

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Tentang peringatan kebijakan efektif yang tidak valid
<a name="invalid-policy-alerts"></a>

*Peringatan kebijakan yang tidak valid* memberi tahu Anda tentang kebijakan efektif yang tidak valid dan menyediakan mekanisme (API) untuk mengidentifikasi akun dengan kebijakan yang tidak valid. AWS Organizations memberi tahu Anda secara asinkron ketika salah satu akun Anda memiliki kebijakan efektif yang tidak valid. Pemberitahuan muncul sebagai spanduk di halaman AWS Organizations konsol, dan direkam sebagai AWS CloudTrail acara.

## Mendeteksi kebijakan deklaratif efektif yang tidak valid di organisasi Anda
<a name="detect-invalid-policies"></a>

Ada beberapa cara agar Anda dapat melihat kebijakan deklaratif efektif yang tidak valid di organisasi Anda: dari AWS Management Console, AWS API, AWS Command Line Interface (CLI), atau sebagai acara. AWS CloudTrail 

**Izin minimum**  
 Untuk menemukan informasi yang terkait dengan kebijakan efektif yang tidak valid dari jenis kebijakan deklaratif di organisasi Anda, Anda harus memiliki izin untuk menjalankan tindakan berikut:  
`organizations:ListAccountsWithInvalidEffectivePolicy`
`organizations:ListEffectivePolicyValidationErrors`
`organizations:ListRoots`- diperlukan hanya saat menggunakan konsol Organizations

------
#### [ Konsol Manajemen AWS ]

**Untuk melihat kebijakan deklaratif efektif yang tidak valid dari konsol**

1. Masuk ke [konsol AWS Organizations](https://console.aws.amazon.com/organizations/v2). Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root ([tidak direkomendasikan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) di akun pengelolaan organisasi.

1. Pada **[Akun AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**halaman halaman, jika organisasi Anda memiliki kebijakan efektif yang tidak valid, spanduk peringatan akan ditampilkan di bagian atas halaman.

1. Di spanduk, klik **Lihat masalah yang terdeteksi** untuk melihat daftar semua akun di organisasi Anda yang memiliki kebijakan efektif tidak valid.

1. Untuk setiap akun dalam daftar, pilih **Lihat masalah** untuk mendapatkan informasi selengkapnya tentang kesalahan untuk setiap akun yang ditampilkan di bagian **Masalah kebijakan efektif** di halaman ini.

------
#### [ AWS CLI & AWS SDKs ]

**Untuk melihat kebijakan efektif dari jenis kebijakan deklaratif untuk akun**  
Perintah berikut membantu Anda melihat akun dengan kebijakan efektif yang tidak valid
+ AWS CLI: [daftar-akun-dengan-kebijakan efektif-tidak](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts-with-invalid-effective-policy.html) valid
+ AWS SDK: [ListAccountsWithInvalidEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccountsWithInvalidEffectivePolicy.html) 

**Perintah berikut membantu Anda melihat kesalahan kebijakan yang efektif pada akun**
+ AWS CLI: [daftar-efektif-kebijakan-validasi-kesalahan](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-effective-policy-validation-errors.html)
+ AWS SDK: [ListEffectivePolicyValidationErrors](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListEffectivePolicyValidationErrors.html) 

------

**AWS CloudTrail**

Anda dapat menggunakan AWS CloudTrail peristiwa untuk memantau kapan akun di organisasi Anda memiliki kebijakan deklaratif efektif yang tidak valid dan saat kebijakan diperbaiki. Untuk informasi selengkapnya, lihat *Contoh kebijakan yang efektif* di [Memahami entri file AWS Organizations log](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_cloudtrail-integration.html#understanding-service-name-entries).

Jika menerima pemberitahuan kebijakan efektif yang tidak valid, Anda dapat menavigasi melalui AWS Organizations konsol atau memanggil API ini dari akun administrator manajemen atau yang didelegasikan untuk menemukan detail selengkapnya tentang status akun dan kebijakan tertentu:
+  `ListAccountsWithInvalidEffectivePolicy`— Mengembalikan daftar akun di organisasi yang memiliki kebijakan efektif yang tidak valid dari jenis tertentu.
+ `ListEffectivePolicyValidationErrors`— Mengembalikan daftar kesalahan validasi untuk akun tertentu dan jenis kebijakan deklaratif. Kesalahan validasi berisi detail, termasuk kode kesalahan, deskripsi kesalahan, dan kebijakan kontribusi yang membuat kebijakan efektif tidak valid.

## Ketika kebijakan deklaratif yang efektif dapat dianggap tidak valid
<a name="effective-policy-invalid"></a>

Kebijakan yang efektif pada akun dapat menjadi tidak valid jika melanggar batasan yang ditentukan untuk jenis kebijakan tertentu. Misalnya, kebijakan mungkin kehilangan parameter wajib dalam kebijakan efektif akhir atau melebihi kuota tertentu yang ditentukan untuk jenis kebijakan.

AWS Organizations memvalidasi kebijakan yang efektif sebelum menerapkannya ke akun di organisasi Anda. Proses audit ini sangat bermanfaat jika Anda memiliki struktur organisasi yang besar, dan jika kebijakan organisasi Anda dikelola oleh lebih dari satu tim.

**Contoh kemungkinan kesalahan untuk kebijakan yang efektif**
+ `ELEMENTS_TOO_MANY`Terjadi ketika atribut tertentu dalam kebijakan efektif melebihi batas yang diizinkan, seperti ketika lebih dari 10 aturan diberikan untuk rencana cadangan.
+ `ELEMENTS_TOO_FEW`Terjadi ketika atribut tertentu dalam kebijakan yang efektif tidak memenuhi batas minimum, seperti ketika tidak ada wilayah yang ditentukan untuk rencana cadangan.
+ `KEY_REQUIRED`— Terjadi ketika konfigurasi yang diperlukan tidak ada dalam kebijakan yang efektif, seperti ketika rencana cadangan tidak ada aturan cadangan.

**Awas**  
Jika ada akun dalam organisasi yang memiliki kebijakan efektif yang tidak valid, akun tersebut tidak akan menerima pembaruan kebijakan yang efektif untuk jenis kebijakan tertentu. Ini berlanjut dengan kebijakan efektif valid terakhir yang diterapkan untuk akun, kecuali semua kesalahan diperbaiki.

## Validasi berdasarkan jenis kebijakan
<a name="validations-by-policy-type"></a>

**Kebijakan Backup**

Misalkan Anda membuat kebijakan cadangan dengan sembilan aturan cadangan dan melampirkannya ke root organisasi Anda. Kemudian, Anda membuat kebijakan cadangan lain untuk paket cadangan yang sama — dengan dua aturan lagi — dan melampirkannya ke akun mana pun di organisasi. Dalam situasi itu, ada kebijakan efektif yang tidak valid di akun tersebut. Ini tidak valid karena agregasi kedua kebijakan mendefinisikan 11 aturan untuk rencana cadangan. Batasnya adalah 10 aturan cadangan dalam satu rencana.

**Kebijakan tag**

Kebijakan efektif tag tunduk pada validasi berikut:
+ Ukuran kebijakan tag efektif tidak boleh melebihi 395.000 karakter. Multi-byte karakter (seperti dalam bahasa Mandarin, Jepang, atau Korea) mengkonsumsi lebih banyak ruang dan akan mengurangi batas ini. Jika agregasi semua kebijakan tag yang diwariskan dan dilampirkan langsung pada tingkat akun menghasilkan kebijakan efektif yang lebih besar dari 395.000 karakter, kebijakan efektif dianggap tidak valid.
+ Jumlah kunci tag unik yang diperlukan per jenis sumber daya tidak boleh melebihi 50. Misalkan Anda melampirkan kebijakan tag dengan 30 kunci tag yang diperlukan untuk instance EC2 ke root, dan kemudian melampirkan kebijakan tag lain dengan 25 kunci tag wajib yang berbeda untuk instance EC2 ke OU. Dalam situasi itu, ada kebijakan efektif yang tidak valid pada akun di OU tersebut. Ini tidak valid karena agregasi kedua kebijakan mendefinisikan 55 kunci tag unik yang diperlukan untuk satu jenis sumber daya. Batasnya adalah 50 kunci tag unik yang diperlukan per jenis sumber daya. Batas ini divalidasi baik pada kebijakan tag individual maupun pada kebijakan efektif agregat.