View a markdown version of this page

Über ungültige wirksame Richtlinienwarnungen - AWS Organizations

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Über ungültige wirksame Richtlinienwarnungen

Benachrichtigungen über ungültige Richtlinien informieren Sie über ungültige Richtlinien und bieten Mechanismen (APIs), mit denen Konten mit ungültigen Richtlinien identifiziert werden können. AWS Organizations benachrichtigt Sie asynchron, wenn für eines Ihrer Konten eine ungültige gültige Richtlinie gilt. Die Benachrichtigung wird als Banner auf der AWS Organizations Konsolenseite angezeigt und als Ereignis AWS CloudTrail aufgezeichnet.

Ermitteln Sie ungültige, wirksame deklarative Richtlinien in Ihrer Organisation

Es gibt mehrere Möglichkeiten, ungültige, wirksame deklarative Richtlinien in Ihrer Organisation einzusehen: von der AWS Management Console, der AWS API, der AWS Befehlszeilenschnittstelle (CLI) oder als AWS CloudTrail Ereignis.

Mindestberechtigungen

Um Informationen zu ungültigen wirksamen Richtlinien eines deklarativen Richtlinientyps in Ihrer Organisation zu finden, benötigen Sie die Erlaubnis, die folgenden Aktionen auszuführen:

  • organizations:ListAccountsWithInvalidEffectivePolicy

  • organizations:ListEffectivePolicyValidationErrors

  • organizations:ListRoots- nur erforderlich, wenn Sie die Organisationskonsole verwenden

AWS-Managementkonsole
Um ungültige, effektive deklarative Richtlinien von der Konsole aus anzuzeigen
  1. Melden Sie sich bei der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

  2. Wenn Ihre Organisation über ungültige gültige Richtlinien verfügt, wird auf der AWS-KontenSeitenseite oben auf der Seite ein Warnbanner angezeigt.

  3. Klicken Sie im Banner auf Entdeckte Probleme anzeigen, um die Liste aller Konten in Ihrer Organisation anzuzeigen, für die ungültige gültige Richtlinien gelten.

  4. Wählen Sie für jedes Konto in der Liste die Option Probleme anzeigen aus, um weitere Informationen zu den Fehlern für jedes Konto zu erhalten, die in den Abschnitten Wirksame Richtlinienprobleme auf dieser Seite angezeigt werden.

AWS CLI & AWS SDKs
Um die effektive Richtlinie eines deklarativen Richtlinientyps für ein Konto anzuzeigen

Die folgenden Befehle helfen Ihnen dabei, Konten mit ungültigen gültigen Richtlinien anzuzeigen

Mit den folgenden Befehlen können Sie sich aktuelle Richtlinienfehler für ein Konto anzeigen lassen

AWS CloudTrail

Sie können AWS CloudTrail Ereignisse verwenden, um zu überwachen, wann Konten in Ihren Organisationen ungültige und wirksame deklarative Richtlinien haben und wann die Richtlinien behoben sind. Weitere Informationen finden Sie unter Beispiele für effektive Richtlinien unter Grundlegendes zu AWS Organizations Protokolldateieinträgen.

Wenn Sie eine Benachrichtigung über eine ungültige wirksame Richtlinie erhalten, können Sie durch die AWS Organizations Konsole navigieren oder diese APIs von Ihrem Verwaltungs- oder delegierten Administratorkonto aus aufrufen, um weitere Informationen zum Status bestimmter Konten und Richtlinien zu erhalten:

  • ListAccountsWithInvalidEffectivePolicy— Gibt eine Liste der Konten in der Organisation zurück, für die ungültige gültige Richtlinien eines bestimmten Typs gelten.

  • ListEffectivePolicyValidationErrors— Gibt eine Liste von Validierungsfehlern für ein bestimmtes Konto und einen bestimmten deklarativen Richtlinientyp zurück. Die Validierungsfehler enthalten Details, darunter den Fehlercode, die Fehlerbeschreibung und die Richtlinien, die dazu beigetragen haben, dass die aktuelle Richtlinie ungültig wurde.

Wann eine wirksame deklarative Richtlinie als ungültig angesehen werden könnte

Wirksame Richtlinien für ein Konto können ungültig werden, wenn sie gegen die für den jeweiligen Richtlinientyp definierten Einschränkungen verstoßen. Beispielsweise könnte bei einer Richtlinie ein erforderlicher Parameter in der endgültigen gültigen Richtlinie fehlen oder bestimmte für den Richtlinientyp definierte Kontingente überschritten werden.

AWS Organizations validiert wirksame Richtlinien, bevor sie auf die Konten in Ihrer Organisation angewendet werden. Dieser Prüfprozess ist besonders vorteilhaft, wenn Sie eine große Organisationsstruktur haben und wenn die Richtlinien Ihrer Organisation von mehr als einem Team verwaltet werden.

Beispiele für mögliche Fehler bei effektiven Richtlinien

  • ELEMENTS_TOO_MANY— Tritt auf, wenn ein bestimmtes Attribut in einer effektiven Richtlinie den zulässigen Grenzwert überschreitet, z. B. wenn mehr als 10 Regeln für einen Backup-Plan angegeben sind.

  • ELEMENTS_TOO_FEW— Tritt auf, wenn ein bestimmtes Attribut in einer effektiven Richtlinie den Mindestgrenzwert nicht erreicht, z. B. wenn keine Region für einen Backup-Plan definiert ist.

  • KEY_REQUIRED— Tritt auf, wenn eine erforderliche Konfiguration in der gültigen Richtlinie fehlt, z. B. wenn in einem Backup-Plan eine Backup-Regel fehlt.

Warnung

Wenn ein Konto in der Organisation über eine ungültige gültige Richtlinie verfügt, erhält dieses Konto keine effektiven Richtlinienaktualisierungen für den jeweiligen Richtlinientyp. Es wird mit der zuletzt angewendeten gültigen gültigen Richtlinie für das Konto fortgefahren, sofern nicht alle Fehler behoben wurden.

Validierungen nach Richtlinientyp

Backup-Richtlinie

Angenommen, Sie erstellen eine Backup-Richtlinie mit neun Backup-Regeln und fügen sie dem Stammverzeichnis Ihrer Organisation hinzu. Später erstellen Sie eine weitere Backup-Richtlinie für denselben Backup-Plan — mit zwei weiteren Regeln — und fügen sie einem beliebigen Konto in der Organisation hinzu. In diesem Fall liegt eine ungültige gültige Richtlinie für das Konto vor. Sie ist ungültig, da die Zusammenfassung der beiden Richtlinien 11 Regeln für den Backup-Plan definiert. Das Limit liegt bei 10 Backup-Regeln in einem Plan.

Tag-Richtlinie

Richtlinien, die nach Tag-Richtlinien wirksam sind, unterliegen den folgenden Validierungen:

  • Die effektive Größe der Tag-Richtlinie darf 395.000 Zeichen nicht überschreiten. Multi-byte Zeichen (z. B. auf Chinesisch, Japanisch oder Koreanisch) belegen mehr Speicherplatz und reduzieren diesen Grenzwert entsprechend. Wenn die Zusammenfassung aller geerbten und direkt angehängten Tag-Richtlinien auf Kontoebene zu einer effektiven Richtlinie mit mehr als 395.000 Zeichen führt, wird die effektive Richtlinie als ungültig betrachtet.

  • Die Anzahl der eindeutigen erforderlichen Tagschlüssel pro Ressourcentyp darf 50 nicht überschreiten. Angenommen, Sie fügen dem Stamm eine Tag-Richtlinie mit 30 erforderlichen Tag-Schlüsseln für EC2-Instances hinzu und fügen später einer OU eine weitere Tag-Richtlinie mit 25 verschiedenen erforderlichen Tag-Schlüsseln für EC2-Instances hinzu. In diesem Fall gibt es eine ungültige gültige Richtlinie für Konten in dieser Organisationseinheit. Sie ist ungültig, da die Aggregation der beiden Richtlinien 55 eindeutige erforderliche Tagschlüssel für einen einzelnen Ressourcentyp definiert. Das Limit liegt bei 50 eindeutigen erforderlichen Tagschlüsseln pro Ressourcentyp. Dieses Limit gilt sowohl für einzelne Tag-Richtlinien als auch für die aggregierte effektive Richtlinie.