組織内の無効な有効管理ポリシーを検出する有効な管理ポリシーが無効と見なされる可能性がある場合

無効な有効ポリシーアラートについて

無効なポリシーアラートは、無効な有効なポリシーについて知らせ、無効なポリシーを持つアカウントを識別するためのメカニズム (APIs) を提供します。いずれかのアカウントに無効な有効なポリシーがある場合、は非同期的に AWS Organizations 通知します。通知は AWS Organizations コンソールページにバナーとして表示され、イベントとして AWS CloudTrail 記録されます。

組織内の無効な有効管理ポリシーを検出する

組織内の無効な有効な管理ポリシーを表示するには、 AWS マネジメントコンソール、 AWS API、 AWS コマンドラインインターフェイス (CLI)、または AWS CloudTrail イベントとして、いくつかの方法があります。

最小アクセス許可

組織内の管理ポリシータイプの無効な有効ポリシーに関連する情報を検索するには、次のアクションを実行するアクセス許可が必要です。

organizations:ListAccountsWithInvalidEffectivePolicy
organizations:ListEffectivePolicyValidationErrors
organizations:ListRoots – Organizations コンソールを使用する場合にのみ必要

AWS マネジメントコンソール

コンソールから無効な有効管理ポリシーを表示するには

AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー (非推奨) としてサインインする必要があります。
AWS アカウント ページでは、組織に無効な有効ポリシーがある場合、ページの上部に警告バナーが表示されます。
バナーで、[検出された問題を表示] をクリックして、無効な有効ポリシーを持つ組織内のすべてのアカウントのリストを表示します。
リスト内の各アカウントについて、[問題の表示] を選択して、このページの [有効なポリシーの問題] セクションに示されている各アカウントのエラーに関する詳細情報を取得します。

AWS CLI & AWS SDKs

アカウントの管理ポリシータイプの有効なポリシーを表示するには

以下のコマンドは、無効な有効ポリシーを持つアカウントを表示するのに役立ちます。

AWS CLI: list-accounts-with-invalid-effective-policy
AWS SDKs: ListAccountsWithInvalidEffectivePolicy

次のコマンドは、アカウントで有効なポリシーエラーを表示するのに役立ちます。

AWS CLI: list-effective-policy-validation-errors
AWS SDKs: ListEffectivePolicyValidationErrors

AWS CloudTrail

AWS CloudTrail イベントを使用して、組織内のアカウントに無効な有効な管理ポリシーがあるかどうか、およびポリシーが修正されたかどうかをモニタリングできます。詳細については、AWS Organizations 「ログファイルエントリを理解する」の「有効なポリシーの例」を参照してください。

無効な有効なポリシー通知を受け取った場合は、 AWS Organizations コンソールを操作するか、管理アカウントまたは委任管理者アカウントからこれらの APIs を呼び出して、特定のアカウントとポリシーのステータスに関する詳細を確認できます。

ListAccountsWithInvalidEffectivePolicy – 指定されたタイプの無効な有効ポリシーを持つ組織内のアカウントのリストを返します。
ListEffectivePolicyValidationErrors – 指定されたアカウントと管理ポリシータイプの検証エラーのリストを返します。検証エラーには、エラーコード、エラーの説明、有効なポリシーを無効にした寄与ポリシーなどの詳細が含まれます。

有効な管理ポリシーが無効と見なされる可能性がある場合

アカウントの有効なポリシーは、特定のポリシータイプに定義された制約に違反すると無効になる可能性があります。例えば、ポリシーが最終的な有効なポリシーで必須パラメータを欠落しているか、ポリシータイプに定義されている特定のクォータを超えている可能性があります。

バックアップポリシーの例

9 つのバックアップルールを使用してバックアップポリシーを作成し、組織のルートにアタッチするとします。後で、同じバックアッププランに 2 つのルールを追加して別のバックアップポリシーを作成し、組織内の任意のアカウントにアタッチします。この場合、アカウントには無効な有効ポリシーがあります。2 つのポリシーの集約により、バックアッププランに 11 のルールが定義されるため、無効です。プラン内のバックアップルールの上限は 10 です。

警告

組織内のいずれかのアカウントに無効な有効ポリシーがある場合、そのアカウントは特定のポリシータイプの有効なポリシー更新を受信しません。すべてのエラーが修正されない限り、アカウントに対して最後に適用された有効な有効ポリシーが続きます。

有効なポリシーで発生する可能性のあるエラーの例

ELEMENTS_TOO_MANY – バックアッププランに 10 を超えるルールが指定されているなど、有効なポリシー内の特定の属性が許可された制限を超えた場合に発生します。
ELEMENTS_TOO_FEW – バックアッププランにリージョンが定義されていない場合など、有効なポリシー内の特定の属性が最小制限を満たさない場合に発生します。
KEY_REQUIRED – バックアッププランにバックアップルールがない場合など、有効なポリシーに必要な設定がない場合に発生します。

AWS Organizations は、有効なポリシーを検証してから、組織内のアカウントに適用します。この監査プロセスは、組織構造が大きい、または組織のポリシーが複数のチームによって管理されているなどの場合に特に役立ちます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

有効なポリシーの表示

宣言ポリシー