

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 EC2 策略的最佳实践
<a name="orgs_manage_policies_ec2_best-practices"></a>

Amazon 推荐以下使用 EC2 策略的最佳实践。

## 利用就绪情况评测
<a name="bp-EC2-readiness"></a>

使用 EC2 策略*账户状态报告*评估范围内账户的 EC2 策略支持的所有属性的当前状态。您可以选择要包含在报告范围内的账户和组织单元（OU），也可以通过选择根来选择整个组织。

此报告提供区域细分来帮助您评估就绪情况，并评测属性的当前状态是*跨账户统一*（通过 `numberOfMatchedAccounts`）还是*不一致*（通过 `numberOfUnmatchedAccounts`）。您还可以看到*最常见值*，即该属性中最常观察到的配置值。

选择附加用于强制执行基准配置的 EC2 策略取决于您的具体使用案例。

有关更多信息以及说明性示例，请参阅[EC2 策略的账户状态报告](orgs_manage_policies_ec2.md#orgs_manage_policies_ec2-account-status-report)。

## 从小处着手，然后逐步扩展
<a name="bp-ec2-rules"></a>

要简化调试，请从测试策略开始。在进行下一个更改之前，验证每个更改的行为和影响。此方法可以减少出现错误或意外结果时必须考虑的变量数量。

例如，您可以从非关键测试环境中附加到单个账户的测试策略开始。在确认该策略符合规范后，您可以在组织结构中逐步将其向上移动到更多账户和更多组织单元（OU）。

## 建立审查流程
<a name="bp-ec2-review"></a>

实施流程以监控新的 EC2 属性，评估政策异常情况，并进行调整以保持与组织安全和运营要求的一致性。

## 使用 `DescribeEffectivePolicy` 验证更改
<a name="bp-ec2-workflow"></a>

对 EC2 策略进行更改后，请查看低于更改级别的代表性账户的有效策略。您可以[通过使用 Amazon Web Services 管理控制台、或使用 [DescribeEffectivePolicy](https://docs.amazonaws.cn/organizations/latest/APIReference/API_DescribeEffectivePolicy.html)API 操作或其变体 Amazon CLI 或 Amazon SDK 变体之一来查看有效的策略](orgs_manage_policies_effective.md)。确保您所做的更改对有效策略产生预期影响。

## 沟通与培训
<a name="bp-ec2-train"></a>

确保您的组织了解您的 EC2 策略的目的和影响。就预期行为以及如何处理因执行策略而导致的失败提供明确的指导。