关于无效的有效策略警报 - AWS Organizations
检测组织中无效的有效管理策略何时可认为有效管理策略无效

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

关于无效的有效策略警报

无效的策略警报会让您知道无效的有效策略,并提供机制 (APIs) 来识别具有无效策略的账户。 AWS Organizations 当您的一个账户的有效策略无效时,会异步通知您。通知以横幅形式显示在 AWS Organizations 控制台页面中,并记录为 AWS CloudTrail 事件。

检测组织中无效的有效管理策略

您可以通过多种方式查看组织中无效的有效管理策略:从 AWS 管理控制台、 AWS API、 AWS 命令行界面 (CLI) 或以 AWS CloudTrail 事件的形式查看。

最小权限

要查找组织中与管理策略类型无效的有效策略相关的信息,您必须具有执行以下操作的权限:

  • organizations:ListAccountsWithInvalidEffectivePolicy

  • organizations:ListEffectivePolicyValidationErrors

  • organizations:ListRoots:仅当使用 Organizations 控制台时才需要

AWS 管理控制台
从控制台查看无效的有效管理策略

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AWS 账户 页面上,如果组织有无效的有效策略,则会在页面顶部显示警告横幅。

  3. 在横幅中,点击查看检测到的问题,可查看组织中具有无效的有效策略的所有账户的列表。

  4. 对于列表中的每个账户,选择查看问题,获取有关本页有效策略问题部分下显示的每个账户错误的更多信息。

AWS CLI & AWS SDKs
查看账户的管理策略类型的有效策略

以下命令可帮助您查看具有无效的有效策略的账户

以下命令可帮助您查看有关账户的有效策略错误

AWS CloudTrail

您可以使用 AWS CloudTrail 事件来监控组织中的账户何时有无效的有效管理策略以及策略何时修复。有关更多信息,请参阅了解 AWS Organizations 日志文件条目中的有效策略示例

如果您收到无效的有效策略通知,则可以浏览 AWS Organizations 控制台或 APIs 从您的管理或委托管理员账户拨打控制台,以了解有关特定账户和策略状态的更多详细信息:

  • ListAccountsWithInvalidEffectivePolicy:返回组织中具有指定类型无效的有效策略的账户列表。

  • ListEffectivePolicyValidationErrors:返回指定账户和管理策略类型的验证错误列表。验证错误包含详细信息,包括导致有效策略无效的错误代码、错误描述和贡献策略。

何时可认为有效管理策略无效

如果账户的有效策略违反了为特定策略类型定义的限制,则这些策略可能会失效。例如,某个策略可能在最终有效策略中缺少所需参数,或者超过了为该策略类型定义的特定配额。

备份策略示例

假设您创建了一个包含九条备份规则的备份策略,并将其附加到组织的根目录。稍后,您为同一个备份计划创建了另一个备份策略(有两条额外规则),然后将其附加到组织中的任何账户。在这种情况下,该账户具有无效的有效策略。该策略之所以无效,是因为这两个策略的聚合为备份计划定义了 11 条规则。一个计划中的备份规则数量限制为 10 条。

警告

如果组织中的任何账户具有无效的有效策略,则该账户将无法收到针对特定策略类型的有效政策更新。除非所有错误都已修复,否则它将继续使用该账户上次应用的有效的有效策略。

有效策略可能出现的错误示例

  • ELEMENTS_TOO_MANY:当有效策略中的特定属性超过允许的限制时发生,例如为备份计划提供的规则超过 10 条时。

  • ELEMENTS_TOO_FEW:当有效策略中的特定属性未达到最低限制时发生,例如没有为备份计划定义区域时。

  • KEY_REQUIRED:当有效策略中缺少所需配置时发生,例如备份计划缺少备份规则时。

AWS Organizations 在将有效策略应用于组织中的账户之前,先对其进行验证。如果您的组织结构庞大,并且组织的策略由多个团队管理,则此审计过程尤其有用。