本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
關於無效的有效政策提醒
無效的政策提醒可讓您了解無效的有效政策,並提供機制 APIs) 來識別具有無效政策的帳戶。當其中一個帳戶具有無效的有效政策時, 會以非同步方式 AWS Organizations 通知您。通知會在 AWS Organizations 主控台頁面中顯示為橫幅,並記錄為事件 AWS CloudTrail 。
偵測組織中無效的有效管理政策
您可以透過多種方式檢視組織中無效的有效管理政策:從 AWS 管理主控台、 AWS API、 AWS 命令列界面 (CLI) 或 作為 AWS CloudTrail 事件。
最低許可
若要尋找組織中管理政策類型無效有效政策的相關資訊,您必須具有執行下列動作的許可:
-
organizations:ListAccountsWithInvalidEffectivePolicy
-
organizations:ListEffectivePolicyValidationErrors
-
organizations:ListRoots
- 只有在使用 Organizations 主控台時才需要
AWS CloudTrail
您可以使用 AWS CloudTrail 事件來監控組織中的帳戶何時具有無效的有效管理政策,以及何時修正政策。如需詳細資訊,請參閱了解 AWS Organizations 日誌檔案項目中的有效政策範例。
如果您收到無效的有效政策通知,您可以瀏覽 AWS Organizations 主控台,或從管理或委派管理員帳戶呼叫這些 APIs,以尋找特定帳戶和政策狀態的詳細資訊:
-
ListAccountsWithInvalidEffectivePolicy
– 傳回組織中具有指定類型之無效有效政策的帳戶清單。 -
ListEffectivePolicyValidationErrors
– 傳回指定帳戶和管理政策類型的驗證錯誤清單。驗證錯誤包含詳細資訊,包括使有效政策無效的錯誤代碼、錯誤描述和貢獻政策。
當有效的管理政策可能被視為無效時
如果帳戶上的有效政策違反特定政策類型定義的限制條件,則這些政策可能會失效。例如,政策可能缺少最終有效政策中的必要參數,或超過針對政策類型定義的特定配額。
備份政策範例
假設您使用九個備份規則建立備份政策,並將其連接到組織的根目錄。稍後,您會為相同的備份計劃建立另一個備份政策,其中包含另外兩個規則,並將其連接到組織中的任何帳戶。在這種情況下,帳戶上有無效的有效政策。它無效,因為兩個政策的彙總會定義備份計劃的 11 個規則。計畫中的限制為 10 個備份規則。
警告
如果組織中的任何帳戶具有無效的有效政策,則該帳戶將不會收到特定政策類型的有效政策更新。除非修正所有錯誤,否則它會繼續為帳戶套用上次套用的有效有效政策。
有效政策的可能錯誤範例
-
ELEMENTS_TOO_MANY
– 當有效政策中的特定屬性超過允許的限制,例如為備份計劃提供超過 10 個規則時,就會發生。 -
ELEMENTS_TOO_FEW
– 當有效政策中的特定屬性不符合最低限制,例如未為備份計劃定義區域時,就會發生。 -
KEY_REQUIRED
– 當有效政策中缺少必要的組態,例如備份計劃缺少備份規則時,就會發生。
AWS Organizations 會先驗證有效政策,再將其套用至組織中的帳戶。如果您有大型組織結構,而且組織的政策是由多個團隊管理,則此稽核程序特別有用。