Información sobre las alertas por políticas efectivas no válidas - AWS Organizations
Detección de políticas de administración efectivas no válidas en su organizaciónEn qué casos se considera una política de administración efectiva no válida

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Información sobre las alertas por políticas efectivas no válidas

Las alertas de políticas no válidas le permiten conocer las políticas en vigor no válidas y proporcionan mecanismos (APIs) para identificar las cuentas con políticas no válidas. AWS Organizations te notifica de forma asíncrona cuando una de tus cuentas tiene una política en vigor no válida. La notificación aparece como un banner en la página de la AWS Organizations consola y se registra como un evento. AWS CloudTrail

Detección de políticas de administración efectivas no válidas en su organización

Hay varias formas de ver las políticas de administración efectivas no válidas en su organización: desde la consola de AWS administración, la AWS API, la interfaz de línea de AWS comandos (CLI) o como un AWS CloudTrail evento.

Permisos mínimos

Para buscar la información relacionada con las políticas efectivas no válidas de un tipo de política de administración en su organización, primero debe tener el permiso para ejecutar las siguientes acciones:

  • organizations:ListAccountsWithInvalidEffectivePolicy

  • organizations:ListEffectivePolicyValidationErrors

  • organizations:ListRoots: solo se requiere cuando se utiliza la consola de Organizations

Consola de administración de AWS
Cómo consultar las políticas de administración efectivas no válidas desde la consola

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS, si su organización tiene políticas efectivas no válidas, aparecerá un banner de advertencia en la parte superior de la página.

  3. En el banner, haga clic en View detected issues (Ver problemas detectados) para consultar la lista de todas las cuentas de su organización que tienen políticas efectivas no válidas.

  4. Para cada cuenta de la lista, seleccione View issues (Ver problemas) para obtener más información sobre los errores de cada cuenta que se muestran en las secciones Effective policy issues (Problemas de las políticas efectivas) de esta página.

AWS CLI & AWS SDKs
Para ver la política en vigor de un tipo de política de administración de una cuenta

Los siguientes comandos permiten consultar las cuentas con políticas efectivas no válidas

Los siguientes comandos permiten consultar los errores de las política efectivas en una cuenta

AWS CloudTrail

Puede usar AWS CloudTrail los eventos para monitorear cuándo las cuentas de sus organizaciones tienen políticas de administración efectivas no válidas y cuándo las políticas son fijas. Para obtener más información, consulte Ejemplos de políticas eficaces en Descripción de las entradas de los archivos de AWS Organizations registro.

Si recibe una notificación de política en vigor no válida, puede navegar por la AWS Organizations consola o llamarla APIs desde su cuenta de administración o de administrador delegado para obtener más información sobre el estado de cuentas y políticas específicas:

  • ListAccountsWithInvalidEffectivePolicy: devuelve una lista de cuentas en la organización que tiene políticas efectivas inválidas de un tipo específico.

  • ListEffectivePolicyValidationErrors: devuelve una lista de errores de validación para un tipo de cuenta y política de administración específicos. Los errores de validación contienen detalles, como el código de error, la descripción del error y las políticas que contribuyeron a invalidar la política efectiva.

En qué casos se considera una política de administración efectiva no válida

Las políticas efectivas en una cuenta pueden dejar de ser válidas si infringen las restricciones definidas para el tipo de política en particular. Por ejemplo, es posible que a una política le falte un parámetro obligatorio en la política efectiva final o que supere determinadas cuotas definidas para el tipo de política.

Ejemplos de políticas de copia de seguridad

Supongamos que usted crea una política de copias de seguridad con nueve reglas de copias de seguridad y la asocia a la raíz de su organización. Posteriormente, crea otra política de copias de seguridad para el mismo plan de copias de seguridad (con dos reglas más) y la asocia a cualquier cuenta de la organización. En ese caso, habrá una política efectiva no válida en la cuenta. No es válida porque la agregación de las dos políticas define 11 reglas para el plan de copias de seguridad. El límite es de 10 reglas de copias de seguridad en un plan.

aviso

Si alguna cuenta de la organización tiene una política efectiva no válida, esa cuenta no recibirá las actualizaciones de la política efectiva para ese tipo de política en particular. Continúa con la última política válida efectiva aplicada a la cuenta, a menos que se solucionen todos los errores.

Ejemplos de posibles errores para las políticas efectivas

  • ELEMENTS_TOO_MANY: se produce cuando un atributo concreto de una política efectiva supera el límite permitido. Por ejemplo, cuando se especifican más de 10 reglas para un plan alternativo.

  • ELEMENTS_TOO_FEW: se produce cuando un atributo concreto de una política efectiva no alcanza el límite mínimo. Por ejemplo, cuando no se ha definido ninguna región para un plan de copias de seguridad.

  • KEY_REQUIRED: se produce cuando falta una configuración necesaria en la política efectiva. Por ejemplo, cuando un plan de copia de seguridad no incluye una regla de copia de seguridad.

AWS Organizations valida las políticas efectivas antes de aplicarlas a las cuentas de su organización. Este proceso de auditoría es especialmente útil si tiene una estructura organizativa grande y si las políticas de la organización las administran más de un equipo.