更新时间:2024-10-26 GMT+08:00
分享

漂移检测与修复

漂移概述

搭建Landing Zone时,账号、所有OU和资源都将符合控制策略管控下的管理规则。当您和组织成员使用Landing Zone时,由于可以同时从RGC和Organizations服务对组织和SCP进行操作,操作入口的不唯一就可能导致纳管资源的合规状态发生改变。当RGC纳管的资源不满足治理策略时,就会发生以下三类漂移现象:

  • SCP:

    RGC为各个OU配置的SCP与在Organizations服务中内容不一致,或者SCP在Organizations服务中不存在。

  • 组织结构

    RGC监管的OU和账号与Organizations服务里的OU或账号存在不一致。

当存在不一致时,意味着当前Landing zone环境发生了不合规情况,可能会造成意外甚至严重的后果。

当前RGC已支持定期进行账号、OU和SCP的漂移检测,并使用告警提醒您存在漂移现象。检测漂移后,您可以通过更新、修复等操作消除漂移。

当Landing Zone处于漂移状态时,RGC的创建账号功能将无法使用。

漂移检测概述

RGC会自动检测是否存在漂移现象。检测偏移将需要RGCServiceExecutionAgency服务委托持续访问您的管理账号,RGC将会使用只读权限的API调用Organizations服务。调用API的操作将会记录在CTS事件中。

漂移现象的消息将汇总至消息通知服务(Simple Message Notification,SMN)中。管理账号可以订阅SMN消息通知,以便在出现漂移现象时,接收漂移信息并及时修复漂移。在RGC中可以检测到的治理漂移类型如下:

  • 组织架构漂移的类型
    • SCP被更新
    • SCP被删除
    • SCP关联至OU
    • SCP关联至账号
    • SCP从OU分离
    • SCP从账号分离
  • 账号漂移的类型
    • 账号被移动到其他OU
    • 账号被关闭
    • 账号被移出组织
  • 如果同一组资源多次出现相同类型的漂移,RGC将仅针对第一个出现漂移的资源发送SMN通知。
  • 如果RGC检测到发生漂移的资源已得到修复,则仅当相同的资源再次出现漂移时,才会再次发送SMN通知。

例如:

  • 如果您多次修改同一个SCP的策略内容,则仅在首次修改时会收到消息通知。
  • 如果您通过修改SCP后修复了漂移,然后再次对齐进行修改再次产生漂移,则您将会收到两条消息通知。

需要立即修复的漂移类型

当出现漂移现象时,您可以通过更新/修复等操作消除漂移,以确保Landing Zone处于合规的状态。漂移检测是系统自动进行的,但您需要在RGC控制台进行操作才可以修复漂移。

大多数类型的漂移可以由管理员解决,但有些类型的漂移则必须立即解决,包括删除RGC Landing zone所需的OU等。以下列举的是如何避免产生立即解决的漂移示例:

  • 不要删除核心OU:不应在Organizations服务中删除RGC在搭建Landing Zone期间默认名为 “Security” 的核心OU。如果将其删除,则会出现漂移现象。您将会在RGC控制台看到一条错误消息,提示您立即更新/修复Landing Zone。在更新/修复完成之前,您将无法在RGC中执行任何其他操作。
  • 不要删除核心账号:如果您从核心OU中删除核心账号,例如从核心OU中删除登录账号,则Landing Zone将处于漂移状态。您必须先更新/修复Landing Zone,然后才能继续使用RGC控制台。

解决漂移问题

当发生漂移时,您将会在RGC控制台看到一条错误消息,提示您立即更新/修复Landing Zone。您仅需根据提示,单击提示中的“更新/修复”或“重新注册OU”等,进行漂移问题修复。

如您已执行修复操作,但仍未解决漂移问题,建议您您提交工单进行技术支持咨询。

相关文档