Acerca de las alertas de políticas efectivas no válidas - AWS Organizations
Detecte políticas de gestión efectivas no válidas en su organizaciónCuándo una política de administración efectiva puede considerarse inválida

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acerca de las alertas de políticas efectivas no válidas

Las alertas de políticas no válidas le permiten conocer las políticas en vigor no válidas y proporcionan mecanismos (APIs) para identificar las cuentas con políticas no válidas. AWS Organizations te notifica de forma asíncrona cuando una de tus cuentas tiene una política vigente no válida. La notificación aparece como un banner en la página de la AWS Organizations consola y se registra como un evento. AWS CloudTrail

Detecte políticas de gestión efectivas no válidas en su organización

Hay varias formas de ver las políticas de administración efectivas no válidas en su organización: desde la consola de AWS administración, la AWS API, la interfaz de línea de AWS comandos (CLI) o como un AWS CloudTrail evento.

Permisos mínimos

Para obtener información relacionada con las políticas efectivas no válidas de un tipo de política de administración en su organización, debe tener permiso para ejecutar las siguientes acciones:

  • organizations:ListAccountsWithInvalidEffectivePolicy

  • organizations:ListEffectivePolicyValidationErrors

  • organizations:ListRoots- necesario solo cuando se utiliza la consola Organizations

AWS Management Console
Para ver las políticas de administración efectivas no válidas desde la consola

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la Cuentas de AWSpágina de la página, si su organización tiene políticas en vigor no válidas, aparecerá un cartel de advertencia en la parte superior de la página.

  3. En el banner, haga clic en Ver los problemas detectados para ver la lista de todas las cuentas de su organización que tienen políticas vigentes no válidas.

  4. Para cada cuenta de la lista, selecciona Ver problemas para obtener más información sobre los errores de cada cuenta que se muestran en las secciones sobre cuestiones políticas efectivas de esta página.

AWS CLI & AWS SDKs
Para ver la política en vigor de un tipo de política de administración de una cuenta

Los siguientes comandos le ayudan a ver las cuentas con políticas vigentes no válidas

Los siguientes comandos le ayudan a ver los errores de política efectivos en una cuenta

AWS CloudTrail

Puede usar AWS CloudTrail los eventos para monitorear cuándo las cuentas de sus organizaciones tienen políticas de administración efectivas no válidas y cuándo las políticas son fijas. Para obtener más información, consulte Ejemplos de políticas eficaces en Descripción de las entradas de los archivos de AWS Organizations registro.

Si recibe una notificación de política en vigor no válida, puede navegar por la AWS Organizations consola o llamarla APIs desde su cuenta de administración o de administrador delegado para obtener más información sobre el estado de cuentas y políticas específicas:

  • ListAccountsWithInvalidEffectivePolicy— Devuelve una lista de las cuentas de la organización que tienen políticas en vigor no válidas de un tipo específico.

  • ListEffectivePolicyValidationErrors— Devuelve una lista de errores de validación para un tipo de cuenta y política de administración específicos. Los errores de validación contienen detalles, como el código de error, la descripción del error y las políticas que contribuyeron a invalidar la política vigente.

Cuándo una política de administración efectiva puede considerarse inválida

Las políticas vigentes en una cuenta pueden dejar de ser válidas si infringen las restricciones definidas para el tipo de política en particular. Por ejemplo, es posible que a una política le falte un parámetro obligatorio en la política efectiva final o que supere determinadas cuotas definidas para el tipo de política.

Ejemplos de políticas de copia de seguridad

Supongamos que crea una política de respaldo con nueve reglas de respaldo y la adjunta a la raíz de su organización. Más adelante, crea otra política de copias de seguridad para el mismo plan de copias de seguridad (con dos reglas más) y la adjunta a cualquier cuenta de la organización. En ese caso, hay una política vigente no válida en la cuenta. No es válida porque la agregación de las dos políticas define 11 reglas para el plan de respaldo. El límite es de 10 reglas de respaldo en un plan.

aviso

Si alguna cuenta de la organización tiene una política en vigor no válida, esa cuenta no recibirá las actualizaciones de la política en vigor para ese tipo de política en particular. Continúa con la última política válida en vigor aplicada a la cuenta, a menos que se corrijan todos los errores.

Ejemplos de posibles errores para que las políticas sean eficaces

  • ELEMENTS_TOO_MANY— Se produce cuando un atributo concreto de una política en vigor supera el límite permitido, por ejemplo, cuando se especifican más de 10 reglas para un plan alternativo.

  • ELEMENTS_TOO_FEW— Se produce cuando un atributo concreto de una política vigente no cumple con el límite mínimo, por ejemplo, cuando no se ha definido una región para un plan de respaldo.

  • KEY_REQUIRED— Se produce cuando falta una configuración requerida en la política vigente, por ejemplo, cuando un plan de respaldo no tiene una regla de respaldo.

AWS Organizations valida las políticas efectivas antes de aplicarlas a las cuentas de su organización. Este proceso de auditoría es especialmente beneficioso si tiene una estructura organizativa grande y si las políticas de la organización las gestiona más de un equipo.