita include la `organizationalUnitName` fine `organizationalUnitId` dell'unità organizzativa su cui AWS Control Tower ha disabilitato le funzionalità di governance.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX",
"time": "2018-08-30T21:42:18Z",
"region": "us-east-1",
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "DeregisterOrganizationalUnit",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"deregisterOrganizationalUnitStatus": {
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.",
"organizationalUnit" :
{
"organizationalUnitName": "Test", // Foundational OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID.
},
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `PrecheckOrganizationalUnit`
Questo evento del ciclo di vita registra se AWS Control Tower ha eseguito correttamente i precontrolli su un'unità organizzativa. Questo evento corrisponde all'evento AWS Control Tower `PrecheckOrganizationalUnit` CloudTrail . Il log degli eventi del ciclo di vita contiene un campo per i `Id` `failedPrechecks` valori e per ogni risorsa su cui AWS Control Tower ha eseguito i controlli preliminari durante il processo di registrazione dell'unità organizzativa. `Name`
Il registro degli eventi contiene anche informazioni sugli account annidati su cui sono stati eseguiti i precontrolli, inclusi i `accountName` campi e. `accountId` `failedPrechecks`
Se il `failedPrechecks` valore è vuoto, significa che tutti i precontrolli per quella risorsa sono stati superati correttamente.
+ Questo evento viene emesso solo se si verifica un errore di precontrollo.
+ Questo evento non viene emesso se si registra un'unità organizzativa vuota.
Esempio di evento:
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-09-20T22:45:43Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "PrecheckOrganizationalUnit",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"precheckOrganizationalUnitStatus": {
"organizationalUnit": {
"organizationalUnitName": "Ou-123",
"organizationalUnitId": "ou-abcd-123456",
"failedPrechecks": [
"SCP_CONFLICT"
]
},
"accounts": [
{
"accountName": "Child Account 1",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": [
"FAILED_TO_ASSUME_ROLE"
]
},
{
"accountName": "Child Account 2",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": [
"FAILED_TO_ASSUME_ROLE"
]
},
{
"accountName": "Management Account",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": [
"MISSING_PERMISSIONS_AF_PRODUCT"
]
},
{
"accountName": "Child Account 3",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": []
},
...
],
"state": "FAILED",
"message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.",
"requestedTimestamp": "2021-09-20T22:44:02+0000",
"completedTimestamp": "2021-09-20T22:45:43+0000"
}
},
"eventCategory": "Management"
}
```
## `EnableBaseline`
Questo evento del ciclo di vita registra se AWS Control Tower ha abilitato con successo una baseline su un account membro di destinazione in un'unità organizzativa. Questo evento corrisponde all'AWS Control Tower `RegisterOrganizationalUnit` o `EnableBaseline` CloudTrail agli eventi. Il registro degli eventi del ciclo di vita include la baseline abilitata e la relativa versione, quella `targetIdentifier` su cui è stata abilitata la baseline, la `parentIdentifier` baseline abilitata sull'unità organizzativa principale e la `statusSummary` visualizzazione dello stato SUCCEEDED o FAILED, insieme ai parametri aggiuntivi e al timestamp dell'operazione.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-02-10T17:14:57Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "EnableBaseline",
"awsRegion": "us-east-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "366911a2-4fa6-4e4a-ac2b-280f627e0027",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"enableBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-ern76xmzvf/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-east-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "4.0",
"statusSummary": {
"lastOperationIdentifier": "37f5eb68-e5b9-4c70-ae76-4ca15f6b16de",
"status": "SUCCEEDED"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": {
"untyped": {
"object": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX" }
}
}
]
},
"requestedTimestamp": "2025-02-10T17:07:09+0000",
"completedTimestamp": "2025-02-10T17:14:57+0000"
}
},
"eventCategory": "Management"
}
```
## `ResetEnabledBaseline`
Questo evento del ciclo di vita registra se AWS Control Tower ha ripristinato correttamente la baseline abilitata esistente su un account membro di destinazione in un'unità organizzativa. Questo evento corrisponde all'AWS Control Tower `RegisterOrganizationalUnit` o `ResetEnabledBaseline` CloudTrail agli eventi. Il registro degli eventi del ciclo di vita include la baseline abilitata e la relativa versione, quella `targetIdentifier` su cui è stata abilitata la baseline, la `parentIdentifier` baseline abilitata sull'unità organizzativa principale e la `statusSummary` visualizzazione dello stato SUCCEEDED o FAILED, insieme ai parametri aggiuntivi e al timestamp dell'operazione.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-02-10T21:17:55Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "ResetEnabledBaseline",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "c01a32e1-13ab-4b46-8f1b-00699ef6f989",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"resetEnabledBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "3e364c89-89fa-42b8-9776-9f7cc47ba1fa",
"status": "SUCCEEDED"
},
"parameters": []
},
"requestedTimestamp": "2025-02-10T21:14:24Z",
"completedTimestamp": "2025-02-10T21:17:54+0000"
}
},
"eventCategory": "Management"
}
```
## `UpdateEnabledBaseline`
Questo evento del ciclo di vita registra se AWS Control Tower ha aggiornato con successo la baseline abilitata esistente su un account membro di destinazione in un'unità organizzativa. Questo evento corrisponde all'AWS Control Tower `RegisterOrganizationalUnit` o `UpdateEnabledBaseline` CloudTrail agli eventi. Il registro degli eventi del ciclo di vita include la baseline abilitata e la relativa versione, quella `targetIdentifier` su cui è stata abilitata la baseline, la `parentIdentifier` baseline abilitata sull'unità organizzativa principale e la `statusSummary` visualizzazione dello stato SUCCEEDED o FAILED, insieme ai parametri aggiuntivi e al timestamp dell'operazione.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-02-10T19:45:28Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "UpdateEnabledBaseline",
"awsRegion": "us-east-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "514f2aff-1a99-4912-bda1-0d4d6662c96e",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"updateEnabledBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-ern76xmzvf/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-east-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "4.0",
"statusSummary": {
"lastOperationIdentifier": "ba3de28f-83fb-4c9a-8a8c-a4e15fac2c41",
"status": "SUCCEEDED"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": {
"untyped": {
"object": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX" }
}
}
]
},
"requestedTimestamp": "2025-02-10T19:39:35+0000",
"completedTimestamp": "2025-02-10T19:45:28+0000"
}
},
"eventCategory": "Management"
}
```
## `DisableBaseline`
Questo evento del ciclo di vita registra se AWS Control Tower ha disabilitato con successo la baseline abilitata esistente su un account membro di destinazione in un'unità organizzativa. Questo evento corrisponde all'evento AWS Control Tower `DisableBaseline` CloudTrail . Il registro degli eventi del ciclo di vita include la baseline abilitata e la relativa versione, quella `targetIdentifier` su cui è stata abilitata la baseline, la `parentIdentifier` baseline abilitata sull'unità organizzativa principale e la `statusSummary` visualizzazione dello stato SUCCEEDED o FAILED, insieme ai parametri aggiuntivi e al timestamp dell'operazione.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-03-14T00:50:58Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "DisableBaseline",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "704794c4-a32e-4960-8386-c7efaa5a22a1",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"disableBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "7b895594-0edb-48bc-9f3d-d88c2ad618df",
"status": "SUCCEEDED"
},
"parameters": []
},
"baselineDetails": {
"arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "7b895594-0edb-48bc-9f3d-d88c2ad618df",
"status": "SUCCEEDED"
},
"parameters": []
},
"requestedTimestamp": "2025-03-14T00:49:13Z",
"completedTimestamp": "2025-03-14T00:50:58+0000"
}
},
"eventCategory": "Management"
}
```
# Utilizzo delle notifiche AWS utente con AWS Control Tower
Puoi utilizzare [le notifiche AWS utente](https://docs.aws.amazon.com/notifications/latest/userguide/what-is.html) per configurare i canali di consegna per ricevere notifiche sugli AWS Control Tower eventi. L'utente riceverà una notifica quando un evento corrisponde a una regola specificata. Puoi ricevere notifiche relative agli eventi attraverso più canali, tra cui e-mail, [Amazon Q Developer in chat, applicazioni di chat](https://docs.aws.amazon.com/chatbot/latest/adminguide/what-is.html), notifiche chat o notifiche push [per app per dispositivi mobili per AWS console](https://docs.aws.amazon.com/consolemobileapp/latest/userguide/what-is-consolemobileapp.html). È anche possibile visualizzare le notifiche nel Centro notifiche della console.
AWS Le notifiche utente supportano l'aggregazione, che può ridurre il numero di notifiche che ricevi durante eventi specifici. Le notifiche sono visibili anche nel Centro notifiche della console.
I vantaggi dell'iscrizione alle notifiche tramite Notifiche AWS utente invece di EventBridge includono:
+ Un'interfaccia utente (UI) più intuitiva.
+ Integrazione con la AWS console, nell' bell/notifications area della barra di navigazione globale.
+ Supporto nativo per le notifiche e-mail, non è necessario configurare Amazon SNS.
+ In particolare, il supporto per le notifiche push mobili, in esclusiva per le notifiche AWS utente.
Ad esempio, un tipo di notifica che potresti voler ricevere è in caso di rilevazioni critiche e di elevata gravità del CSPM di Security Hub. Un frammento di codice in JSON per configurare l'abbonamento alle notifiche può essere simile al seguente:
```
{
"detail": {
"findings": {
"Compliance": {
"Status": ["FAILED", "WARNING", "NOT_AVAILABLE"]
},
"RecordState": ["ACTIVE"],
"Severity": {
"Label": ["CRITICAL", "HIGH"]
},
"Workflow": {
"Status": ["NEW", "NOTIFIED"]
}
}
}
}
```
**Filtraggio degli eventi**
+ Puoi filtrare gli eventi per servizio e nome utilizzando i filtri disponibili nella console AWS User Notifications.
+ Puoi filtrare gli eventi in base a proprietà specifiche se crei il tuo EventBridge filtro dal codice JSON.
**Evento di esempio AWS Control Tower **
Ecco un esempio generalizzato di evento per AWS Control Tower.
+ È un EventBridge evento.
+ Puoi iscriverti a EventBridge eventi (come questo) utilizzando le notifiche AWS utente.
```
{
"version": "0",
"id": "", // alphanumeric string
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "", // Management account ID.
"time": "", // Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "", // AWS Control Tower home region.
"resources": [],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "121212121212",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "", // one of the 9 event names in https://docs.aws.amazon.com/controltower/latest/userguide/lifecycle-events.html
"awsRegion": "",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
// the contents of this object vary depending on the event subtype and event state
}
}
}
```