本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用声明式策略的最佳实践
Amazon 推荐使用声明式策略的以下最佳实践。
利用准备情况评估
使用声明性策略账户状态报告来评估范围内账户的声明性策略支持的所有属性的当前状态。您可以选择要包含在报告范围内的账户和组织单位 (OUs),也可以通过选择根目录来选择整个组织。
此报告通过提供区域细分来帮助您评估准备情况,以及属性的当前状态是跨账户(通过numberOfMatchedAccounts
)一致还是不一致(通过numberOfUnmatchedAccounts
)。您还可以看到最常用的值,即该属性中最常观察到的配置值。
选择附加用于强制执行基准配置的声明性策略取决于您的具体用例。
有关更多信息和说明性示例,请参阅声明性政策的账户状态报告。
从小处着手,然后扩大规模
要简化调试,请从测试策略开始。在进行下一个更改之前,验证每个更改的行为和影响。这种方法减少了发生错误或意外结果时必须考虑的变量数量。
例如,在非关键测试环境中,您可以从附加到单个账户的测试策略开始。在确认该政策符合您的规格后,您可以逐步将该策略在组织结构中向上移动到更多账户和更多组织单位(OUs)。
建立审查流程
实施流程以监控新的声明属性,评估政策例外情况,并进行调整以保持与组织安全和运营要求的一致性。
使用验证更改 DescribeEffectivePolicy
对声明式政策进行更改后,请查看低于更改级别的代表账户的有效政策。您可以通过使用 Amazon Web Services Management Console、或使用DescribeEffectivePolicyAPI操作或其 Amazon CLI 中的一个或多个 Amazon SDK变体来查看有效的策略。确保您所做的更改对有效策略产生预期影响。
沟通和训练
确保您的组织了解您的声明性政策的目的和影响。就预期行为以及如何处理因执行政策而导致的失败提供明确的指导。