本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
关于无效的有效策略警报
无效的策略警报会让您知道无效的有效策略,并提供机制 (API) 来识别具有无效策略的账户。 Amazon Organizations 当您的一个账户的有效策略无效时,会异步通知您。通知以横幅形式显示在 Amazon Organizations 控制台页面中,并记录为 Amazon CloudTrail 事件。
检测组织中无效的有效声明性政策
您可以通过多种方式查看组织中无效的有效声明式策略:从 Amazon 管理控制台、 Amazon API、 Amazon 命令行界面 (CLI) 或以 Amazon CloudTrail 事件的形式查看。
最小权限
要查找与组织中声明性策略类型的无效有效策略相关的信息,您必须拥有运行以下操作的权限:
-
organizations:ListAccountsWithInvalidEffectivePolicy -
organizations:ListEffectivePolicyValidationErrors -
organizations:ListRoots:仅当使用 Organizations 控制台时才需要
Amazon CloudTrail
您可以使用 Amazon CloudTrail 事件来监控组织中的账户何时具有无效的有效声明性策略以及策略何时修复。有关更多信息,请参阅了解 Amazon Organizations 日志文件条目中的有效策略示例。
如果您收到无效的有效策略通知,则可以浏览 Amazon Organizations 控制台或从您的管理账户或委托管理员账户调用这些 API,以查找有关特定账户和策略状态的更多详细信息:
-
ListAccountsWithInvalidEffectivePolicy:返回组织中具有指定类型无效的有效策略的账户列表。 -
ListEffectivePolicyValidationErrors— 返回指定账户和声明性策略类型的验证错误列表。验证错误包含详细信息,包括导致有效策略无效的错误代码、错误描述和贡献策略。
当有效的声明性政策可能被视为无效时
如果账户的有效策略违反了为特定策略类型定义的限制,则这些策略可能会失效。例如,某个策略可能在最终有效策略中缺少所需参数,或者超过了为该策略类型定义的特定配额。
Amazon Organizations 在将有效策略应用于组织中的账户之前,先对其进行验证。如果您的组织结构庞大,并且组织的策略由多个团队管理,则此审计过程尤其有用。
有效策略可能出现的错误示例
-
ELEMENTS_TOO_MANY:当有效策略中的特定属性超过允许的限制时发生,例如为备份计划提供的规则超过 10 条时。 -
ELEMENTS_TOO_FEW:当有效策略中的特定属性未达到最低限制时发生,例如没有为备份计划定义区域时。 -
KEY_REQUIRED:当有效策略中缺少所需配置时发生,例如备份计划缺少备份规则时。
警告
如果组织中的任何账户具有无效的有效策略,则该账户将无法收到针对特定策略类型的有效政策更新。除非所有错误都已修复,否则它将继续使用该账户上次应用的有效的有效策略。
按策略类型进行验证
备份策略
假设您创建了一个包含九条备份规则的备份策略,并将其附加到组织的根目录。稍后,您为同一个备份计划创建了另一个备份策略(有两条额外规则),然后将其附加到组织中的任何账户。在这种情况下,该账户具有无效的有效策略。该策略之所以无效,是因为这两个策略的聚合为备份计划定义了 11 条规则。一个计划中的备份规则数量限制为 10 条。
标签策略
标签策略的有效政策需要经过以下验证:
-
有效的标签策略大小不得超过 395,000 个字符。 Multi-byte 字符(例如中文、日语或韩语中的字符)会占用更多空间,因此会相应地减少此限制。如果在账户级别聚合所有继承和直接附加的标签策略,生成的有效策略大于 39.5,000 个字符,则有效策略被视为无效。
-
每种资源类型所需的唯一标签密钥数量不得超过 50。假设您将一个包含 30 个 EC2 实例必需标签密钥的标签策略附加到根目录,然后将另一个包含 EC2 实例所需的 25 个不同标签密钥的标签策略附加到一个 OU。在这种情况下,针对该 OU 中的账户的有效政策无效。它无效,因为这两个策略的聚合为单个资源类型定义了 55 个唯一的必需标签密钥。限制为每种资源类型必需的 50 个唯一标签密钥。此限制在单个标签策略和聚合有效策略上均经过验证。