組織内の無効な有効な管理ポリシーを検出する有効な管理ポリシーが無効と見なされる可能性がある場合

無効な有効なポリシーアラートについて

無効なポリシーアラートは、無効な有効なポリシーについて知らせ、無効なポリシーを持つアカウントを識別するメカニズム (APIs) を提供します。いずれかのアカウントに無効な有効なポリシーがある場合、は非同期的に AWS Organizations 通知します。通知は AWS Organizations コンソールページにバナーとして表示され、イベントとして AWS CloudTrail 記録されます。

組織内の無効な有効な管理ポリシーを検出する

組織内の無効な有効な管理ポリシーを表示するには、 AWS マネジメントコンソール、 AWS API、 AWS コマンドラインインターフェイス (CLI)、または AWS CloudTrail イベントとして、いくつかの方法があります。

最小アクセス許可

組織内の管理ポリシータイプの無効な有効なポリシーに関連する情報を検索するには、次のアクションを実行するアクセス許可が必要です。

organizations:ListAccountsWithInvalidEffectivePolicy
organizations:ListEffectivePolicyValidationErrors
organizations:ListRoots - Organizations コンソールを使用する場合にのみ必要です

AWS Management Console

コンソールから無効な有効な管理ポリシーを表示するには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー (非推奨) としてサインインする必要があります。
AWS アカウント ページでは、組織に無効な有効なポリシーがある場合、ページの上部に警告バナーが表示されます。
バナーで、検出された問題を表示をクリックして、無効な有効なポリシーを持つ組織内のすべてのアカウントのリストを表示します。
リスト内の各アカウントについて、「問題の表示」を選択して、このページの「有効なポリシーの問題」セクションに示されている各アカウントのエラーに関する詳細情報を取得します。

AWS CLI & AWS SDKs

アカウントの管理ポリシータイプの有効なポリシーを表示するには

次のコマンドは、無効な有効なポリシーを持つアカウントを表示するのに役立ちます。

AWS CLI: list-accounts-with-invalid-effective-policy
AWS SDKs: ListAccountsWithInvalidEffectivePolicy

次のコマンドは、アカウントで有効なポリシーエラーを表示するのに役立ちます。

AWS CLI: list-effective-policy-validation-errors
AWS SDKs: ListEffectivePolicyValidationErrors

AWS CloudTrail

AWS CloudTrail イベントを使用して、組織内のアカウントに無効な有効な管理ポリシーがあるかどうか、およびポリシーが修正されたかどうかをモニタリングできます。詳細については、AWS Organizations 「ログファイルエントリを理解する」の「有効なポリシーの例」を参照してください。

無効な有効なポリシー通知を受け取った場合は、 AWS Organizations コンソールを操作するか、管理アカウントまたは委任管理者アカウントからこれらの APIs を呼び出して、特定のアカウントとポリシーのステータスに関する詳細を確認できます。

ListAccountsWithInvalidEffectivePolicy – 指定されたタイプの無効な有効なポリシーを持つ組織内のアカウントのリストを返します。
ListEffectivePolicyValidationErrors – 指定されたアカウントと管理ポリシータイプの検証エラーのリストを返します。検証エラーには、エラーコード、エラーの説明、有効なポリシーを無効にした寄与ポリシーなどの詳細が含まれます。

有効な管理ポリシーが無効と見なされる可能性がある場合

アカウントの有効なポリシーは、特定のポリシータイプに定義されている制約に違反すると無効になる可能性があります。たとえば、ポリシーが最終的な有効なポリシーで必須パラメータを欠落しているか、ポリシータイプに定義されている特定のクォータを超えている可能性があります。

バックアップポリシーの例

9 つのバックアップルールを使用してバックアップポリシーを作成し、組織のルートにアタッチするとします。後で、同じバックアッププランに 2 つのルールを追加して別のバックアップポリシーを作成し、組織内の任意のアカウントにアタッチします。この場合、アカウントには無効な有効なポリシーがあります。2 つのポリシーの集約は、バックアッププランの 11 個のルールを定義するため、無効です。プラン内のバックアップルールの上限は 10 です。

警告

組織内のいずれかのアカウントに無効な有効なポリシーがある場合、そのアカウントは特定のポリシータイプの有効なポリシー更新を受信しません。すべてのエラーが修正されない限り、アカウントに対して最後に適用された有効な有効なポリシーが続きます。

有効なポリシーで発生する可能性のあるエラーの例

ELEMENTS_TOO_MANY – 有効なポリシー内の特定の属性が、バックアッププランに 10 を超えるルールが指定されているなど、許可された制限を超えた場合に発生します。
ELEMENTS_TOO_FEW – バックアッププランにリージョンが定義されていない場合など、有効なポリシー内の特定の属性が最小制限を満たさない場合に発生します。
KEY_REQUIRED – バックアッププランにバックアップルールがない場合など、有効なポリシーに必要な設定がない場合に発生します。

AWS Organizations は、有効なポリシーを検証してから、組織内のアカウントに適用します。この監査プロセスは、組織構造が大きく、組織のポリシーが複数のチームによって管理されている場合に特に役立ちます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

有効なポリシーの表示

宣言ポリシー