View a markdown version of this page

使用 EC2 策略的最佳实践 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 EC2 策略的最佳实践

Amazon 推荐以下使用 EC2 策略的最佳实践。

利用就绪情况评测

使用 EC2 策略账户状态报告评估范围内账户的 EC2 策略支持的所有属性的当前状态。您可以选择要包含在报告范围内的账户和组织单元(OU),也可以通过选择根来选择整个组织。

此报告提供区域细分来帮助您评估就绪情况,并评测属性的当前状态是跨账户统一(通过 numberOfMatchedAccounts)还是不一致(通过 numberOfUnmatchedAccounts)。您还可以看到最常见值,即该属性中最常观察到的配置值。

选择附加用于强制执行基准配置的 EC2 策略取决于您的具体使用案例。

有关更多信息以及说明性示例,请参阅EC2 策略的账户状态报告

从小处着手,然后逐步扩展

要简化调试,请从测试策略开始。在进行下一个更改之前,验证每个更改的行为和影响。此方法可以减少出现错误或意外结果时必须考虑的变量数量。

例如,您可以从非关键测试环境中附加到单个账户的测试策略开始。在确认该策略符合规范后,您可以在组织结构中逐步将其向上移动到更多账户和更多组织单元(OU)。

建立审查流程

实施流程以监控新的 EC2 属性,评估政策异常情况,并进行调整以保持与组织安全和运营要求的一致性。

使用 DescribeEffectivePolicy 验证更改

对 EC2 策略进行更改后,请查看低于更改级别的代表性账户的有效策略。您可以通过使用 Amazon Web Services 管理控制台、或使用 DescribeEffectivePolicyAPI 操作或其变体 Amazon CLI 或 Amazon SDK 变体之一来查看有效的策略。确保您所做的更改对有效策略产生预期影响。

沟通与培训

确保您的组织了解您的 EC2 策略的目的和影响。就预期行为以及如何处理因执行策略而导致的失败提供明确的指导。