本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 关于无效的有效策略警报 无效的策略警报 *无效的策略警报*会让您知道无效的有效策略,并提供机制 (APIs) 来识别具有无效策略的账户。 Amazon Organizations 当您的一个账户的有效策略无效时,会异步通知您。通知以横幅形式显示在 Amazon Organizations 控制台页面中,并记录为 Amazon CloudTrail 事件。 ## 检测组织中无效的有效管理策略 您可以通过多种方式查看组织中无效的有效管理策略:从 Amazon 管理控制台、 Amazon API、 Amazon 命令行界面 (CLI) 或以 Amazon CloudTrail 事件的形式查看。 **最小权限** 要查找组织中与管理策略类型无效的有效策略相关的信息,您必须具有执行以下操作的权限: `organizations:ListAccountsWithInvalidEffectivePolicy` `organizations:ListEffectivePolicyValidationErrors` `organizations:ListRoots`:仅当使用 Organizations 控制台时才需要 ------ #### [ Amazon Web Services 管理控制台 ] **从控制台查看无效的有效管理策略** 1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 在 **[Amazon Web Services 账户](https://console.amazonaws.cn/organizations/v2/home/accounts)** 页面上,如果组织有无效的有效策略,则会在页面顶部显示警告横幅。 1. 在横幅中,点击**查看检测到的问题**,可查看组织中具有无效的有效策略的所有账户的列表。 1. 对于列表中的每个账户,选择**查看问题**,获取有关本页**有效策略问题**部分下显示的每个账户错误的更多信息。 ------ #### [ Amazon CLI & Amazon SDKs ] **查看账户的管理策略类型的有效策略** 以下命令可帮助您查看具有无效的有效策略的账户 + Amazon CLI: [list-accounts-with-invalid-有效政策](https://docs.amazonaws.cn/cli/latest/reference/organizations/list-accounts-with-invalid-effective-policy.html) + Amazon SDKs: [ListAccountsWithInvalidEffectivePolicy](https://docs.amazonaws.cn/organizations/latest/APIReference/API_ListAccountsWithInvalidEffectivePolicy.html) **以下命令可帮助您查看有关账户的有效策略错误** + Amazon CLI: [list-effective-policy-validation-错误](https://docs.amazonaws.cn/cli/latest/reference/organizations/list-effective-policy-validation-errors.html) + Amazon SDKs: [ListEffectivePolicyValidationErrors](https://docs.amazonaws.cn/organizations/latest/APIReference/API_ListEffectivePolicyValidationErrors.html) ------ **Amazon CloudTrail** 您可以使用 Amazon CloudTrail 事件来监控组织中的账户何时有无效的有效管理策略以及策略何时修复。有关更多信息,请参阅[了解 Amazon Organizations 日志文件条目](https://docs.amazonaws.cn//organizations/latest/userguide/orgs_cloudtrail-integration.html#understanding-service-name-entries)中的*有效策略示例*。 如果您收到无效的有效策略通知,则可以浏览 Amazon Organizations 控制台或 APIs 从您的管理或委托管理员账户拨打控制台,以了解有关特定账户和策略状态的更多详细信息: + `ListAccountsWithInvalidEffectivePolicy`:返回组织中具有指定类型无效的有效策略的账户列表。 + `ListEffectivePolicyValidationErrors`:返回指定账户和管理策略类型的验证错误列表。验证错误包含详细信息,包括导致有效策略无效的错误代码、错误描述和贡献策略。 ## 何时可认为有效管理策略无效 如果账户的有效策略违反了为特定策略类型定义的限制,则这些策略可能会失效。例如,某个策略可能在最终有效策略中缺少所需参数,或者超过了为该策略类型定义的特定配额。 **备份策略示例** 假设您创建了一个包含九条备份规则的备份策略,并将其附加到组织的根目录。稍后,您为同一个备份计划创建了另一个备份策略(有两条额外规则),然后将其附加到组织中的任何账户。在这种情况下,该账户具有无效的有效策略。该策略之所以无效,是因为这两个策略的聚合为备份计划定义了 11 条规则。一个计划中的备份规则数量限制为 10 条。 **警告** 如果组织中的任何账户具有无效的有效策略,则该账户将无法收到针对特定策略类型的有效政策更新。除非所有错误都已修复,否则它将继续使用该账户上次应用的有效的有效策略。 **有效策略可能出现的错误示例** + `ELEMENTS_TOO_MANY`:当有效策略中的特定属性超过允许的限制时发生,例如为备份计划提供的规则超过 10 条时。 + `ELEMENTS_TOO_FEW`:当有效策略中的特定属性未达到最低限制时发生,例如没有为备份计划定义区域时。 + `KEY_REQUIRED`:当有效策略中缺少所需配置时发生,例如备份计划缺少备份规则时。 Amazon Organizations 在将有效策略应用于组织中的账户之前,先对其进行验证。如果您的组织结构庞大,并且组织的策略由多个团队管理,则此审计过程尤其有用。