準備状況評価機能の使用小規模から始めてスケールアップするレビュープロセスを確立する DescribeEffectivePolicy を使用して変更を検証するコミュニケーションとトレーニング

宣言型ポリシー使用のベストプラクティス

AWS では、宣言型ポリシーを使用する際に次のベストプラクティスを推奨しています。

準備状況評価機能の使用

宣言型ポリシーのアカウントステータスレポートを使用して、対象範囲内のアカウントの宣言型ポリシーでサポートされているすべての属性の現在のステータスを評価できます。レポート対象に含めるアカウントや組織単位 (OU) を選択したり、ルートを選択して組織全体を選択したりできます。

このレポートは、リージョンの内訳と、属性の現在の状態がアカウント間で統一されている (numberOfMatchedAccounts 経由) か、一貫性がない (numberOfUnmatchedAccounts 経由) かを示すため、準備状況を評価するのに役立ちます。また、最も頻繁にみられる値を表示することもできます。これは、その属性で最も頻繁に観測される設定値を指します。

ベースライン設定の適用のために宣言型ポリシーをアタッチするかどうかの選択は、ユースケースに応じて異なります。

詳細と具体的な例については、「宣言型ポリシーのアカウントステータスレポート」を参照してください。

小規模から始めてスケールアップする

デバッグを簡素化するために、テストポリシーから始めます。次の変更を行う前に、各変更の動作と影響を検証します。こうすることで、エラーや予期しない結果が発生した場合に確認を要する変数を少数に抑えることができます。

たとえば、重要でないテスト環境の単一のアカウントにアタッチされたテストポリシーから始めるとよいでしょう。仕様どおりに動作することを確認したら、ポリシーの対象の組織構造を一段階ずつ上げていき、段階的に多くのアカウントと組織単位 (OU) を含めるようにします。

レビュープロセスを確立する

新しい宣言型属性をモニタリングして、ポリシーの例外を評価し、組織のセキュリティと運用要件との整合性を維持するために調整するためのレビュープロセスを実装します。

`DescribeEffectivePolicy` を使用して変更を検証する

宣言型ポリシーを変更した後、変更を行ったレベルより下位の代表的アカウントの有効なポリシーを確認します。有効なポリシーを表示するには、AWS マネジメントコンソールを使用するか、DescribeEffectivePolicy API オペレーションを行うか、または AWS CLI や AWS の SDK バリアントのいずれかを使用します。加えた変更が、有効なポリシーに意図した影響を与えていることを確認します。

コミュニケーションとトレーニング

組織が宣言型ポリシーの目的と影響を理解していることを確認します。期待される動作と、ポリシーを適用することによる障害に対処する方法について、明確なガイダンスを提供します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

開始方法

アカウントステータスレポートを生成する