本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用声明性策略的最佳实践
Amazon 推荐以下使用声明性策略的最佳实践。
利用就绪情况评测
使用声明性策略账户状态报告,来评估范围内账户的声明性策略支持的所有属性的当前状态。您可以选择要包含在报告范围内的账户和组织单元(OU),也可以通过选择根来选择整个组织。
此报告提供区域细分来帮助您评估就绪情况,并评测属性的当前状态是跨账户统一(通过 numberOfMatchedAccounts)还是不一致(通过 numberOfUnmatchedAccounts)。您还可以看到最常见值,即该属性中最常观察到的配置值。
是否选择附加声明性策略来强制执行基准配置,取决于具体的使用案例。
有关更多信息以及说明性示例,请参阅声明性策略的账户状态报告。
从小处着手,然后逐步扩展
要简化调试,请从测试策略开始。在进行下一个更改之前,验证每个更改的行为和影响。此方法可以减少出现错误或意外结果时必须考虑的变量数量。
例如,您可以从非关键测试环境中附加到单个账户的测试策略开始。在确认该策略符合规范后,您可以在组织结构中逐步将其向上移动到更多账户和更多组织单元(OU)。
建立审查流程
实施相关流程,以监控新的声明性属性、评估策略例外情况并进行调整,以确保符合组织的安全性和操作要求。
使用 DescribeEffectivePolicy 验证更改
更改声明性策略后,请检查低于您更改级别的代表账户的有效策略。您可以使用 Amazon Web Services 管理控制台查看有效策略,或者使用 DescribeEffectivePolicy API 操作或其 Amazon CLI 或 Amazon SDK 变体之一来查看。确保您所做的更改对有效策略产生预期影响。
沟通与培训
确保您的组织了解声明性策略的目的和影响。就预期行为以及如何处理因执行策略而导致的失败提供明确的指导。