As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Registro em log e monitoramento no AWS Control Tower
O monitoramento permite planejar e responder a possíveis incidentes. Os resultados das atividades de monitoramento são armazenados em arquivos de log. Portanto, o registro em log e o monitoramento são conceitos intimamente relacionados e são uma parte importante da natureza bem arquitetada do AWS Control Tower.
Quando você configura a zona de pouso, uma das contas compartilhadas criadas é a conta de *arquivamento de logs*. Ele se dedica a coletar todos os logs centralmente, incluindo logs de todas as suas contas compartilhadas e de contas-membros. Os arquivos de log são armazenados em um bucket do Amazon S3. Esses arquivos de log permitem que administradores e auditores revisem as ações e os eventos ocorridos.
Como prática recomendada, você deve coletar dados de monitoramento de todas as partes da configuração da AWS em seus logs para ser mais fácil realizar a depuração de uma falha de vários pontos, caso ocorra. O AWS fornece várias ferramentas para monitorar seus recursos e atividades na zona de pouso.
Por exemplo, o status dos controles é monitorado constantemente. Você pode ver seu status rapidamente no console do AWS Control Tower ou programaticamente por meio do [AWS](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html) Control Tower. APIs A integridade e o status das contas que você provisionou no Account Factory também são monitorados constantemente.
**Visualizar ações registradas em log na página Atividades**
No console do AWS Control Tower, a página **Atividades** fornece uma visão geral das ações da conta de gerenciamento do AWS Control Tower. Para acessar a página **Atividades** do AWS Control Tower, selecione **Atividades** na navegação à esquerda.
As atividades mostradas na página **Atividades** são as mesmas relatadas no registro de AWS CloudTrail eventos do AWS Control Tower, mas são mostradas em formato de tabela. Para saber mais sobre uma atividade específica, selecione a atividade na tabela e escolha **View details (Visualizar detalhes)**.
É possível visualizar ações e eventos de contas-membros nos arquivos de arquivamento de logs.
As seções a seguir descrevem o monitoramento e o registro em log no AWS Control Tower com mais detalhes:
**Tópicos**
+ [Ferramentas integradas para monitoramento](monitoring-overview.md)
+ [Registrando ações do AWS Control Tower com AWS CloudTrail](logging-using-cloudtrail.md)
+ [Eventos de ciclo de vida no AWS Control Tower](lifecycle-events.md)
+ [Usando notificações AWS de usuário com AWS Control Tower](using-user-notifications.md)
# Sobre o registro em log no AWS Control Tower
O AWS Control Tower realiza o registro automático de ações e eventos, por meio de sua integração com AWS CloudTrail e AWS Config, e os registra em. CloudWatch Todas as ações são registradas em log, incluindo aquelas das contas de gerenciamento do AWS Control Tower e das contas-membros da organização. As ações e os eventos da conta de gerenciamento podem ser visualizados na página **Atividades** no console. É possível visualizar ações e eventos de contas-membros nos arquivos de arquivamento de logs.
**Trilhas no nível da organização**
O AWS Control Tower configura uma nova CloudTrail trilha quando você configura uma landing zone. É uma *trilha no nível da organização*, o que significa que ela registra em log todos os eventos para a conta de gerenciamento e todas as contas-membros da organização. Esse recurso depende de *acesso confiável* para dar à conta de gerenciamento permissões para criar uma trilha em cada conta-membro.
Para obter mais informações sobre o AWS Control Tower e as trilhas CloudTrail da organização, consulte [Como criar uma trilha para uma organização](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-trail-organization.html).
**nota**
Nas versões do AWS Control Tower antes da versão 3.0 da zona de pouso, o AWS Control Tower criou uma trilha de conta-membro em cada conta. Quando você atualiza para a versão 3.0, sua CloudTrail trilha se torna uma trilha organizacional. Para obter as melhores práticas ao se deslocar entre trilhas, consulte [Práticas recomendadas para mudar trilhas](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-trail-organization.html#creating-an-organizational-trail-best-practice) no *Guia CloudTrail do usuário*.
Quando você inscreve uma conta no AWS Control Tower, sua conta é governada pela AWS CloudTrail trilha da organização da AWS Control Tower. Se você já tiver uma implantação de uma CloudTrail trilha nessa conta, poderá ver cobranças duplicadas, a menos que exclua a trilha existente da conta antes de inscrevê-la no AWS Control Tower.
**nota**
Quando você atualiza para a versão 3.0 da zona de pouso, o AWS Control Tower exclui as trilhas no nível da conta (que o AWS Control Tower criou) nas suas contas inscritas em seu nome. Seus arquivos de log existentes no nível da conta são preservados em seu bucket do Amazon S3.
# Política de bucket do Amazon S3 na conta de auditoria
No AWS Control Tower,AWS os serviços têm acesso aos seus recursos somente quando a solicitação é originada da sua organização ou unidade organizacional (OU). Uma condição `aws:SourceOrgID` deve ser atendida para qualquer permissão de gravação.
É possível usar a chave de condição `aws:SourceOrgID` e definir o valor do **ID da organização** no elemento de condição da política de bucket do Amazon S3. Essa condição garante que CloudTrail somente registros em nome de contas dentro de sua organização possam ser gravados em seu bucket do S3; ela impede que CloudTrail registros de fora da sua organização gravem em seu bucket S3 do AWS Control Tower.
Essa política não afeta a funcionalidade das workloads existentes. A política é mostrada no exemplo a seguir.
```
S3AuditBucketPolicy:
Type: AWS::S3::BucketPolicy
Properties:
Bucket: !Ref S3AuditBucket
PolicyDocument:
Version: 2012-10-17
Statement:
- Sid: AllowSSLRequestsOnly
Effect: Deny
Principal: '*'
Action: s3:*
Resource:
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}"
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/*"
Condition:
Bool:
aws:SecureTransport: false
- Sid: AWSBucketPermissionsCheck
Effect: Allow
Principal:
Service:
- cloudtrail.amazonaws.com
- config.amazonaws.com
Action: s3:GetBucketAcl
Resource:
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}"
- Sid: AWSConfigBucketExistenceCheck
Effect: Allow
Principal:
Service:
- cloudtrail.amazonaws.com
- config.amazonaws.com
Action: s3:ListBucket
Resource:
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}"
- Sid: AWSBucketDeliveryForConfig
Effect: Allow
Principal:
Service:
- config.amazonaws.com
Action: s3:PutObject
Resource:
- Fn::Join:
- ""
-
- !Sub "arn:${AWS::Partition}:s3:::"
- !Ref "S3AuditBucket"
- !Sub "/${AWSLogsS3KeyPrefix}/AWSLogs/*/*"
Condition:
StringEquals:
aws:SourceOrgID: !Ref OrganizationId
- Sid: AWSBucketDeliveryForOrganizationTrail
Effect: Allow
Principal:
Service:
- cloudtrail.amazonaws.com
Action: s3:PutObject
Resource: !If [IsAccountLevelBucketPermissionRequiredForCloudTrail,
[!Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/${Namespace}/*", !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/${OrganizationId}/*"],
!Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/*/*"]
Condition:
StringEquals:
aws:SourceOrgID: !Ref OrganizationId
```
Para obter mais informações sobre essa chave de condição, consulte a documentação do IAM e a postagem no blog do IAM intitulada “*Use controles escaláveis para AWS serviços que acessam seus recursos*”.
# Ferramentas integradas para monitoramento
O monitoramento é uma parte importante da manutenção da confiabilidade, disponibilidade e desempenho do AWS Control Tower e de suas outras AWS soluções.AWS fornece as seguintes ferramentas de monitoramento para observar o AWS Control Tower, relatar quando algo está errado e realizar ações automáticas quando apropriado:
+ *A Amazon CloudWatch* monitora seus AWS recursos e os aplicativos em que você executa AWS em tempo real. Você pode coletar e rastrear métricas, criar painéis personalizados e definir alarmes que o notificam ou que realizam ações quando uma métrica especificada atinge um limite definido. Por exemplo, você pode CloudWatch rastrear o uso da CPU ou outras métricas de suas EC2 instâncias da Amazon e iniciar automaticamente novas instâncias quando necessário. Para obter mais informações, consulte o [Guia CloudWatch do usuário da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ *A Amazon CloudWatch Events* fornece um fluxo quase em tempo real de eventos do sistema que descrevem mudanças nos AWS recursos. CloudWatch Os eventos permitem a computação automatizada baseada em eventos, pois você pode criar regras que observam determinados eventos e acionam ações automatizadas em outros AWS serviços quando esses eventos acontecem. Para obter mais informações, consulte o [Guia do usuário do Amazon CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/).
+ *O Amazon CloudWatch Logs* permite que você monitore, armazene e acesse seus arquivos de log de EC2 instâncias da Amazon e de outras fontes. CloudTrail CloudWatch Os registros podem monitorar as informações nos arquivos de log e notificá-lo quando determinados limites forem atingidos. É possível também arquivar seus dados de log em armazenamento resiliente. Para obter mais informações, consulte o [Guia do usuário do Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
+ *AWS CloudTrail*captura chamadas de API e eventos relacionados feitos por ou em nome de sua AWS conta e entrega os arquivos de log para um bucket do Amazon S3 que você especificar. Você pode identificar quais usuários e contas ligaram AWS, o endereço IP de origem a partir do qual as chamadas foram feitas e quando elas ocorreram.
**Dica:** você pode ver e consultar a CloudTrail atividade em uma conta por meio do CloudWatch Logs e do CloudWatch Logs Insights. Essa atividade inclui eventos de ciclo de vida do AWS Control Tower. CloudWatch Os recursos dos registros permitem que você realize consultas mais granulares e precisas do que você normalmente seria capaz de fazer usando. CloudTrail
Para obter mais informações, consulte [Registrando ações do AWS Control Tower com AWS CloudTrail](logging-using-cloudtrail.md).
# Registrando ações do AWS Control Tower com AWS CloudTrail
O AWS Control Tower é integrado com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço na AWS Control Tower. CloudTrail captura ações para o AWS Control Tower como eventos. Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos para um bucket do Amazon S3, incluindo eventos para o AWS Control Tower.
Se não configurar uma trilha, você ainda poderá visualizar os eventos mais recentes no console do CloudTrail em **Event history**. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita ao AWS Control Tower, o endereço IP a partir do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.
Para saber mais CloudTrail, inclusive como configurá-lo e ativá-lo, consulte o [Guia AWS CloudTrail do usuário](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Informações do AWS Control Tower em CloudTrail
CloudTrail é ativado em sua AWS conta quando você cria a conta. Quando uma atividade de evento suportada ocorre no AWS Control Tower, essa atividade é registrada em um CloudTrail evento junto com outros eventos AWS de serviço no **histórico de eventos**. Você pode visualizar, pesquisar e baixar eventos recentes em sua AWS conta. Para obter mais informações, consulte [Visualização de eventos com histórico de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
**nota**
Nas versões do AWS Control Tower antes da versão 3.0 da zona de pouso, o AWS Control Tower criou uma trilha de conta-membro. Quando você atualiza para a versão 3.0, sua CloudTrail trilha é atualizada para se tornar uma trilha da organização. Para obter as melhores práticas ao se mover entre trilhas, consulte [Criação de uma trilha organizacional](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-trail-organization.html#creating-an-organizational-trail-best-practice) no Guia CloudTrail do usuário.
**Recomendado: crie uma trilha**
Para um registro contínuo de eventos em sua AWS conta, incluindo eventos para o AWS Control Tower, crie uma trilha. Uma *trilha* permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, quando uma trilha é criada no console, a mesma é aplicada a todas as regiões da AWS . A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para saber mais, consulte:
+ [Visão Geral para Criar uma Trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [Prepare for creating a trail](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-an-organizational-trail-prepare.html)
+ [Gerenciando CloudTrail custos](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-trail-manage-costs.html)
+ [CloudTrail Serviços e integrações compatíveis](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurando notificações do Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recebendo arquivos de CloudTrail log de várias regiões](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [recebendo arquivos de CloudTrail log de várias contas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
O AWS Control Tower registra as seguintes ações como eventos em arquivos de CloudTrail log:
**Público APIs**
+ Para obter uma lista completa do público da AWS Control Tower APIs e detalhes sobre cada um, consulte [The AWS Control Tower API Reference](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html). As chamadas para esses públicos APIs são registradas por AWS CloudTrail.
**Outros APIs**
+ `SetupLandingZone`
+ `UpdateAccountFactoryConfig`
+ `ManageOrganizationalUnit`
+ `CreateManagedAccount`
+ `GetLandingZoneStatus`
+ `GetHomeRegion`
+ `ListManagedAccounts`
+ `DescribeManagedAccount`
+ `DescribeAccountFactoryConfig`
+ `DescribeGuardrailForTarget`
+ `DescribeManagedOrganizationalUnit`
+ `ListEnabledGuardrails`
+ `ListGuardrailViolations`
+ `ListGuardrails`
+ `ListGuardrailsForTarget`
+ `ListManagedAccountsForGuardrail`
+ `ListManagedAccountsForParent`
+ `ListManagedOrganizationalUnits`
+ `ListManagedOrganizationalUnitsForGuardrail`
+ `GetGuardrailComplianceStatus`
+ `DescribeGuardrail`
+ `ListDirectoryGroups`
+ `DescribeSingleSignOn`
+ `DescribeCoreService`
+ `GetAvailableUpdates`
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar o seguinte:
+ Se a solicitação foi feita com credenciais de usuário root ou AWS Identity and Access Management (IAM).
+ Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado.
+ Se a solicitação foi feita por outro AWS serviço.
+ Se a solicitação foi rejeitada, pois o acesso foi negado ou processado com sucesso.
Para obter mais informações, consulte [Elemento userIdentity do CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Exemplo: entradas do arquivo de log do AWS Control Tower
Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log para um bucket do Amazon S3 que você especificar. CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer fonte e inclui informações sobre a ação solicitada, a data e a hora da ação, os parâmetros da solicitação e assim por diante. CloudTrail os eventos não aparecem em nenhuma ordem específica nos arquivos de log.
O exemplo a seguir mostra uma entrada de CloudTrail registro que mostra a estrutura de uma entrada típica de arquivo de log para um evento do `SetupLandingZone` AWS Control Tower, incluindo um registro da identidade do usuário que iniciou a ação.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:backend-test-assume-role-session",
"arn": "arn:aws:sts::76543EXAMPLE;:assumed-role/AWSControlTowerTestAdmin/backend-test-assume-role-session",
"accountId": "76543EXAMPLE",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2018-11-20T19:36:11Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::AKIAIOSFODNN7EXAMPLE:role/AWSControlTowerTestAdmin",
"accountId": "AIDACKCEVSQ6C2EXAMPLE",
"userName": "AWSControlTowerTestAdmin"
}
}
},
"eventTime": "2018-11-20T19:36:15Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "SetupLandingZone",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "Coral/Netty4",
"errorCode": "InvalidParametersException",
"errorMessage": "Home region EU_CENTRAL_1 is unsupported",
"requestParameters": {
"homeRegion": "EU_CENTRAL_1",
"logAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
"sharedServiceAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
"securityAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
"securityNotificationEmail": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"responseElements": null,
"requestID": "96f47b68-ed5f-4268-931c-807cd1f89a96",
"eventID": "4ef5cf08-39e5-4fdf-9ea2-b07ced506851",
"eventType": "AwsApiCall",
"recipientAccountId": "76543EXAMPLE"
}
```
# Monitore as mudanças de recursos com AWS Config
O AWS Control Tower habilita AWS Config todas as contas inscritas, para que possa monitorar a conformidade por meio de controles de detetive, registrar alterações de recursos e entregar registros de alterações de recursos à conta de arquivamento de registros.
**Se sua versão do landing zone for anterior à 3.0**: para suas contas inscritas, AWS Config registra todas as alterações nos recursos, para todas as regiões nas quais a conta opera. Cada alteração é modelada como um item de configuração (IC), que contém informações como o identificador do recurso, a região, a data em que cada alteração foi registrada e se a alteração está relacionada a um recurso conhecido ou a um recém-descoberto.
**Se a versão da zona de pouso for 3.0 ou posterior**: o AWS Control Tower limita a gravação de recursos globais, como políticas gerenciadas pelo cliente, perfis, grupos e usuários do IAM somente à sua região de origem. As cópias das alterações de recursos globais não são armazenadas em todas as regiões. Essa limitação do registro de recursos está em conformidade com [as AWS Config melhores práticas](https://aws.amazon.com//blogs/mt/aws-config-best-practices/). Uma [lista completa dos recursos globais](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html) está disponível na AWS Config documentação.
+ Para saber mais AWS Config, consulte [Como AWS Config funciona](https://docs.aws.amazon.com//config/latest/developerguide/how-does-config-work.html).
+ Para obter uma lista de recursos que AWS Config podem oferecer suporte, consulte [Tipos de recursos compatíveis](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html).
+ Para saber como personalizar o rastreamento de recursos no ambiente da AWS Control Tower, consulte a postagem do blog intitulada [Personalizar o rastreamento de AWS Config recursos na AWS Control Tower](https://aws.amazon.com/blogs//mt/customize-aws-config-resource-tracking-in-aws-control-tower-environment).
O AWS Control Tower configura um canal AWS Config de entrega em todas as contas inscritas. Por meio desse canal de entrega, ele registra todas as alterações registradas AWS Config na conta de arquivamento de registros, onde elas são armazenadas em uma pasta em um bucket do Amazon Simple Storage Service.
# Gerencie AWS Config custos no AWS Control Tower
Esta seção descreve como AWS Config registra e cobra as alterações nos recursos em suas contas do AWS Control Tower. Essas informações podem ajudar você a entender como gerenciar os custos associados AWS Configà utilização do AWS Control Tower. O AWS Control Tower não tem nenhum custo adicional.
**nota**
**Se a versão da sua landing zone for 3.0 ou posterior**: o AWS Control Tower limita a AWS Config gravação de recursos globais, como usuários, grupos, funções e políticas gerenciadas pelo cliente do IAM, somente à sua região de origem. Portanto, algumas informações desta seção podem não se aplicar à sua zona de pouso.
AWS Config foi projetado para registrar cada alteração em cada recurso, em cada região em que uma conta opera, como um item de configuração (CI). AWS Config cobra por cada item de configuração que ele gera.
**Como AWS Config opera**
AWS Config registra recursos em cada região, separadamente. Alguns recursos globais, como perfis do IAM, são registrados uma vez por região. Por exemplo, se você criar uma nova função do IAM em uma conta cadastrada que está operando em cinco regiões, AWS Config gera cinco CIs, uma para cada região. Outros recursos globais, como zonas hospedadas do Route 53, são registrados somente uma vez em todas as regiões. Por exemplo, se você criar uma zona hospedada do Route 53 em uma conta inscrita, o AWS Config gerará uma IC, independentemente de quantas regiões estejam selecionadas para essa conta. Consulte uma lista que ajuda você a distinguir esses tipos de recursos em [O mesmo recurso é registrado várias vezes](monitoring-with-config.md#duplicate-configuration-items).
**nota**
Quando o AWS Control Tower trabalha com AWS Config, uma região pode ser governada pela AWS Control Tower ou não governada, e AWS Config ainda registra as alterações se a conta operar nessa região.
**AWS Config detecta dois tipos de relacionamentos em recursos**
AWS Config faz uma distinção entre relações *diretas* e *indiretas* entre recursos. Se um recurso for retornado na chamada de API **Descrever** de outro recurso, eles serão registrados como uma relação direta. Quando você altera um recurso em um relacionamento direto com outro recurso, AWS Config não cria um IC para ambos os recursos.
Por exemplo, se você criar uma instância do Amazon EC2 e a API exigir que você crie uma interface de rede, o AWS Config considerará que a instância do Amazon EC2 tem uma relação direta com a interface de rede. Como resultado, AWS Config gera somente um CI.
AWS Config registra alterações separadas para relacionamentos de recursos que são relacionamentos *indiretos*. Por exemplo, AWS Config gera dois CIs se você criar um grupo de segurança e adicionar uma instância associada do Amazon EC2 que faz parte do grupo de segurança.
Consulte mais informações sobre relações diretas e indiretas em [What is a direct and an indirect relationship with respect to a resource?](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-0)
Você pode encontrar [uma lista de relacionamentos de recursos](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html) na AWS Config documentação.
## Visualize os dados do AWS Config gravador nas contas inscritas
AWS Config é integrado CloudWatch para que você possa visualizar AWS Config CIs em um painel. Para obter mais informações, consulte a postagem do blog intitulada [AWS Config suporta CloudWatch as métricas da Amazon](https://aws.amazon.com/about-aws/whats-new/2022/05/aws-config-supports-amazon-cloudwatch-metrics).
Programaticamente, para visualizar AWS Config dados, você pode trabalhar com a AWS CLI ou utilizar outras ferramentas. AWS
### Consulte os dados do AWS Config gravador em um recurso específico
Você pode usar a AWS CLI para recuperar uma lista das alterações mais recentes de um recurso.
**Comando de histórico de recursos:**
+ `aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION`
Para saber mais, consulte [a documentação da API `get-config-history`](https://docs.aws.amazon.com//cli/latest/reference/configservice/get-resource-config-history.html).
### Visualize AWS Config dados com o Quick
Você pode visualizar e consultar recursos registrados por AWS Config toda a organização. Para obter mais informações, consulte o [painel de conformidade do Config Resource](https://catalog.workshops.aws/awscid/en-US/dashboards/additional/config-resource-compliance-dashboard) e a [visualização de AWS Config dados usando o Amazon Athena](https://aws.amazon.com/blogs/mt/visualizing-aws-config-data-using-amazon-athena-and-amazon-quicksight/) e o Quick.
## Solução de problemas AWS Config no AWS Control Tower
Esta seção fornece informações sobre alguns problemas que você pode encontrar ao usar o AWS Config AWS Control Tower.
### AWS Config Custos elevados
Se seu fluxo de trabalho incluir processos que criam, atualizam ou excluem recursos com frequência, ou se ele manipula recursos em grandes números, esse fluxo de trabalho pode gerar um grande número de CIs. Se você executar esses processos em uma conta que não seja de produção, considere cancelar o registro da conta. Talvez seja necessário desativar o AWS Config gravador dessa conta manualmente.
**nota**
Depois de cancelar a inscrição da conta, o AWS Control Tower não pode aplicar controles de detetive nem registrar eventos da conta, como AWS Config atividades, para obter recursos nessa conta.
Consulte mais informações em [Unmanage an enrolled account](https://docs.aws.amazon.com//controltower/latest/userguide/unmanage-account.html). Para saber como desativar o AWS Config gravador, consulte [Gerenciando o gravador de configuração](https://docs.aws.amazon.com//config/latest/developerguide/stop-start-recorder.html).
### O mesmo recurso é registrado várias vezes
Verifique se é um [recurso global](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html). Para zonas de pouso do AWS Control Tower anteriores à versão 3.0, é AWS Config possível registrar determinados recursos globais uma vez para cada região em que AWS Config está operando. Por exemplo, se AWS Config estiver ativado em oito regiões, cada função será registrada oito vezes.
**Os seguintes recursos são registrados uma vez para cada região em que AWS Config está operando:**
+ `AWS::IAM::Group`
+ `AWS::IAM::Policy`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
**Outros recursos globais são registrados somente uma vez. Estes são alguns exemplos de recursos que são registrados uma vez:**
+ `AWS::Route53::HostedZone`
+ `AWS::Route53::HealthCheck`
+ `AWS::ECR::PublicRepository`
+ `AWS::GlobalAccelerator::Listener`
+ `AWS::GlobalAccelerator::EndpointGroup`
+ `AWS::GlobalAccelerator::Accelerator`
### AWS Config não registrou um recurso
Certos recursos têm relações de dependência com outros recursos. Essas relações podem ser *diretas* ou *indiretas*. [Você pode encontrar uma lista de relacionamentos indiretos obsoletos nas Perguntas frequentes. AWS Config](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-2)
# Eventos de ciclo de vida no AWS Control Tower
Alguns eventos registrados em log pelo AWS Control Tower são *eventos de ciclo de vida*. O objetivo de um evento de ciclo de vida é marcar a *conclusão* de determinadas ações do AWS Control Tower que alteram o estado dos recursos. Os eventos de ciclo de vida se aplicam a recursos que o AWS Control Tower cria ou gerencia, como uma zona de pouso, linha de base ou controle, relacionados a uma unidade organizacional (UO) ou conta.
**Características dos eventos de ciclo de vida do AWS Control Tower**
+ Para cada evento de ciclo de vida, o log de eventos mostra se a ação de origem do Control Tower foi concluída com êxito ou falhou.
+ AWS CloudTrail registra automaticamente cada evento do ciclo de vida como um evento de serviço *não relacionado à API AWS *. Para obter mais informações, consulte [o Guia AWS CloudTrail do usuário.](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/non-api-aws-service-events.html)
+ Cada evento de ciclo de vida também é entregue aos serviços Amazon e EventBridge Amazon CloudWatch Events. **Observação:** para receber eventos do ciclo de vida EventBridge, você deve ter uma AWS CloudTrail trilha ativa com o registro ativado. Para obter mais informações sobre eventos AWS de serviço entregues via AWS CloudTrail, consulte [Eventos de serviços da AWS entregues via AWS CloudTrail](https://docs.aws.amazon.com//eventbridge/latest/userguide/eb-service-event-cloudtrail.html) no Guia EventBridge do usuário da Amazon.
**Os eventos de ciclo de vida no AWS Control Tower oferecem dois benefícios principais:**
+ Como um evento de ciclo de vida registra a conclusão de uma ação do AWS Control Tower, você pode criar uma regra da Amazon EventBridge ou uma regra da Amazon CloudWatch Events que pode acionar as próximas etapas em seu fluxo de trabalho de automação, com base no estado do evento do ciclo de vida.
+ Os logs fornecem detalhes adicionais para auxiliar os administradores e auditores na revisão de determinados tipos de atividade nas organizações.
**Como funcionam os eventos de ciclo de vida**
O AWS Control Tower depende de vários serviços para implementar suas ações. Portanto, cada evento de ciclo de vida é registrado somente após uma série de ações ser concluída. Por exemplo, quando você habilita um controle em uma UO, o AWS Control Tower inicia uma série de subetapas que implementam a solicitação. O resultado final de toda a série de subetapas é registrado no log como o estado do evento de ciclo de vida.
+ Se cada subetapa subjacente tiver sido concluída com êxito, o estado do evento de ciclo de vida será registrado como **Succeeded (Bem-sucedido)**.
+ Se qualquer uma das subetapas subjacentes não tiver sido concluída com êxito, o estado do evento de ciclo de vida será registrado como **Failed (Falhou)**.
Cada evento de ciclo de vida inclui um carimbo de data/hora registrado no log que mostra quando a ação do AWS Control Tower foi iniciada, e outro carimbo de data/hora que mostra quando o evento de ciclo de vida foi concluído, indicando o êxito ou a falha.
**Visualizar eventos de ciclo de vida no Control Tower**
Você pode visualizar eventos de ciclo de vida na página **Atividades** no painel do AWS Control Tower.
+ Para navegar até a página **Activities (Atividades)**, selecione **Activities (Atividades)** no painel de navegação esquerdo.
+ Para obter mais detalhes sobre um evento específico, selecione-o e escolha o botão **View details (Exibir detalhes)** no canto superior direito.
Consulte mais informações sobre como integrar eventos de ciclo de vida do AWS Control Tower em seus fluxos de trabalho nesta publicação do blog [Using lifecycle events to track AWS Control Tower actions and trigger automated workflows](https://aws.amazon.com//blogs/mt/using-lifecycle-events-to-track-aws-control-tower-actions-and-trigger-automated-workflows/).
**Comportamento esperado CreateManagedAccount e eventos do UpdateManagedAccount ciclo de vida**
Quando você cria uma conta ou inscreve uma conta no AWS Control Tower, essas duas ações chamam a mesma API interna. Caso haja um erro durante o processo, ele costuma ocorrer depois que a conta é criada, mas antes de estar totalmente provisionada. Quando você tenta criar a conta novamente após o erro ou ao tentar atualizar o produto provisionado, o AWS Control Tower vê que a conta já existe.
Como a conta existe, o AWS Control Tower registra o evento de ciclo de vida `UpdateManagedAccount` em vez do evento de ciclo de vida `CreateManagedAccount` no final da solicitação de nova tentativa. Talvez você veja outro evento `CreateManagedAccount` por causa do erro. No entanto, o evento de ciclo de vida do `UpdateManagedAccount` é o comportamento esperado e desejado.
Se você planeja criar ou inscrever contas no AWS Control Tower usando métodos automatizados, programe a função Lambda **UpdateManagedAccount**para procurar eventos do ciclo de vida, bem como eventos do ciclo de vida. **CreateManagedAccount**
**Nomes dos eventos de ciclo de vida**
Cada evento do ciclo de vida é nomeado de forma que corresponda à ação originária do AWS Control Tower, que também é registrada pela AWS. CloudTrail Assim, por exemplo, um evento de ciclo de vida originado pelo evento AWS Control Tower `CreateManagedAccount` CloudTrail é nomeado. `CreateManagedAccount`
Cada nome na lista a seguir é um link para um exemplo do detalhamento registrado em log no formato `JSON`. Os detalhes adicionais mostrados nesses exemplos foram retirados dos registros de CloudWatch eventos da Amazon.
Embora o `JSON` não ofereça suporte a comentários, alguns comentários foram acrescentados nos exemplos para fins explicativos. Eles são precedidos por "//" e aparecem no lado direito dos exemplos.
Nesses exemplos, alguns nomes de conta e de organização foram obscurecidos. Um `accountId` é sempre uma sequência de 12 números, substituída por "xxxxxxxxxxxx" nos exemplos. Um `organizationalUnitID` é uma cadeia única de letras e números. A forma foi preservada nos exemplos.
+ [`CreateManagedAccount`](#create-managed-account): o log registra se o AWS Control Tower concluiu todas as ações para criar e provisionar uma nova conta usando o Account Factory com êxito.
+ [`UpdateManagedAccount`](#update-managed-account): o log registra se o AWS Control Tower concluiu todas as ações para atualizar um produto provisionado que está associado a uma conta que você tinha criado anteriormente utilizando o Account Factory com êxito.
+ [`EnableGuardrail`](#enable-control): o registro registra se o AWS Control Tower concluiu com sucesso todas as ações para permitir o controle em uma OU.
+ [`DisableGuardrail`](#disable-control): o registro registra se o AWS Control Tower concluiu com sucesso todas as ações para desativar um controle em uma OU.
+ [`SetupLandingZone`](#setup-landing-zone): o log registra se o AWS Control Tower concluiu todas as ações para configurar uma zona de pouso com êxito.
+ [`UpdateLandingZone`](#update-landing-zone): o log registra se o AWS Control Tower concluiu todas as ações para atualizar a zona de pouso existente com êxito.
+ [`RegisterOrganizationalUnit`](#register-organizational-unit): o log registra se o AWS Control Tower concluiu todas as ações para habilitar os recursos de governança dele em uma UO com êxito.
+ [`DeregisterOrganizationalUnit`](#deregister-organizational-unit): o log registra se o AWS Control Tower concluiu todas as ações para desabilitar os recursos de governança dele em uma UO com êxito.
+ [`PrecheckOrganizationalUnit`](#precheck-organizational-unit): o log registra se o AWS Control Tower detectou algum recurso que impediria a conclusão da operação de **Estender governança** com êxito.
+ [`EnableBaseline`](#enable-baseline-lfc): o log registra se o AWS Control Tower concluiu todas as ações para habilitar uma nova linha de base em uma conta de membro alvo em uma UO. A operação de ativação pode ser iniciada usando a API `EnableBaseline` ou o console.
+ [`ResetEnabledBaseline`](#reset-enabled-baseline-lfc): o log registra se o AWS Control Tower concluiu todas as ações para redefinir uma linha de base habilitada existente em uma conta de membro alvo em uma UO. A operação de redefinição pode ser iniciada usando a API `ResetEnabledBaseline` ou o console.
+ [`UpdateEnabledBaseline`](#update-enabled-baseline-lfc): o log registra se o AWS Control Tower concluiu todas as ações para atualizar uma linha de base habilitada existente em uma conta de membro alvo em uma UO. A operação de atualização pode ser iniciada usando a API `UpdateEnabledBaseline` ou o console.
+ [`DisableBaseline`](#disable-baseline-lfc): o log registra se o AWS Control Tower concluiu todas as ações para desabilitar uma linha de base habilitada existente em uma conta de membro alvo em uma UO. A operação de desabilitação pode ser iniciada usando a API `DisableBaseline` ou o console.
As seções a seguir fornecem uma lista de eventos de ciclo de vida do AWS Control Tower, com exemplos dos detalhes registrados em log para cada tipo de evento de ciclo de vida.
## `CreateManagedAccount`
Este evento de ciclo de vida registra se o AWS Control Tower criou e provisionou uma nova conta usando o Account Factory com êxito. Esse evento corresponde ao evento AWS Control Tower `CreateManagedAccount` CloudTrail . O log de eventos de ciclo de vida inclui o `accountName` e o `accountId` da conta recém-criada, e o `organizationalUnitName` e o `organizationalUnitId` da UO em que a conta foi colocada.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // Management account ID.
"time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "us-east-1", // AWS Control Tower home region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "CreateManagedAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"createManagedAccountStatus": {
"organizationalUnit":{
"organizationalUnitName":"Custom",
"organizationalUnitId":"ou-XXXX-l3zc8b3h"
},
"account":{
"accountName":"LifeCycle1",
"accountId":"XXXXXXXXXXXX"
},
"state":"SUCCEEDED",
"message":"AWS Control Tower successfully created a managed account.",
"requestedTimestamp":"2019-11-15T11:45:18+0000",
"completedTimestamp":"2019-11-16T12:09:32+0000"}
}
}
}
```
## `UpdateManagedAccount`
Este evento de ciclo de vida registra se o AWS Control Tower teve êxito ao atualizar o produto provisionado associado a uma conta que foi criada anteriormente usando o Account Factory. Esse evento corresponde ao evento AWS Control Tower `UpdateManagedAccount` CloudTrail. O log de eventos de ciclo de vida inclui o `accountName` e `accountId` da conta associada e o `organizationalUnitName` e `organizationalUnitId` da UO em que a conta atualizada é colocada.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // AWS Control Tower organization management account.
"time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "us-east-1", // AWS Control Tower home region.
"resources": [],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "UpdateManagedAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"updateManagedAccountStatus": {
"organizationalUnit":{
"organizationalUnitName":"Custom",
"organizationalUnitId":"ou-XXXX-l3zc8b3h"
},
"account":{
"accountName":"LifeCycle1",
"accountId":"XXXXXXXXXXXX"
},
"state":"SUCCEEDED",
"message":"AWS Control Tower successfully updated a managed account.",
"requestedTimestamp":"2019-11-15T11:45:18+0000",
"completedTimestamp":"2019-11-16T12:09:32+0000"}
}
}
}
```
## `EnableGuardrail`
Este evento de ciclo de vida registra se o AWS Control Tower teve êxito ao habilitar um controle em uma UO que está sendo gerenciada pelo AWS Control Tower. Esse evento corresponde ao evento AWS Control Tower `EnableGuardrail` CloudTrail . O log de eventos de ciclo de vida inclui o `guardrailId` e `guardrailBehavior` do controle, e o `organizationalUnitName` e `organizationalUnitId` da UO em que o controle está habilitado.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX",
"time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "us-east-1", // AWS Control Tower home region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "EnableGuardrail",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"enableGuardrailStatus": {
"organizationalUnits": [
{
"organizationalUnitName": "Custom",
"organizationalUnitId": "ou-vwxy-18vy4yro"
}
],
"guardrails": [
{
"guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK",
"guardrailBehavior": "DETECTIVE"
}
],
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.",
"requestTimestamp": "2019-11-12T09:01:07+0000",
"completedTimestamp": "2019-11-12T09:01:54+0000"
}
}
}
}
```
## `DisableGuardrail`
Este evento de ciclo de vida registra se o AWS Control Tower teve êxito ao desabilitar um controle em uma UO que está sendo gerenciada pelo AWS Control Tower. Esse evento corresponde ao evento AWS Control Tower `DisableGuardrail` CloudTrail . O log de eventos de ciclo de vida inclui o `guardrailId` e `guardrailBehavior` do controle, e o `organizationalUnitName` e `organizationalUnitId` da UO em que o controle está desabilitado.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX",
"time": "2018-08-30T21:42:18Z",
"region": "us-east-1",
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "DisableGuardrail",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"disableGuardrailStatus": {
"organizationalUnits": [
{
"organizationalUnitName": "Custom",
"organizationalUnitId": "ou-vwxy-18vy4yro"
}
],
"guardrails": [
{
"guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK",
"guardrailBehavior": "DETECTIVE"
}
],
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.",
"requestTimestamp": "2019-11-12T09:01:07+0000",
"completedTimestamp": "2019-11-12T09:01:54+0000"
}
}
}
}
```
## `SetupLandingZone`
Este evento de ciclo de vida registra se o AWS Control Tower configurou uma zona de pouso com êxito. Esse evento corresponde ao evento AWS Control Tower `SetupLandingZone` CloudTrail . O log de eventos de ciclo de vida inclui o `rootOrganizationalId`, que é o ID da organização que o AWS Control Tower cria da conta de gerenciamento. A entrada de registro também inclui o `organizationalUnitName` e `organizationalUnitId` para cada uma das OUs, e o `accountName` e `accountId` para cada conta, que são criadas quando o AWS Control Tower configura a landing zone.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID.
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // Management account ID.
"time": "2018-08-30T21:42:18Z", // Event time from CloudTrail.
"region": "us-east-1", // Management account CloudTrail region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX", // Management-account ID.
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "SetupLandingZone",
"awsRegion": "us-east-1", // AWS Control Tower home region.
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail.
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"setupLandingZoneStatus": {
"state": "SUCCEEDED", // Status of entire lifecycle operation.
"message": "AWS Control Tower successfully set up a new landing zone.",
"rootOrganizationalId" : "r-1234",
"organizationalUnits" : [ // Use a list.
{
"organizationalUnitName": "Security", // Security OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Security OU ID.
},
{
"organizationalUnitName": "Custom", // Custom OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID.
},
],
"accounts": [ // All created accounts are here. Use a list of "account" objects.
{
"accountName": "Audit",
"accountId": "XXXXXXXXXXXX"
},
{
"accountName": "Log archive",
"accountId": "XXXXXXXXXXXX"
}
],
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `UpdateLandingZone`
Esse evento de ciclo de vida registra se o AWS Control Tower atualizou a zona de pouso existente com êxito. Esse evento corresponde ao evento AWS Control Tower `UpdateLandingZone` CloudTrail . O log de eventos de ciclo de vida inclui o `rootOrganizationalId`, que é o ID da organização (atualizada) administrada pelo AWS Control Tower. A entrada de registro também inclui o `organizationalUnitName` e `organizationalUnitId` para cada uma das OUs, e o `accountName` e `accountId` para cada conta, que foi criada anteriormente, quando o AWS Control Tower configurou originalmente a landing zone.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID.
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // Management account ID.
"time": "2018-08-30T21:42:18Z", // Event time from CloudTrail.
"region": "us-east-1", // Management account CloudTrail region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX", // Management account ID.
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "UpdateLandingZone",
"awsRegion": "us-east-1", // AWS Control Tower home region.
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail.
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"updateLandingZoneStatus": {
"state": "SUCCEEDED", // Status of entire operation.
"message": "AWS Control Tower successfully updated a landing zone.",
"rootOrganizationalId" : "r-1234",
"organizationalUnits" : [ // Use a list.
{
"organizationalUnitName": "Security", // Security OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Security OU ID.
},
{
"organizationalUnitName": "Custom", // Custom OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID.
},
],
"accounts": [ // All created accounts are here. Use a list of "account" objects.
{
"accountName": "Audit",
"accountId": "XXXXXXXXXXXX"
},
{
"accountName": "Log archive",
"accountId": "XXXXXXXXXX"
}
],
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `RegisterOrganizationalUnit`
Esse evento de ciclo de vida registra se o AWS Control Tower habilitou os recursos de governança com êxito em uma UO. Esse evento corresponde ao evento AWS Control Tower `RegisterOrganizationalUnit` CloudTrail . O log de eventos de ciclo de vida inclui o `organizationalUnitName` e `organizationalUnitId` da UO que o AWS Control Tower colocou sob sua governança.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "123456789012",
"time": "2018-08-30T21:42:18Z",
"region": "us-east-1",
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "RegisterOrganizationalUnit",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"registerOrganizationalUnitStatus": {
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully registered an organizational unit.",
"organizationalUnit" :
{
"organizationalUnitName": "Test",
"organizationalUnitId": "ou-adpf-302pk332"
}
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `DeregisterOrganizationalUnit`
Esse evento de ciclo de vida registra se o AWS Control Tower desabilitou os recursos de governança com êxito em uma UO. Esse evento corresponde ao evento AWS Control Tower `DeregisterOrganizationalUnit` CloudTrail . O log de eventos de ciclo de vida inclui o `organizationalUnitName` e `organizationalUnitId` da UO em que o AWS Control Tower desabilitou os recursos de governança.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX",
"time": "2018-08-30T21:42:18Z",
"region": "us-east-1",
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "DeregisterOrganizationalUnit",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"deregisterOrganizationalUnitStatus": {
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.",
"organizationalUnit" :
{
"organizationalUnitName": "Test", // Foundational OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID.
},
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `PrecheckOrganizationalUnit`
Esse evento de ciclo de vida registra se o AWS Control Tower realizou as pré-verificações em uma UO com êxito. Esse evento corresponde ao evento AWS Control Tower `PrecheckOrganizationalUnit` CloudTrail . O log de eventos de ciclo de vida contém um campo para os valores `Id`,`Name` e `failedPrechecks` para cada recurso no qual o AWS Control Tower realizou pré-verificações durante o processo de registro da UO.
O log de eventos também contém informações sobre as contas aninhadas nas quais as pré-verificações foram realizadas, incluindo os campos `accountName`, `accountId` e `failedPrechecks`.
Se o valor `failedPrechecks` estiver vazio, isso indicará que todas as pré-verificações desse recurso foram aprovadas com êxito.
+ Esse evento será emitido somente se houver uma falha na pré-verificação.
+ Esse evento não será emitido se você estiver registrando uma UO vazia.
Exemplo de evento:
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-09-20T22:45:43Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "PrecheckOrganizationalUnit",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"precheckOrganizationalUnitStatus": {
"organizationalUnit": {
"organizationalUnitName": "Ou-123",
"organizationalUnitId": "ou-abcd-123456",
"failedPrechecks": [
"SCP_CONFLICT"
]
},
"accounts": [
{
"accountName": "Child Account 1",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": [
"FAILED_TO_ASSUME_ROLE"
]
},
{
"accountName": "Child Account 2",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": [
"FAILED_TO_ASSUME_ROLE"
]
},
{
"accountName": "Management Account",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": [
"MISSING_PERMISSIONS_AF_PRODUCT"
]
},
{
"accountName": "Child Account 3",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": []
},
...
],
"state": "FAILED",
"message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.",
"requestedTimestamp": "2021-09-20T22:44:02+0000",
"completedTimestamp": "2021-09-20T22:45:43+0000"
}
},
"eventCategory": "Management"
}
```
## `EnableBaseline`
Este evento de ciclo de vida registra se o AWS Control Tower habilitou uma linha de base em uma conta de membro alvo em uma UO. Esse evento corresponde à AWS Control Tower `RegisterOrganizationalUnit` ou `EnableBaseline` CloudTrail aos eventos. O registro de eventos do ciclo de vida inclui a linha de base que foi habilitada e sua versão, aquela `targetIdentifier` na qual a linha de base foi habilitada, a linha de base `parentIdentifier` habilitada na UO pai e a `statusSummary` mostrando o status BEM-SUCEDIDO ou FALHA, junto com os parâmetros adicionais e o registro de data e hora da operação.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-02-10T17:14:57Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "EnableBaseline",
"awsRegion": "us-east-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "366911a2-4fa6-4e4a-ac2b-280f627e0027",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"enableBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-ern76xmzvf/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-east-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "4.0",
"statusSummary": {
"lastOperationIdentifier": "37f5eb68-e5b9-4c70-ae76-4ca15f6b16de",
"status": "SUCCEEDED"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": {
"untyped": {
"object": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX" }
}
}
]
},
"requestedTimestamp": "2025-02-10T17:07:09+0000",
"completedTimestamp": "2025-02-10T17:14:57+0000"
}
},
"eventCategory": "Management"
}
```
## `ResetEnabledBaseline`
Este evento de ciclo de vida registra se o AWS Control Tower redefiniu a linha de base habilitada existente em uma conta de membro alvo em uma UO. Esse evento corresponde à AWS Control Tower `RegisterOrganizationalUnit` ou `ResetEnabledBaseline` CloudTrail aos eventos. O registro de eventos do ciclo de vida inclui a linha de base que foi habilitada e sua versão, aquela `targetIdentifier` na qual a linha de base foi habilitada, a linha de base `parentIdentifier` habilitada na UO pai e a `statusSummary` mostrando o status BEM-SUCEDIDO ou FALHA, junto com os parâmetros adicionais e o registro de data e hora da operação.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-02-10T21:17:55Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "ResetEnabledBaseline",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "c01a32e1-13ab-4b46-8f1b-00699ef6f989",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"resetEnabledBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "3e364c89-89fa-42b8-9776-9f7cc47ba1fa",
"status": "SUCCEEDED"
},
"parameters": []
},
"requestedTimestamp": "2025-02-10T21:14:24Z",
"completedTimestamp": "2025-02-10T21:17:54+0000"
}
},
"eventCategory": "Management"
}
```
## `UpdateEnabledBaseline`
Este evento de ciclo de vida registra se o AWS Control Tower atualizou a linha de base habilitada existente em uma conta de membro alvo em uma UO. Esse evento corresponde à AWS Control Tower `RegisterOrganizationalUnit` ou `UpdateEnabledBaseline` CloudTrail aos eventos. O registro de eventos do ciclo de vida inclui a linha de base que foi habilitada e sua versão, aquela `targetIdentifier` na qual a linha de base foi habilitada, a linha de base `parentIdentifier` habilitada na UO pai e a `statusSummary` mostrando o status BEM-SUCEDIDO ou FALHA, junto com os parâmetros adicionais e o registro de data e hora da operação.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-02-10T19:45:28Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "UpdateEnabledBaseline",
"awsRegion": "us-east-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "514f2aff-1a99-4912-bda1-0d4d6662c96e",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"updateEnabledBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-ern76xmzvf/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-east-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "4.0",
"statusSummary": {
"lastOperationIdentifier": "ba3de28f-83fb-4c9a-8a8c-a4e15fac2c41",
"status": "SUCCEEDED"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": {
"untyped": {
"object": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX" }
}
}
]
},
"requestedTimestamp": "2025-02-10T19:39:35+0000",
"completedTimestamp": "2025-02-10T19:45:28+0000"
}
},
"eventCategory": "Management"
}
```
## `DisableBaseline`
Este evento de ciclo de vida registra se o AWS Control Tower desabilitou a linha de base habilitada existente em uma conta de membro alvo em uma UO. Esse evento corresponde ao evento AWS Control Tower `DisableBaseline` CloudTrail . O registro de eventos do ciclo de vida inclui a linha de base que foi habilitada e sua versão, aquela `targetIdentifier` na qual a linha de base foi habilitada, a linha de base `parentIdentifier` habilitada na UO pai e a `statusSummary` mostrando o status BEM-SUCEDIDO ou FALHA, junto com os parâmetros adicionais e o registro de data e hora da operação.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-03-14T00:50:58Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "DisableBaseline",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "704794c4-a32e-4960-8386-c7efaa5a22a1",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"disableBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "7b895594-0edb-48bc-9f3d-d88c2ad618df",
"status": "SUCCEEDED"
},
"parameters": []
},
"baselineDetails": {
"arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "7b895594-0edb-48bc-9f3d-d88c2ad618df",
"status": "SUCCEEDED"
},
"parameters": []
},
"requestedTimestamp": "2025-03-14T00:49:13Z",
"completedTimestamp": "2025-03-14T00:50:58+0000"
}
},
"eventCategory": "Management"
}
```
# Usando notificações AWS de usuário com AWS Control Tower
Você pode usar as [Notificações de Usuários da AWS](https://docs.aws.amazon.com/notifications/latest/userguide/what-is.html) para configurar canais de entrega para receber notificações sobre eventos do AWS Control Tower. Você recebe uma notificação quando um evento corresponde a uma regra especificada. É possível receber notificações para eventos por meio de diversos canais, incluindo o e-mail, o [Amazon Q Developer em aplicações de chat](https://docs.aws.amazon.com/chatbot/latest/adminguide/what-is.html), notificações por chat ou notificações via push do [Console Mobile App da AWS](https://docs.aws.amazon.com/consolemobileapp/latest/userguide/what-is-consolemobileapp.html). Você também pode ver as notificações na Central de notificações do console.
AWS As notificações do usuário oferecem suporte à agregação, o que pode reduzir o número de notificações que você recebe durante eventos específicos. As notificações também ficam visíveis na Central de notificações do console.
As vantagens de assinar notificações por meio de notificações AWS do usuário em vez de EventBridge incluem:
+ Uma interface de usuário (UI) mais simples.
+ Integração com o AWS console, na bell/notifications área da barra de navegação global.
+ Suporte nativo para notificações por e-mail, não há necessidade de configurar o Amazon SNS.
+ Mais notavelmente, o suporte para notificações push móveis, exclusivo para notificações AWS do usuário.
Por exemplo, um tipo de notificação que você talvez queira receber é no caso de descobertas críticas e de alta severidade do CSPM do Security Hub. Um trecho de código em JSON para configurar essa assinatura de notificação pode ter a seguinte aparência:
```
{
"detail": {
"findings": {
"Compliance": {
"Status": ["FAILED", "WARNING", "NOT_AVAILABLE"]
},
"RecordState": ["ACTIVE"],
"Severity": {
"Label": ["CRITICAL", "HIGH"]
},
"Workflow": {
"Status": ["NEW", "NOTIFIED"]
}
}
}
}
```
**Filtragem de eventos**
+ Você pode filtrar eventos por serviço e nome usando os filtros disponíveis no console de notificações AWS do usuário.
+ Você pode filtrar eventos por propriedades específicas se criar seu próprio EventBridge filtro a partir do código JSON.
**Exemplo de AWS Control Tower evento**
Aqui está um exemplo de evento generalizado para AWS Control Tower.
+ É um EventBridge evento.
+ Você pode se inscrever em EventBridge eventos (como este) usando as Notificações AWS do Usuário.
```
{
"version": "0",
"id": "", // alphanumeric string
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "", // Management account ID.
"time": "", // Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "", // AWS Control Tower home region.
"resources": [],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "121212121212",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "", // one of the 9 event names in https://docs.aws.amazon.com/controltower/latest/userguide/lifecycle-events.html
"awsRegion": "",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
// the contents of this object vary depending on the event subtype and event state
}
}
}
```