漂移检测与修复
漂移概述
搭建Landing Zone时,账号、所有OU和资源都将符合控制策略管控下的管理规则。当您和组织成员使用Landing Zone时,由于可以同时从RGC和Organizations服务对组织和SCP进行操作,操作入口的不唯一就可能导致纳管资源的合规状态发生改变。当RGC纳管的资源不满足治理策略时,就会发生以下三类漂移现象:
当存在不一致时,意味着当前Landing zone环境发生了不合规情况,可能会造成意外甚至严重的后果。
当前RGC已支持定期进行账号、OU和SCP的漂移检测,并使用告警提醒您存在漂移现象。检测漂移后,您可以通过更新、修复等操作消除漂移。
当Landing Zone处于漂移状态时,RGC的创建账号功能将无法使用。
漂移检测概述
RGC会自动检测是否存在漂移现象。检测漂移将需要RGCServiceExecutionAgency服务委托持续访问您的管理账号,RGC将会使用只读权限的API调用Organizations服务。调用API的操作将会记录在CTS事件中。
漂移现象的消息将汇总至消息通知服务(Simple Message Notification,SMN)中。管理账号可以订阅SMN消息通知,以便在出现漂移现象时,接收漂移信息并及时修复漂移。在RGC中可以检测到的治理漂移类型如下:
- 组织架构漂移的类型
- SCP被更新
- SCP被删除
- SCP关联至OU
- SCP关联至账号
- SCP从OU解绑
- SCP从账号解绑
- 账号漂移的类型
- 账号被移动到其他OU
- 账号被关闭
- 账号被移出组织
- 如果同一组资源多次出现相同类型的漂移,RGC将仅针对第一个出现漂移的资源发送SMN通知。
- 如果RGC检测到发生漂移的资源已得到修复,则仅当相同的资源再次出现漂移时,才会再次发送SMN通知。
例如:
- 如果您多次修改同一个SCP的策略内容,则仅在首次修改时会收到消息通知。
- 如果您通过修改SCP后修复了漂移,然后再次对其进行修改再次产生漂移,则您将会收到两条消息通知。
需要立即修复的漂移类型
当出现漂移现象时,您可以通过更新/修复等操作消除漂移,以确保Landing Zone处于合规的状态。漂移检测是系统自动进行的,但您需要在RGC控制台进行操作才可以修复漂移。
大多数类型的漂移可以由管理员解决,但有些类型的漂移则必须立即解决,包括删除RGC Landing zone所需的OU等。以下列举的是如何避免产生立即解决的漂移示例:
- 不要删除核心OU:不应在Organizations服务中删除RGC在搭建Landing Zone期间默认名为 “Security” 的核心OU。如果将其删除,则会出现漂移现象。您将会在RGC控制台看到一条错误消息,提示您立即更新/修复Landing Zone。在更新/修复完成之前,您将无法在RGC中执行任何其他操作。
- 不要删除核心账号:如果您从核心OU中删除核心账号,例如从核心OU中删除日志存档账号,则Landing Zone将处于漂移状态。您必须先更新/修复Landing Zone,然后才能继续使用RGC控制台。
修复漂移问题
当发生漂移时,您将会在RGC控制台看到一条错误消息,提示您立即更新/修复Landing Zone。您仅需根据提示,单击提示中的“更新/修复”或“重新注册OU”等,进行漂移问题修复。
如您已执行修复操作,但仍未解决漂移问题,建议您提交工单进行技术支持咨询。
