Sobre alertas de política efetivos inválidos - AWS Organizations
Detecte políticas de gerenciamento eficazes inválidas em sua organizaçãoQuando uma política de gerenciamento eficaz pode ser considerada inválida

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Sobre alertas de política efetivos inválidos

Os alertas de política inválidos informam sobre políticas efetivas inválidas e fornecem mecanismos (APIs) para identificar contas com políticas inválidas. AWS Organizations notifica você de forma assíncrona quando uma de suas contas tem uma política efetiva inválida. A notificação aparece como um banner na página do AWS Organizations console e é registrada como um AWS CloudTrail evento.

Detecte políticas de gerenciamento eficazes inválidas em sua organização

Há várias maneiras pelas quais você pode visualizar políticas de gerenciamento efetivas inválidas em sua organização: no AWS Management Console, na AWS API, na Interface de Linha de AWS Comando (CLI) ou como AWS CloudTrail um evento.

Permissões mínimas

Para encontrar as informações relacionadas a políticas efetivas inválidas de um tipo de política de gerenciamento em sua organização, você deve ter permissão para executar as seguintes ações:

  • organizations:ListAccountsWithInvalidEffectivePolicy

  • organizations:ListEffectivePolicyValidationErrors

  • organizations:ListRoots- necessário somente ao usar o console Organizations

AWS Management Console
Para visualizar políticas de gerenciamento efetivo inválidas no console

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na Contas da AWSpágina da página, se sua organização tiver políticas efetivas inválidas, um banner de aviso será exibido na parte superior da página.

  3. No banner, clique em Exibir problemas detectados para ver a lista de todas as contas em sua organização que têm políticas efetivas inválidas.

  4. Para cada conta na lista, selecione Exibir problemas para obter mais informações sobre os erros de cada conta mostrados nas seções Problemas de política efetiva desta página.

AWS CLI & AWS SDKs
Para ver a política em vigor de um tipo de política de gerenciamento para uma conta

Os comandos a seguir ajudam você a visualizar contas com políticas efetivas inválidas.

Os comandos a seguir ajudam você a visualizar erros de política efetivos em uma conta.

AWS CloudTrail

Você pode usar AWS CloudTrail eventos para monitorar quando as contas em suas organizações têm políticas de gerenciamento efetivas inválidas e quando as políticas são corrigidas. Para obter mais informações, consulte Exemplos de políticas eficazes em Entendendo as entradas do arquivo de AWS Organizations log.

Se você receber uma notificação de política efetiva inválida, poderá navegar pelo AWS Organizations console ou ligar para eles APIs da sua conta de gerenciamento ou de administrador delegado para obter mais detalhes sobre o status de contas e políticas específicas:

  • ListAccountsWithInvalidEffectivePolicy— Retorna uma lista de contas na organização que têm políticas efetivas inválidas de um tipo especificado.

  • ListEffectivePolicyValidationErrors— Retorna uma lista de erros de validação para um tipo específico de conta e política de gerenciamento. Os erros de validação contêm detalhes, incluindo o código do erro, a descrição do erro e as políticas de contribuição que tornaram a política efetiva inválida.

Quando uma política de gerenciamento eficaz pode ser considerada inválida

Políticas efetivas em uma conta podem se tornar inválidas se violarem as restrições definidas para o tipo específico de política. Por exemplo, uma política pode não ter um parâmetro obrigatório na política efetiva final ou exceder determinadas cotas definidas para o tipo de política.

Exemplo de políticas de backup

Suponha que você crie uma política de backup com nove regras de backup e a anexe à raiz da sua organização. Posteriormente, você cria outra política de backup para o mesmo plano de backup — com mais duas regras — e a anexa a qualquer conta na organização. Nessa situação, há uma política efetiva inválida na conta. É inválido porque a agregação das duas políticas define 11 regras para o plano de backup. O limite é de 10 regras de backup em um plano.

Atenção

Se alguma conta na organização tiver uma política efetiva inválida, essa conta não receberá atualizações de política efetivas para o tipo específico de política. Ela continua com a última política efetiva válida aplicada à conta, a menos que todos os erros sejam corrigidos.

Exemplos de possíveis erros para políticas eficazes

  • ELEMENTS_TOO_MANY— Ocorre quando um atributo específico em uma política efetiva excede o limite permitido, como quando mais de 10 regras são fornecidas para um plano de backup.

  • ELEMENTS_TOO_FEW— Ocorre quando um atributo específico em uma política efetiva não atinge o limite mínimo, como quando nenhuma região é definida para um plano de backup.

  • KEY_REQUIRED— ocorre quando falta uma configuração necessária na política efetiva, como quando falta uma regra de backup em um plano de backup.

AWS Organizations valida as políticas efetivas antes de aplicá-las às contas da sua organização. Esse processo de auditoria é especialmente benéfico se você tiver uma grande estrutura organizacional e se as políticas da sua organização forem gerenciadas por mais de uma equipe.