Sobre alertas de políticas efetivas inválidas - AWS Organizations
Detectar políticas de gerenciamento efetivas inválidas em sua organizaçãoQuando uma política de gerenciamento efetiva pode ser considerada inválida

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Sobre alertas de políticas efetivas inválidas

Os alertas de política inválidos informam sobre políticas efetivas inválidas e fornecem mecanismos (APIs) para identificar contas com políticas inválidas. AWS Organizations notifica você de forma assíncrona quando uma de suas contas tem uma política efetiva inválida. A notificação aparece como um banner na página do AWS Organizations console e é registrada como um AWS CloudTrail evento.

Detectar políticas de gerenciamento efetivas inválidas em sua organização

Há várias maneiras pelas quais você pode visualizar políticas de gerenciamento efetivas inválidas em sua organização: no AWS Management Console, na AWS API, na Interface de Linha de AWS Comando (CLI) ou como AWS CloudTrail um evento.

Permissões mínimas

Para encontrar informações relacionadas a políticas efetivas inválidas de um tipo de política de gerenciamento em sua organização, você precisa ter permissão para executar as seguintes ações:

  • organizations:ListAccountsWithInvalidEffectivePolicy

  • organizations:ListEffectivePolicyValidationErrors

  • organizations:ListRoots – necessária somente ao usar o console do Organizations

Console de gerenciamento da AWS
Visualizar políticas de gerenciamento efetivo inválidas no console

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.

  2. Na página Contas da AWS, se sua organização tiver políticas efetivas inválidas, um banner de aviso será exibido na parte superior da página.

  3. No banner, clique em Exibir problemas detectados para visualizar a lista de todas as contas em sua organização que têm políticas efetivas inválidas.

  4. Para cada conta na lista, selecione Exibir problemas para obter mais informações sobre os erros de cada conta mostrados nas seções Problemas de política efetiva desta página.

AWS CLI & AWS SDKs
Para ver a política em vigor de um tipo de política de gerenciamento para uma conta

Os comandos a seguir ajudam você a visualizar contas com políticas efetivas inválidas

Os comandos a seguir ajudam você a visualizar erros de política efetivos em uma conta

AWS CloudTrail

Você pode usar AWS CloudTrail eventos para monitorar quando as contas em suas organizações têm políticas de gerenciamento efetivas inválidas e quando as políticas são corrigidas. Para obter mais informações, consulte Exemplos de políticas eficazes em Entendendo as entradas do arquivo de AWS Organizations log.

Se você receber uma notificação de política efetiva inválida, poderá navegar pelo AWS Organizations console ou ligar para eles APIs da sua conta de gerenciamento ou de administrador delegado para obter mais detalhes sobre o status de contas e políticas específicas:

  • ListAccountsWithInvalidEffectivePolicy – retorna uma lista de contas na organização que possuem políticas efetivas inválidas de um tipo especificado.

  • ListEffectivePolicyValidationErrors – retorna uma lista de erros de validação para uma conta e um tipo de política de gerenciamento especificados. Os erros de validação contêm detalhes, incluindo o código do erro, a descrição do erro e as políticas de contribuição que tornaram a política efetiva inválida.

Quando uma política de gerenciamento efetiva pode ser considerada inválida

Políticas efetivas em uma conta podem se tornar inválidas se violarem as restrições definidas para o tipo específico de política. Por exemplo, uma política pode não ter um parâmetro obrigatório na política efetiva final ou exceder determinadas cotas definidas para o tipo de política.

Exemplo de políticas de backup

Suponha que você crie uma política de backup com nove regras de backup e a anexe à raiz da sua organização. Posteriormente, você cria outra política de backup para o mesmo plano de backup, com mais duas regras, e a anexa a qualquer conta na organização. Nessa situação, há uma política efetiva inválida na conta. Ela é inválida porque a agregação das duas políticas define 11 regras para o plano de backup. O limite é de 10 regras de backup em um plano.

Atenção

Se alguma conta na organização tiver uma política efetiva inválida, essa conta não receberá atualizações de política efetivas para o tipo específico de política. Ela continuará com a última política efetiva válida aplicada à conta, a menos que todos os erros sejam corrigidos.

Exemplos de possíveis erros para políticas efetivas

  • ELEMENTS_TOO_MANY – ocorre quando um atributo específico em uma política efetiva excede o limite permitido, como quando mais de 10 regras são fornecidas para um plano de backup.

  • ELEMENTS_TOO_FEW – ocorre quando um atributo específico em uma política efetiva não atinge o limite mínimo, como quando nenhuma região é definida para um plano de backup.

  • KEY_REQUIRED – ocorre quando falta uma configuração necessária na política efetiva, como quando falta uma regra de backup em um plano de backup.

AWS Organizations valida as políticas efetivas antes de aplicá-las às contas da sua organização. Esse processo de auditoria é especialmente benéfico se você tiver uma grande estrutura organizacional e se as políticas da sua organização forem gerenciadas por mais de uma equipe.