Tentang peringatan kebijakan efektif yang tidak valid - AWS Organizations
Mendeteksi kebijakan manajemen efektif yang tidak valid di organisasi AndaKetika kebijakan manajemen yang efektif dapat dianggap tidak valid

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tentang peringatan kebijakan efektif yang tidak valid

Peringatan kebijakan yang tidak valid memberi tahu Anda tentang kebijakan efektif yang tidak valid dan menyediakan mekanisme (APIs) untuk mengidentifikasi akun dengan kebijakan yang tidak valid. AWS Organizations memberi tahu Anda secara asinkron ketika salah satu akun Anda memiliki kebijakan efektif yang tidak valid. Pemberitahuan muncul sebagai spanduk di halaman AWS Organizations konsol, dan direkam sebagai AWS CloudTrail acara.

Mendeteksi kebijakan manajemen efektif yang tidak valid di organisasi Anda

Ada beberapa cara untuk melihat kebijakan manajemen efektif yang tidak valid di organisasi Anda: dari AWS Management Console, AWS API, AWS Command Line Interface (CLI), atau sebagai acara. AWS CloudTrail

Izin minimum

Untuk menemukan informasi yang terkait dengan kebijakan efektif yang tidak valid dari jenis kebijakan manajemen di organisasi Anda, Anda harus memiliki izin untuk menjalankan tindakan berikut:

  • organizations:ListAccountsWithInvalidEffectivePolicy

  • organizations:ListEffectivePolicyValidationErrors

  • organizations:ListRoots- diperlukan hanya saat menggunakan konsol Organizations

AWS Management Console
Untuk melihat kebijakan manajemen efektif yang tidak valid dari konsol

  1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root (tidak direkomendasikan) di akun pengelolaan organisasi.

  2. Pada Akun AWShalaman halaman, jika organisasi Anda memiliki kebijakan efektif yang tidak valid, spanduk peringatan akan ditampilkan di bagian atas halaman.

  3. Di spanduk, klik Lihat masalah yang terdeteksi untuk melihat daftar semua akun di organisasi Anda yang memiliki kebijakan efektif tidak valid.

  4. Untuk setiap akun dalam daftar, pilih Lihat masalah untuk mendapatkan informasi selengkapnya tentang kesalahan untuk setiap akun yang ditampilkan di bagian Masalah kebijakan efektif di halaman ini.

AWS CLI & AWS SDKs
Untuk melihat kebijakan efektif dari jenis kebijakan manajemen untuk akun

Perintah berikut membantu Anda melihat akun dengan kebijakan efektif yang tidak valid

Perintah berikut membantu Anda melihat kesalahan kebijakan yang efektif pada akun

AWS CloudTrail

Anda dapat menggunakan AWS CloudTrail acara untuk memantau kapan akun di organisasi Anda memiliki kebijakan manajemen efektif yang tidak valid dan kapan kebijakan tersebut diperbaiki. Untuk informasi selengkapnya, lihat Contoh kebijakan yang efektif di Memahami entri file AWS Organizations log.

Jika Anda menerima pemberitahuan kebijakan efektif yang tidak valid, Anda dapat menavigasi melalui AWS Organizations konsol atau menelepon ini APIs dari akun manajemen atau administrator yang didelegasikan untuk menemukan detail selengkapnya tentang status akun dan kebijakan tertentu:

  • ListAccountsWithInvalidEffectivePolicy— Mengembalikan daftar akun di organisasi yang memiliki kebijakan efektif yang tidak valid dari jenis tertentu.

  • ListEffectivePolicyValidationErrors— Mengembalikan daftar kesalahan validasi untuk akun tertentu dan jenis kebijakan manajemen. Kesalahan validasi berisi detail, termasuk kode kesalahan, deskripsi kesalahan, dan kebijakan kontribusi yang membuat kebijakan efektif tidak valid.

Ketika kebijakan manajemen yang efektif dapat dianggap tidak valid

Kebijakan yang efektif pada akun dapat menjadi tidak valid jika melanggar batasan yang ditentukan untuk jenis kebijakan tertentu. Misalnya, kebijakan mungkin kehilangan parameter wajib dalam kebijakan efektif akhir atau melebihi kuota tertentu yang ditentukan untuk jenis kebijakan.

Contoh kebijakan Backup

Misalkan Anda membuat kebijakan cadangan dengan sembilan aturan cadangan dan melampirkannya ke root organisasi Anda. Kemudian, Anda membuat kebijakan cadangan lain untuk paket cadangan yang sama — dengan dua aturan lagi — dan melampirkannya ke akun mana pun di organisasi. Dalam situasi itu, ada kebijakan efektif yang tidak valid di akun tersebut. Ini tidak valid karena agregasi kedua kebijakan mendefinisikan 11 aturan untuk rencana cadangan. Batasnya adalah 10 aturan cadangan dalam satu rencana.

Awas

Jika ada akun dalam organisasi yang memiliki kebijakan efektif yang tidak valid, akun tersebut tidak akan menerima pembaruan kebijakan yang efektif untuk jenis kebijakan tertentu. Ini berlanjut dengan kebijakan efektif valid terakhir yang diterapkan untuk akun, kecuali semua kesalahan diperbaiki.

Contoh kemungkinan kesalahan untuk kebijakan yang efektif

  • ELEMENTS_TOO_MANYTerjadi ketika atribut tertentu dalam kebijakan efektif melebihi batas yang diizinkan, seperti ketika lebih dari 10 aturan diberikan untuk rencana cadangan.

  • ELEMENTS_TOO_FEWTerjadi ketika atribut tertentu dalam kebijakan yang efektif tidak memenuhi batas minimum, seperti ketika tidak ada wilayah yang ditentukan untuk rencana cadangan.

  • KEY_REQUIRED— Terjadi ketika konfigurasi yang diperlukan tidak ada dalam kebijakan yang efektif, seperti ketika rencana cadangan tidak ada aturan cadangan.

AWS Organizations memvalidasi kebijakan yang efektif sebelum menerapkannya ke akun di organisasi Anda. Proses audit ini sangat bermanfaat jika Anda memiliki struktur organisasi yang besar, dan jika kebijakan organisasi Anda dikelola oleh lebih dari satu tim.