Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Über ungültige wirksame Richtlinienwarnungen
Benachrichtigungen über ungültige Richtlinien informieren Sie über ungültige Richtlinien und bieten Mechanismen (APIs), mit denen Konten mit ungültigen Richtlinien identifiziert werden können. AWS Organizations benachrichtigt Sie asynchron, wenn für eines Ihrer Konten eine ungültige gültige Richtlinie gilt. Die Benachrichtigung wird als Banner auf der AWS Organizations Konsolenseite angezeigt und als Ereignis AWS CloudTrail aufgezeichnet.
Ermitteln Sie ungültige, wirksame deklarative Richtlinien in Ihrer Organisation
Es gibt mehrere Möglichkeiten, ungültige, wirksame deklarative Richtlinien in Ihrer Organisation einzusehen: von der AWS Management Console, der AWS API, der AWS Befehlszeilenschnittstelle (CLI) oder als AWS CloudTrail Ereignis.
Mindestberechtigungen
Um Informationen zu ungültigen wirksamen Richtlinien eines deklarativen Richtlinientyps in Ihrer Organisation zu finden, benötigen Sie die Erlaubnis, die folgenden Aktionen auszuführen:
-
organizations:ListAccountsWithInvalidEffectivePolicy -
organizations:ListEffectivePolicyValidationErrors -
organizations:ListRoots- nur erforderlich, wenn Sie die Organisationskonsole verwenden
AWS CloudTrail
Sie können AWS CloudTrail Ereignisse verwenden, um zu überwachen, wann Konten in Ihren Organisationen ungültige und wirksame deklarative Richtlinien haben und wann die Richtlinien behoben sind. Weitere Informationen finden Sie unter Beispiele für effektive Richtlinien unter Grundlegendes zu AWS Organizations Protokolldateieinträgen.
Wenn Sie eine Benachrichtigung über eine ungültige wirksame Richtlinie erhalten, können Sie durch die AWS Organizations Konsole navigieren oder diese APIs von Ihrem Verwaltungs- oder delegierten Administratorkonto aus aufrufen, um weitere Informationen zum Status bestimmter Konten und Richtlinien zu erhalten:
-
ListAccountsWithInvalidEffectivePolicy— Gibt eine Liste der Konten in der Organisation zurück, für die ungültige gültige Richtlinien eines bestimmten Typs gelten. -
ListEffectivePolicyValidationErrors— Gibt eine Liste von Validierungsfehlern für ein bestimmtes Konto und einen bestimmten deklarativen Richtlinientyp zurück. Die Validierungsfehler enthalten Details, darunter den Fehlercode, die Fehlerbeschreibung und die Richtlinien, die dazu beigetragen haben, dass die aktuelle Richtlinie ungültig wurde.
Wann eine wirksame deklarative Richtlinie als ungültig angesehen werden könnte
Wirksame Richtlinien für ein Konto können ungültig werden, wenn sie gegen die für den jeweiligen Richtlinientyp definierten Einschränkungen verstoßen. Beispielsweise könnte bei einer Richtlinie ein erforderlicher Parameter in der endgültigen gültigen Richtlinie fehlen oder bestimmte für den Richtlinientyp definierte Kontingente überschritten werden.
AWS Organizations validiert wirksame Richtlinien, bevor sie auf die Konten in Ihrer Organisation angewendet werden. Dieser Prüfprozess ist besonders vorteilhaft, wenn Sie eine große Organisationsstruktur haben und wenn die Richtlinien Ihrer Organisation von mehr als einem Team verwaltet werden.
Beispiele für mögliche Fehler bei effektiven Richtlinien
-
ELEMENTS_TOO_MANY— Tritt auf, wenn ein bestimmtes Attribut in einer effektiven Richtlinie den zulässigen Grenzwert überschreitet, z. B. wenn mehr als 10 Regeln für einen Backup-Plan angegeben sind. -
ELEMENTS_TOO_FEW— Tritt auf, wenn ein bestimmtes Attribut in einer effektiven Richtlinie den Mindestgrenzwert nicht erreicht, z. B. wenn keine Region für einen Backup-Plan definiert ist. -
KEY_REQUIRED— Tritt auf, wenn eine erforderliche Konfiguration in der gültigen Richtlinie fehlt, z. B. wenn in einem Backup-Plan eine Backup-Regel fehlt.
Warnung
Wenn ein Konto in der Organisation über eine ungültige gültige Richtlinie verfügt, erhält dieses Konto keine effektiven Richtlinienaktualisierungen für den jeweiligen Richtlinientyp. Es wird mit der zuletzt angewendeten gültigen gültigen Richtlinie für das Konto fortgefahren, sofern nicht alle Fehler behoben wurden.
Validierungen nach Richtlinientyp
Backup-Richtlinie
Angenommen, Sie erstellen eine Backup-Richtlinie mit neun Backup-Regeln und fügen sie dem Stammverzeichnis Ihrer Organisation hinzu. Später erstellen Sie eine weitere Backup-Richtlinie für denselben Backup-Plan — mit zwei weiteren Regeln — und fügen sie einem beliebigen Konto in der Organisation hinzu. In diesem Fall liegt eine ungültige gültige Richtlinie für das Konto vor. Sie ist ungültig, da die Zusammenfassung der beiden Richtlinien 11 Regeln für den Backup-Plan definiert. Das Limit liegt bei 10 Backup-Regeln in einem Plan.
Tag-Richtlinie
Richtlinien, die nach Tag-Richtlinien wirksam sind, unterliegen den folgenden Validierungen:
-
Die effektive Größe der Tag-Richtlinie darf 395.000 Zeichen nicht überschreiten. Multi-byte Zeichen (z. B. auf Chinesisch, Japanisch oder Koreanisch) belegen mehr Speicherplatz und reduzieren diesen Grenzwert entsprechend. Wenn die Zusammenfassung aller geerbten und direkt angehängten Tag-Richtlinien auf Kontoebene zu einer effektiven Richtlinie mit mehr als 395.000 Zeichen führt, wird die effektive Richtlinie als ungültig betrachtet.
-
Die Anzahl der eindeutigen erforderlichen Tagschlüssel pro Ressourcentyp darf 50 nicht überschreiten. Angenommen, Sie fügen dem Stamm eine Tag-Richtlinie mit 30 erforderlichen Tag-Schlüsseln für EC2-Instances hinzu und fügen später einer OU eine weitere Tag-Richtlinie mit 25 verschiedenen erforderlichen Tag-Schlüsseln für EC2-Instances hinzu. In diesem Fall gibt es eine ungültige gültige Richtlinie für Konten in dieser Organisationseinheit. Sie ist ungültig, da die Aggregation der beiden Richtlinien 55 eindeutige erforderliche Tagschlüssel für einen einzelnen Ressourcentyp definiert. Das Limit liegt bei 50 eindeutigen erforderlichen Tagschlüsseln pro Ressourcentyp. Dieses Limit gilt sowohl für einzelne Tag-Richtlinien als auch für die aggregierte effektive Richtlinie.