本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
关于无效的有效政策警报
无效的策略警报会让您知道无效的有效策略,并提供机制 (APIs) 来识别具有无效策略的账户。 Amazon Organizations 当您的一个账户的有效策略无效时,会异步通知您。通知以横幅形式显示在 Amazon Organizations 控制台页面中,并记录为 Amazon CloudTrail 事件。
检测组织中无效的有效管理策略
您可以通过多种方式查看组织中无效的有效管理策略:从 Amazon 管理控制台、 Amazon API、 Amazon 命令行界面 (CLI) 或以 Amazon CloudTrail 事件的形式查看。
最小权限
要查找与组织中管理策略类型的无效有效策略相关的信息,您必须拥有运行以下操作的权限:
-
organizations:ListAccountsWithInvalidEffectivePolicy -
organizations:ListEffectivePolicyValidationErrors -
organizations:ListRoots-仅在使用 Organizations 控制台时才需要
Amazon CloudTrail
您可以使用 Amazon CloudTrail 事件来监控组织中的账户何时有无效的有效管理策略以及策略何时修复。有关更多信息,请参阅了解 Amazon Organizations 日志文件条目中的有效策略示例。
如果您收到无效的有效策略通知,则可以浏览 Amazon Organizations 控制台或 APIs 从您的管理或委托管理员账户拨打控制台,以了解有关特定账户和策略状态的更多详细信息:
-
ListAccountsWithInvalidEffectivePolicy— 返回组织中具有指定类型无效有效策略的账户列表。 -
ListEffectivePolicyValidationErrors— 返回指定账户和管理策略类型的验证错误列表。验证错误包含详细信息,包括导致有效策略失效的错误代码、错误描述和贡献策略。
何时有效的管理政策可能被视为无效
如果账户的有效策略违反了为特定策略类型定义的限制,则这些策略可能会失效。例如,某个策略可能在最终有效策略中缺少必需的参数,或者超过了为该策略类型定义的某些配额。
备份策略示例
假设您创建了一个包含九条备份规则的备份策略并将其附加到组织的根目录。稍后,您可以为同一个备份计划创建另一个备份策略(还有两条规则),然后将其附加到组织中的任何帐户。在这种情况下,该账户的有效政策无效。它无效,因为这两个策略的聚合为备份计划定义了 11 条规则。一个计划中的备份规则限制为 10 条。
警告
如果组织中的任何账户的有效政策无效,则该账户将无法收到针对特定策略类型的有效政策更新。除非所有错误都已修复,否则它将继续使用该账户上次应用的有效有效政策。
有效策略可能出现的错误示例
-
ELEMENTS_TOO_MANY— 当有效策略中的特定属性超过允许的限制时发生,例如为备份计划提供的规则超过 10 个。 -
ELEMENTS_TOO_FEW— 当有效策略中的特定属性不符合最低限制时发生,例如没有为备份计划定义区域时。 -
KEY_REQUIRED— 在有效策略中缺少所需的配置时发生,例如备份计划缺少备份规则。
Amazon Organizations 在将有效策略应用于组织中的账户之前,先对其进行验证。如果您的组织结构庞大,并且组织的策略由多个团队管理,则此审计过程特别有用。