关于无效的有效政策警报

无效的策略警报会让您知道无效的有效策略，并提供机制 (APIs) 来识别具有无效策略的账户。 AWS Organizations 当您的一个账户的有效策略无效时，会异步通知您。通知以横幅形式显示在 AWS Organizations 控制台页面中，并记录为 AWS CloudTrail 事件。

检测组织中无效的有效管理策略

您可以通过多种方式查看组织中无效的有效管理策略：从 AWS 管理控制台、 AWS API、 AWS 命令行界面 (CLI) 或以 AWS CloudTrail 事件的形式查看。

最小权限

要查找与组织中管理策略类型的无效有效策略相关的信息，您必须拥有运行以下操作的权限：

• organizations:ListAccountsWithInvalidEffectivePolicy

• organizations:ListEffectivePolicyValidationErrors

• organizations:ListRoots-仅在使用 Organizations 控制台时才需要

AWS Management Console

从控制台查看无效的有效管理策略

1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录，担任 IAM 角色；或在组织的管理账户中以根用户的身份登录（不推荐）。

2. 在AWS 账户页面页面上，如果您的组织有无效的有效政策，则会在页面顶部显示警告横幅。

3. 在横幅中，单击 “查看检测到的问题”，查看组织中有效政策无效的所有账户的列表。

4. 对于列表中的每个账户，选择查看问题，以获取有关本页有效政策问题部分下显示的每个账户错误的更多信息。

AWS CLI & AWS SDKs

查看账户的管理策略类型的有效策略

以下命令可帮助您查看有效策略无效的账户

• AWS CLI: list-accounts-with-invalid-有效政策

• AWS SDKs: ListAccountsWithInvalidEffectivePolicy

以下命令可帮助您查看账户的有效政策错误

• AWS CLI: list-effective-policy-validation-错误

• AWS SDKs: ListEffectivePolicyValidationErrors

AWS CloudTrail

您可以使用 AWS CloudTrail 事件来监控组织中的账户何时有无效的有效管理策略以及策略何时修复。有关更多信息，请参阅了解 AWS Organizations 日志文件条目中的有效策略示例。

如果您收到无效的有效策略通知，则可以浏览 AWS Organizations 控制台或 APIs 从您的管理或委托管理员账户拨打控制台，以了解有关特定账户和策略状态的更多详细信息：

• ListAccountsWithInvalidEffectivePolicy— 返回组织中具有指定类型无效有效策略的账户列表。

• ListEffectivePolicyValidationErrors— 返回指定账户和管理策略类型的验证错误列表。验证错误包含详细信息，包括导致有效策略失效的错误代码、错误描述和贡献策略。

何时有效的管理政策可能被视为无效

如果账户的有效策略违反了为特定策略类型定义的限制，则这些策略可能会失效。例如，某个策略可能在最终有效策略中缺少必需的参数，或者超过了为该策略类型定义的某些配额。

备份策略示例

假设您创建了一个包含九条备份规则的备份策略并将其附加到组织的根目录。稍后，您可以为同一个备份计划创建另一个备份策略（还有两条规则），然后将其附加到组织中的任何帐户。在这种情况下，该账户的有效政策无效。它无效，因为这两个策略的聚合为备份计划定义了 11 条规则。一个计划中的备份规则限制为 10 条。

警告

如果组织中的任何账户的有效政策无效，则该账户将无法收到针对特定策略类型的有效政策更新。除非所有错误都已修复，否则它将继续使用该账户上次应用的有效有效政策。

有效策略可能出现的错误示例

• ELEMENTS_TOO_MANY— 当有效策略中的特定属性超过允许的限制时发生，例如为备份计划提供的规则超过 10 个。

• ELEMENTS_TOO_FEW— 当有效策略中的特定属性不符合最低限制时发生，例如没有为备份计划定义区域时。

• KEY_REQUIRED— 在有效策略中缺少所需的配置时发生，例如备份计划缺少备份规则。

AWS Organizations 在将有效策略应用于组织中的账户之前，先对其进行验证。如果您的组织结构庞大，并且组织的策略由多个团队管理，则此审计过程特别有用。