As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Sobre alertas de políticas efetivas inválidas
Os alertas de política inválidos informam sobre políticas efetivas inválidas e fornecem mecanismos (APIs) para identificar contas com políticas inválidas. AWS Organizations notifica você de forma assíncrona quando uma de suas contas tem uma política efetiva inválida. A notificação aparece como um banner na página do AWS Organizations console e é registrada como um AWS CloudTrail evento.
Detecte políticas declarativas efetivas inválidas em sua organização
Há várias maneiras pelas quais você pode visualizar políticas declarativas efetivas inválidas em sua organização: no AWS Management Console, na AWS API, na Interface de Linha de AWS Comando (CLI) ou como um evento. AWS CloudTrail
Permissões mínimas
Para encontrar as informações relacionadas a políticas efetivas inválidas de um tipo de política declarativa em sua organização, você deve ter permissão para executar as seguintes ações:
-
organizations:ListAccountsWithInvalidEffectivePolicy -
organizations:ListEffectivePolicyValidationErrors -
organizations:ListRoots– necessária somente ao usar o console do Organizations
AWS CloudTrail
Você pode usar AWS CloudTrail eventos para monitorar quando as contas em suas organizações têm políticas declarativas efetivas inválidas e quando as políticas são corrigidas. Para obter mais informações, consulte Exemplos de políticas eficazes em Entendendo as entradas do arquivo de AWS Organizations log.
Se você receber uma notificação de política efetiva inválida, poderá navegar pelo AWS Organizations console ou chamar essas APIs da sua conta de gerenciamento ou de administrador delegado para obter mais detalhes sobre o status de contas e políticas específicas:
-
ListAccountsWithInvalidEffectivePolicy– retorna uma lista de contas na organização que possuem políticas efetivas inválidas de um tipo especificado. -
ListEffectivePolicyValidationErrors— Retorna uma lista de erros de validação para uma conta específica e um tipo de política declarativa. Os erros de validação contêm detalhes, incluindo o código do erro, a descrição do erro e as políticas de contribuição que tornaram a política efetiva inválida.
Quando uma política declarativa efetiva pode ser considerada inválida
Políticas efetivas em uma conta podem se tornar inválidas se violarem as restrições definidas para o tipo específico de política. Por exemplo, uma política pode não ter um parâmetro obrigatório na política efetiva final ou exceder determinadas cotas definidas para o tipo de política.
AWS Organizations valida as políticas efetivas antes de aplicá-las às contas da sua organização. Esse processo de auditoria é especialmente benéfico se você tiver uma grande estrutura organizacional e se as políticas da sua organização forem gerenciadas por mais de uma equipe.
Exemplos de possíveis erros para políticas efetivas
-
ELEMENTS_TOO_MANY– ocorre quando um atributo específico em uma política efetiva excede o limite permitido, como quando mais de 10 regras são fornecidas para um plano de backup. -
ELEMENTS_TOO_FEW– ocorre quando um atributo específico em uma política efetiva não atinge o limite mínimo, como quando nenhuma região é definida para um plano de backup. -
KEY_REQUIRED– ocorre quando falta uma configuração necessária na política efetiva, como quando falta uma regra de backup em um plano de backup.
Atenção
Se alguma conta na organização tiver uma política efetiva inválida, essa conta não receberá atualizações de política efetivas para o tipo específico de política. Ela continuará com a última política efetiva válida aplicada à conta, a menos que todos os erros sejam corrigidos.
Validações por tipo de política
Política de backup
Suponha que você crie uma política de backup com nove regras de backup e a anexe à raiz da sua organização. Posteriormente, você cria outra política de backup para o mesmo plano de backup, com mais duas regras, e a anexa a qualquer conta na organização. Nessa situação, há uma política efetiva inválida na conta. Ela é inválida porque a agregação das duas políticas define 11 regras para o plano de backup. O limite é de 10 regras de backup em um plano.
Política de tag
As políticas efetivas da política de tags estão sujeitas às seguintes validações:
-
O tamanho efetivo da política de tags não deve exceder 395.000 caracteres. Multi-byte caracteres (como os de chinês, japonês ou coreano) consomem mais espaço e reduzirão esse limite adequadamente. Se a agregação de todas as políticas de tags herdadas e diretamente anexadas em um nível de conta resultar em uma política efetiva com mais de 395.000 caracteres, a política efetiva será considerada inválida.
-
O número de chaves de tag exclusivas necessárias por tipo de recurso não deve exceder 50. Suponha que você anexe uma política de tag com 30 chaves de tag necessárias para instâncias do EC2 à raiz e, posteriormente, anexe outra política de tag com 25 chaves de tag obrigatórias diferentes para instâncias do EC2 a uma OU. Nessa situação, há uma política efetiva inválida sobre contas nessa OU. Ela é inválida porque a agregação das duas políticas define 55 chaves de tag exclusivas necessárias para um único tipo de recurso. O limite é de 50 chaves de tag exclusivas obrigatórias por tipo de recurso. Esse limite é validado tanto nas políticas de tags individuais quanto na política efetiva agregada.