翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
無効な有効ポリシーアラートについて
無効なポリシーアラートは、無効な有効なポリシーについて知らせ、無効なポリシーを持つアカウントを識別するメカニズム (APIs) を提供します。いずれかのアカウントに無効な有効なポリシーがある場合、 は非同期的に AWS Organizations 通知します。通知は AWS Organizations コンソールページにバナーとして表示され、イベントとして AWS CloudTrail 記録されます。
組織内の無効な有効な宣言ポリシーを検出する
組織内で無効な有効な宣言ポリシーを表示するには、 AWS マネジメントコンソール、 AWS API、 AWS コマンドラインインターフェイス (CLI)、または AWS CloudTrail イベントとして、いくつかの方法があります。
最小アクセス許可
組織内の宣言ポリシータイプの無効な有効なポリシーに関連する情報を検索するには、次のアクションを実行するアクセス許可が必要です。
-
organizations:ListAccountsWithInvalidEffectivePolicy -
organizations:ListEffectivePolicyValidationErrors -
organizations:ListRoots– Organizations コンソールを使用する場合にのみ必要
AWS CloudTrail
AWS CloudTrail イベントを使用して、組織内のアカウントに無効な有効な宣言ポリシーがあるかどうか、およびポリシーが修正されたかどうかをモニタリングできます。詳細については、AWS Organizations 「ログファイルエントリを理解する」の「有効なポリシーの例」を参照してください。
無効な有効なポリシー通知を受け取った場合は、 AWS Organizations コンソールを操作するか、管理アカウントまたは委任管理者アカウントからこれらの APIs を呼び出して、特定のアカウントとポリシーのステータスに関する詳細を確認できます。
-
ListAccountsWithInvalidEffectivePolicy– 指定されたタイプの無効な有効ポリシーを持つ組織内のアカウントのリストを返します。 -
ListEffectivePolicyValidationErrors– 指定されたアカウントと宣言ポリシータイプの検証エラーのリストを返します。検証エラーには、エラーコード、エラーの説明、有効なポリシーを無効にした寄与ポリシーなどの詳細が含まれます。
有効な宣言ポリシーが無効と見なされる可能性がある場合
アカウントの有効なポリシーは、特定のポリシータイプに定義された制約に違反すると無効になる可能性があります。例えば、ポリシーが最終的な有効なポリシーで必須パラメータを欠落しているか、ポリシータイプに定義されている特定のクォータを超えている可能性があります。
AWS Organizations は、有効なポリシーを検証してから、組織内のアカウントに適用します。この監査プロセスは、組織構造が大きい、または組織のポリシーが複数のチームによって管理されているなどの場合に特に役立ちます。
有効なポリシーで発生する可能性のあるエラーの例
-
ELEMENTS_TOO_MANY– バックアッププランに 10 を超えるルールが指定されているなど、有効なポリシー内の特定の属性が許可された制限を超えた場合に発生します。 -
ELEMENTS_TOO_FEW– バックアッププランにリージョンが定義されていない場合など、有効なポリシー内の特定の属性が最小制限を満たさない場合に発生します。 -
KEY_REQUIRED– バックアッププランにバックアップルールがない場合など、有効なポリシーに必要な設定がない場合に発生します。
警告
組織内のいずれかのアカウントに無効な有効ポリシーがある場合、そのアカウントは特定のポリシータイプの有効なポリシー更新を受信しません。すべてのエラーが修正されない限り、アカウントに対して最後に適用された有効な有効ポリシーが続きます。
ポリシータイプ別の検証
バックアップポリシー
9 つのバックアップルールを使用してバックアップポリシーを作成し、組織のルートにアタッチするとします。後で、同じバックアッププランに 2 つのルールを追加して別のバックアップポリシーを作成し、組織内の任意のアカウントにアタッチします。この場合、アカウントには無効な有効ポリシーがあります。2 つのポリシーの集約により、バックアッププランに 11 のルールが定義されるため、無効です。プラン内のバックアップルールの上限は 10 です。
タグポリシー
タグポリシーの有効なポリシーは、次の検証の対象となります。
-
有効なタグポリシーのサイズは 395,000 文字を超えることはできません。マルチバイト文字 (中国語、日本語、韓国語など) はより多くのスペースを消費し、それに応じてこの制限を減らします。継承および直接アタッチされたすべてのタグポリシーをアカウントレベルで集約すると、有効なポリシーが 395,000 文字を超える場合、有効なポリシーは無効と見なされます。
-
リソースタイプあたりの一意の必須タグキーの数は 50 を超えることはできません。EC2 インスタンスに必要な 30 個のタグキーを持つタグポリシーをルートにアタッチし、後で EC2 インスタンスに必要な 25 個のタグキーを持つ別のタグポリシーを OU にアタッチするとします。このような状況では、その OU のアカウントに無効な有効なポリシーがあります。2 つのポリシーの集約では、1 つのリソースタイプに 55 個の一意の必須タグキーが定義されているため、無効です。制限は、リソースタイプごとに 50 個の一意の必須タグキーです。この制限は、個々のタグポリシーと集約された有効なポリシーの両方で検証されます。