À propos des alertes de politique efficaces non valides

Les alertes de politique non valides vous informent des politiques efficaces non valides et fournissent des mécanismes (APIs) pour identifier les comptes dont les politiques ne sont pas valides. AWS Organizations vous avertit de manière asynchrone lorsque la politique effective de l'un de vos comptes n'est pas valide. La notification apparaît sous forme de bannière sur la page de AWS Organizations console et est enregistrée en tant qu' AWS CloudTrail événement.

Détectez les politiques de gestion efficaces non valides dans votre organisation

Vous pouvez consulter les politiques de gestion efficaces non valides de votre organisation de plusieurs manières : depuis la console de AWS gestion, l' AWS API, l'interface de ligne de AWS commande (CLI) ou sous forme d' AWS CloudTrail événement.

Autorisations minimales

Pour trouver les informations relatives aux politiques efficaces non valides d'un type de stratégie de gestion dans votre organisation, vous devez être autorisé à exécuter les actions suivantes :

• organizations:ListAccountsWithInvalidEffectivePolicy

• organizations:ListEffectivePolicyValidationErrors

• organizations:ListRoots- obligatoire uniquement lors de l'utilisation de la console Organizations

AWS Management Console

Pour afficher les politiques de gestion efficaces non valides depuis la console

1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

2. Sur la Comptes AWSpage de page, si les politiques en vigueur de votre organisation ne sont pas valides, une bannière d'avertissement s'affiche en haut de la page.

3. Dans la bannière, cliquez sur Afficher les problèmes détectés pour afficher la liste de tous les comptes de votre organisation dont les politiques en vigueur ne sont pas valides.

4. Pour chaque compte de la liste, sélectionnez Afficher les problèmes pour obtenir plus d'informations sur les erreurs associées à chaque compte figurant dans les sections Problèmes de politique efficaces de cette page.

AWS CLI & AWS SDKs

Pour consulter la politique effective d'un type de politique de gestion pour un compte

Les commandes suivantes vous permettent d'afficher les comptes dont les politiques efficaces ne sont pas valides.

• AWS CLI: list-accounts-with-invalid-politique efficace

• AWS SDKs: ListAccountsWithInvalidEffectivePolicy

Les commandes suivantes vous aident à visualiser les erreurs de politique effectives sur un compte.

• AWS CLI: list-effective-policy-validation-erreurs

• AWS SDKs: ListEffectivePolicyValidationErrors

AWS CloudTrail

Vous pouvez utiliser les AWS CloudTrail événements pour surveiller les cas où les comptes de votre organisation sont dotés de politiques de gestion efficaces non valides et lorsque ces politiques sont corrigées. Pour plus d'informations, consultez la section Exemples de politiques efficaces dans Comprendre les entrées des fichiers AWS Organizations journaux.

Si vous recevez une notification de politique effective non valide, vous pouvez naviguer dans la AWS Organizations console ou les appeler APIs depuis votre compte de gestion ou d'administrateur délégué pour obtenir plus de détails sur le statut de comptes et de politiques spécifiques :

• ListAccountsWithInvalidEffectivePolicy— Renvoie une liste des comptes de l'organisation dont les politiques effectives d'un type spécifié ne sont pas valides.

• ListEffectivePolicyValidationErrors— Renvoie la liste des erreurs de validation pour un compte et un type de politique de gestion spécifiés. Les erreurs de validation contiennent des détails, notamment le code d'erreur, la description de l'erreur et les politiques contributives qui ont rendu la politique effective invalide.

Quand une politique de gestion efficace peut être considérée comme non valide

Les politiques efficaces d'un compte peuvent devenir invalides si elles enfreignent les contraintes définies pour le type de politique en question. Par exemple, il se peut qu'il manque un paramètre obligatoire dans la politique effective finale ou qu'il dépasse certains quotas définis pour le type de stratégie.

Exemple de politique de sauvegarde

Supposons que vous créiez une politique de sauvegarde comportant neuf règles de sauvegarde et que vous l'associiez à la racine de votre organisation. Plus tard, vous créez une autre politique de sauvegarde pour le même plan de sauvegarde (avec deux règles supplémentaires) et vous l'associez à n'importe quel compte de l'organisation. Dans ce cas, il existe une politique en vigueur non valide sur le compte. Elle n'est pas valide car l'agrégation des deux politiques définit 11 règles pour le plan de sauvegarde. La limite est de 10 règles de sauvegarde par plan.

Avertissement

Si un compte de l'organisation possède une politique effective non valide, ce compte ne recevra pas de mises à jour de politique effectives pour le type de politique en question. Elle se poursuit avec la dernière politique valide appliquée pour le compte, sauf si toutes les erreurs sont corrigées.

Exemples d'erreurs possibles pour des politiques efficaces

• ELEMENTS_TOO_MANY— Se produit lorsqu'un attribut spécifique d'une politique effective dépasse la limite autorisée, par exemple lorsque plus de 10 règles sont définies pour un plan de sauvegarde.

• ELEMENTS_TOO_FEW— Se produit lorsqu'un attribut particulier d'une politique efficace n'atteint pas la limite minimale, par exemple lorsqu'aucune région n'est définie pour un plan de sauvegarde.

• KEY_REQUIRED— Se produit lorsqu'une configuration requise est absente de la politique effective, par exemple lorsqu'une règle de sauvegarde est absente d'un plan de sauvegarde.

AWS Organizations valide les politiques efficaces avant de les appliquer aux comptes de votre organisation. Ce processus d'audit est particulièrement utile si votre structure organisationnelle est importante et si les politiques de votre organisation sont gérées par plusieurs équipes.