Aproveche las evaluaciones de preparación Comience con algo pequeño y amplíe poco a poco Establezca procesos de revisión Valide los cambios con DescribeEffectivePolicy Comunique y capacite

Prácticas recomendadas para utilizar las políticas declarativas

AWS recomienda las siguientes prácticas recomendadas para el uso de políticas declarativas.

Aproveche las evaluaciones de preparación

Utilice el informe de estado de cuentas de las políticas declarativas para evaluar el estado actual de todos los atributos compatibles con las políticas declarativas de las cuentas incluidas en el ámbito de aplicación. Puedes elegir las cuentas y las unidades organizativas (OUs) que deseas incluir en el ámbito del informe, o bien elegir una organización completa seleccionando la raíz.

Este informe permite evaluar el grado de preparación al brindar un desglose por regiones y al indicar si el estado actual de un atributo es uniforme en todas las cuentas (a través de numberOfMatchedAccounts) o incoherente (a través de numberOfUnmatchedAccounts). También puede consultar el valor más frecuente, el cual es el valor de configuración que se observa con más frecuencia para el atributo.

La opción de asociar una política declarativa para aplicar una configuración de referencia depende de su caso de uso específico.

Para obtener más información y un ejemplo ilustrativo, consulte Informe de estado de la cuenta para las políticas declarativas.

Comience con algo pequeño y amplíe poco a poco

Para simplificar la depuración, comience primero con una política de prueba. Valide el comportamiento y el impacto de cada cambio antes de realizar el siguiente cambio. Este alcance reduce el número de variables que debe tener en cuenta cuando ocurre un error o un resultado inesperado.

Por ejemplo, puede comenzar con una política de prueba asociada a una sola cuenta en un entorno de pruebas que no sea esencial. Una vez que hayas confirmado que funciona según tus especificaciones, puedes ir ascendiendo la política en la estructura de la organización para incluir más cuentas y más unidades organizativas (OUs).

Establezca procesos de revisión

Implemente procesos para supervisar los nuevos atributos declarativos, evaluar las excepciones a las políticas y realizar ajustes para que se sigan cumpliendo los requisitos operativos y de seguridad de su organización.

Valide los cambios con `DescribeEffectivePolicy`

Tras haber realizado un cambio en una política declarativa, compruebe las políticas en vigor de las cuentas representativas que estén por debajo del nivel en el que haya realizado el cambio. Para ver la política vigente Consola de administración de AWS, utilice la operación de DescribeEffectivePolicyAPI o una de sus variantes AWS CLI o del AWS SDK. Asegúrese de que el cambio que ha realizado haya tenido el impacto previsto en la política en vigor.

Comunique y capacite

Asegúrese de que sus organizaciones entiendan el propósito de las políticas declarativas y su impacto. Brinde una orientación clara sobre los comportamientos esperados y sobre cómo gestionar los errores generados por la aplicación de las políticas.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Introducción

Generación del informe de estado de la cuenta