Bewährte Methoden für die Verwendung deklarativer Richtlinien - AWS Organizations
Nutzen Sie EignungsbeurteilungenFangen Sie klein an und skalieren Sie dannRichten Sie Überprüfungsprozesse einValidieren Sie Änderungen mit DescribeEffectivePolicyKommunizieren und trainieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Verwendung deklarativer Richtlinien

AWS empfiehlt die folgenden bewährten Methoden für die Verwendung deklarativer Richtlinien.

Nutzen Sie Eignungsbeurteilungen

Verwenden Sie den Kontostatusbericht für deklarative Richtlinien, um den aktuellen Status aller Attribute zu bewerten, die von deklarativen Richtlinien für die betroffenen Konten unterstützt werden. Sie können die Konten und Organisationseinheiten (OUs) auswählen, die in den Berichtsbereich aufgenommen werden sollen, oder Sie können eine gesamte Organisation auswählen, indem Sie den Stamm auswählen.

Dieser Bericht hilft Ihnen bei der Bewertung der Bereitschaft, indem er eine Aufschlüsselung nach Regionen enthält und angibt, ob der aktuelle Status eines Attributs kontenübergreifend einheitlich (durchnumberOfMatchedAccounts) oder inkonsistent (durch dennumberOfUnmatchedAccounts) ist. Sie können auch den häufigsten Wert sehen, d. h. den Konfigurationswert, der für das Attribut am häufigsten beobachtet wird.

Die Entscheidung, eine deklarative Richtlinie zur Durchsetzung einer Basiskonfiguration anzuhängen, hängt von Ihrem spezifischen Anwendungsfall ab.

Weitere Informationen und ein anschauliches Beispiel finden Sie unter. Kontostatusbericht für deklarative Richtlinien

Fangen Sie klein an und skalieren Sie dann

Um das Debuggen zu vereinfachen, beginnen Sie mit einer Testrichtlinie. Überprüfen Sie das Verhalten und die Auswirkungen jeder Änderung, bevor Sie die nächste Änderung vornehmen. Dieser Ansatz reduziert die Anzahl der Variablen, die Sie berücksichtigen müssen, wenn ein Fehler oder ein unerwartetes Ergebnis auftritt.

In einer unkritischen Testumgebung können Sie beispielsweise mit einer Testrichtlinie beginnen, die an ein einzelnes Konto angehängt ist. Nachdem Sie bestätigt haben, dass sie Ihren Spezifikationen entspricht, können Sie die Richtlinie schrittweise in der Organisationsstruktur nach oben verschieben, sodass mehr Konten und mehr Organisationseinheiten vorhanden sind ()OUs.

Richten Sie Überprüfungsprozesse ein

Implementieren Sie Prozesse zur Überwachung neuer deklarativer Merkmale, zur Bewertung von Richtlinienausnahmen und zur Anpassung an Ihre organisatorischen Sicherheits- und Betriebsanforderungen.

Validieren Sie Änderungen mit DescribeEffectivePolicy

Nachdem Sie eine Änderung an einer deklarativen Richtlinie vorgenommen haben, überprüfen Sie die geltenden Richtlinien für Kundenbetreuer unter der Ebene, auf der Sie die Änderung vorgenommen haben. Sie können die effektive Richtlinie mithilfe der oder mithilfe des AWS-ManagementkonsoleDescribeEffectivePolicyAPI-Vorgangs oder einer seiner AWS CLI oder AWS SDK-Varianten anzeigen. Stellen Sie sicher, dass die vorgenommene Änderung die beabsichtigten Auswirkungen auf die effektive Richtlinie hatte.

Kommunizieren und trainieren

Stellen Sie sicher, dass Ihre Organisationen den Zweck und die Auswirkungen Ihrer deklarativen Richtlinien verstehen. Geben Sie klare Hinweise zu den zu erwartenden Verhaltensweisen und zum Umgang mit Fehlern aufgrund der Durchsetzung von Richtlinien.