Über ungültige wirksame Richtlinienwarnungen - AWS Organizations
Ermitteln Sie ungültige, wirksame Verwaltungsrichtlinien in Ihrer OrganisationWann eine effektive Verwaltungsrichtlinie als ungültig angesehen werden könnte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Über ungültige wirksame Richtlinienwarnungen

Warnmeldungen über ungültige Richtlinien informieren Sie über ungültige Richtlinien und bieten Mechanismen (APIs), um Konten mit ungültigen Richtlinien zu identifizieren. AWS Organizations benachrichtigt Sie asynchron, wenn für eines Ihrer Konten eine ungültige gültige Richtlinie gilt. Die Benachrichtigung wird als Banner auf der AWS Organizations Konsolenseite angezeigt und als Ereignis AWS CloudTrail aufgezeichnet.

Ermitteln Sie ungültige, wirksame Verwaltungsrichtlinien in Ihrer Organisation

Es gibt mehrere Möglichkeiten, wie Sie ungültige, wirksame Verwaltungsrichtlinien in Ihrer Organisation anzeigen können: über die AWS Managementkonsole, die AWS API, die AWS Befehlszeilenschnittstelle (CLI) oder als AWS CloudTrail Ereignis.

Mindestberechtigungen

Um Informationen zu ungültigen effektiven Richtlinien eines Verwaltungsrichtlinientyps in Ihrer Organisation zu finden, benötigen Sie die Berechtigung, die folgenden Aktionen auszuführen:

  • organizations:ListAccountsWithInvalidEffectivePolicy

  • organizations:ListEffectivePolicyValidationErrors

  • organizations:ListRoots- nur erforderlich, wenn Sie die Organisationskonsole verwenden

AWS Management Console
Um ungültige, gültige Verwaltungsrichtlinien von der Konsole aus anzuzeigen

  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

  2. Wenn Ihre Organisation über ungültige gültige Richtlinien verfügt, wird auf der AWS-KontenSeitenseite oben auf der Seite ein Warnbanner angezeigt.

  3. Klicken Sie im Banner auf Entdeckte Probleme anzeigen, um die Liste aller Konten in Ihrer Organisation anzuzeigen, für die ungültige gültige Richtlinien gelten.

  4. Wählen Sie für jedes Konto in der Liste die Option Probleme anzeigen aus, um weitere Informationen zu den Fehlern für jedes Konto zu erhalten, die in den Abschnitten Wirksame Richtlinienprobleme auf dieser Seite angezeigt werden.

AWS CLI & AWS SDKs
Um die effektive Richtlinie eines Verwaltungsrichtlinientyps für ein Konto anzuzeigen

Die folgenden Befehle helfen Ihnen dabei, Konten mit ungültigen gültigen Richtlinien anzuzeigen

Die folgenden Befehle helfen Ihnen dabei, effektive Richtlinienfehler für ein Konto anzuzeigen

AWS CloudTrail

Sie können AWS CloudTrail Ereignisse verwenden, um zu überwachen, wann Konten in Ihren Organisationen ungültige, wirksame Verwaltungsrichtlinien haben und wann die Richtlinien behoben sind. Weitere Informationen finden Sie unter Beispiele für effektive Richtlinien unter Grundlegendes zu AWS Organizations Protokolldateieinträgen.

Wenn Sie eine Benachrichtigung über eine ungültige gültige Richtlinie erhalten, können Sie in der AWS Organizations Konsole navigieren oder diese APIs von Ihrem Verwaltungs- oder delegierten Administratorkonto aus aufrufen, um weitere Informationen zum Status bestimmter Konten und Richtlinien zu erhalten:

  • ListAccountsWithInvalidEffectivePolicy— Gibt eine Liste der Konten in der Organisation zurück, für die ungültige gültige Richtlinien eines bestimmten Typs gelten.

  • ListEffectivePolicyValidationErrors— Gibt eine Liste von Validierungsfehlern für einen bestimmten Konto- und Verwaltungsrichtlinientyp zurück. Die Validierungsfehler enthalten Details, darunter den Fehlercode, die Fehlerbeschreibung und die Richtlinien, die dazu beigetragen haben, dass die aktuelle Richtlinie ungültig wurde.

Wann eine effektive Verwaltungsrichtlinie als ungültig angesehen werden könnte

Wirksame Richtlinien für ein Konto können ungültig werden, wenn sie gegen die für den jeweiligen Richtlinientyp definierten Einschränkungen verstoßen. Beispielsweise könnte bei einer Richtlinie ein erforderlicher Parameter in der endgültigen gültigen Richtlinie fehlen oder bestimmte für den Richtlinientyp definierte Kontingente überschritten werden.

Beispiel für eine Backup-Richtlinie

Angenommen, Sie erstellen eine Backup-Richtlinie mit neun Backup-Regeln und hängen sie an das Stammverzeichnis Ihrer Organisation an. Später erstellen Sie eine weitere Backup-Richtlinie für denselben Backup-Plan — mit zwei weiteren Regeln — und fügen sie einem beliebigen Konto in der Organisation hinzu. In diesem Fall liegt eine ungültige gültige Richtlinie für das Konto vor. Sie ist ungültig, da die Zusammenfassung der beiden Richtlinien 11 Regeln für den Backup-Plan definiert. Das Limit liegt bei 10 Backup-Regeln in einem Plan.

Warnung

Wenn für ein Konto in der Organisation eine ungültige gültige Richtlinie gilt, erhält dieses Konto keine aktuellen Richtlinien für den jeweiligen Richtlinientyp. Es wird mit der zuletzt angewendeten gültigen gültigen Richtlinie für das Konto fortgefahren, sofern nicht alle Fehler behoben wurden.

Beispiele für mögliche Fehler bei effektiven Richtlinien

  • ELEMENTS_TOO_MANY— Tritt auf, wenn ein bestimmtes Attribut in einer effektiven Richtlinie den zulässigen Grenzwert überschreitet, z. B. wenn mehr als 10 Regeln für einen Backup-Plan angegeben sind.

  • ELEMENTS_TOO_FEW— Tritt auf, wenn ein bestimmtes Attribut in einer effektiven Richtlinie den Mindestgrenzwert nicht erreicht, z. B. wenn keine Region für einen Backup-Plan definiert ist.

  • KEY_REQUIRED— Tritt auf, wenn eine erforderliche Konfiguration in der gültigen Richtlinie fehlt, z. B. wenn in einem Backup-Plan eine Backup-Regel fehlt.

AWS Organizations validiert wirksame Richtlinien, bevor sie auf die Konten in Ihrer Organisation angewendet werden. Dieser Prüfprozess ist besonders vorteilhaft, wenn Sie eine große Organisationsstruktur haben und wenn die Richtlinien Ihrer Organisation von mehr als einem Team verwaltet werden.