關於無效的有效政策提醒

無效的政策提醒可讓您了解無效的有效政策，並提供機制 APIs) 來識別具有無效政策的帳戶。當其中一個帳戶具有無效的有效政策時， 會以非同步方式 AWS Organizations 通知您。通知會在 AWS Organizations 主控台頁面中顯示為橫幅，並記錄為事件 AWS CloudTrail 。

偵測組織中無效的有效管理政策

您可以透過多種方式檢視組織中無效的有效管理政策：從 AWS 管理主控台、 AWS API、 AWS 命令列界面 (CLI) 或 作為 AWS CloudTrail 事件。

最低許可

若要尋找組織中管理政策類型無效有效政策的相關資訊，您必須具有執行下列動作的許可：

• organizations:ListAccountsWithInvalidEffectivePolicy

• organizations:ListEffectivePolicyValidationErrors

• organizations:ListRoots - 只有在使用 Organizations 主控台時才需要

AWS Management Console

從主控台檢視無效的有效管理政策

1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

2. 在AWS 帳戶頁面上，如果您的組織有無效的有效政策，則頁面頂端會顯示警告橫幅。

3. 在橫幅中，按一下檢視偵測到的問題，以檢視組織中具有無效有效政策的所有帳戶清單。

4. 針對清單中的每個帳戶，選取檢視問題以取得此頁面有效政策問題區段下每個帳戶錯誤的詳細資訊。

AWS CLI & AWS SDKs

檢視帳戶管理政策類型的有效政策

下列命令可協助您檢視具有無效有效政策的帳戶

• AWS CLI：list-accounts-with-invalid-effective-policy

• AWS SDKs：ListAccountsWithInvalidEffectivePolicy

下列命令可協助您檢視 帳戶上的有效政策錯誤

• AWS CLI：list-effective-policy-validation-errors

• AWS SDKs：ListEffectivePolicyValidationErrors

AWS CloudTrail

您可以使用 AWS CloudTrail 事件來監控組織中的帳戶何時具有無效的有效管理政策，以及何時修正政策。如需詳細資訊，請參閱了解 AWS Organizations 日誌檔案項目中的有效政策範例。

如果您收到無效的有效政策通知，您可以瀏覽 AWS Organizations 主控台，或從管理或委派管理員帳戶呼叫這些 APIs，以尋找特定帳戶和政策狀態的詳細資訊：

• ListAccountsWithInvalidEffectivePolicy – 傳回組織中具有指定類型之無效有效政策的帳戶清單。

• ListEffectivePolicyValidationErrors – 傳回指定帳戶和管理政策類型的驗證錯誤清單。驗證錯誤包含詳細資訊，包括使有效政策無效的錯誤代碼、錯誤描述和貢獻政策。

當有效的管理政策可能被視為無效時

如果帳戶上的有效政策違反特定政策類型定義的限制條件，則這些政策可能會失效。例如，政策可能缺少最終有效政策中的必要參數，或超過針對政策類型定義的特定配額。

備份政策範例

假設您使用九個備份規則建立備份政策，並將其連接到組織的根目錄。稍後，您會為相同的備份計劃建立另一個備份政策，其中包含另外兩個規則，並將其連接到組織中的任何帳戶。在這種情況下，帳戶上有無效的有效政策。它無效，因為兩個政策的彙總會定義備份計劃的 11 個規則。計畫中的限制為 10 個備份規則。

警告

如果組織中的任何帳戶具有無效的有效政策，則該帳戶將不會收到特定政策類型的有效政策更新。除非修正所有錯誤，否則它會繼續為帳戶套用上次套用的有效有效政策。

有效政策的可能錯誤範例

• ELEMENTS_TOO_MANY – 當有效政策中的特定屬性超過允許的限制，例如為備份計劃提供超過 10 個規則時，就會發生。

• ELEMENTS_TOO_FEW – 當有效政策中的特定屬性不符合最低限制，例如未為備份計劃定義區域時，就會發生。

• KEY_REQUIRED – 當有效政策中缺少必要的組態，例如備份計劃缺少備份規則時，就會發生。

AWS Organizations 會先驗證有效政策，再將其套用至組織中的帳戶。如果您有大型組織結構，而且組織的政策是由多個團隊管理，則此稽核程序特別有用。