Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
À propos des alertes de politique efficaces non valides
Les alertes de politique non valides vous informent des politiques efficaces non valides et fournissent des mécanismes (API) permettant d'identifier les comptes dont les politiques ne sont pas valides. AWS Organizations vous avertit de manière asynchrone lorsque la politique effective de l'un de vos comptes n'est pas valide. La notification apparaît sous forme de bannière sur la page de AWS Organizations console, et elle est enregistrée en tant qu' AWS CloudTrail événement.
Détectez les politiques déclaratives efficaces non valides dans votre organisation
Vous pouvez consulter les politiques déclaratives effectives non valides de votre organisation de plusieurs manières : depuis la console de AWS gestion, l' AWS API, l'interface de ligne de AWS commande (CLI) ou sous forme d' AWS CloudTrail événement.
Autorisations minimales
Pour trouver les informations relatives aux politiques effectives non valides d'un type de politique déclarative dans votre organisation, vous devez être autorisé à exécuter les actions suivantes :
-
organizations:ListAccountsWithInvalidEffectivePolicy -
organizations:ListEffectivePolicyValidationErrors -
organizations:ListRoots- obligatoire uniquement lors de l'utilisation de la console Organizations
AWS CloudTrail
Vous pouvez utiliser les AWS CloudTrail événements pour vérifier si les comptes de vos organisations sont dotés de politiques déclaratives effectives non valides et lorsque ces politiques sont corrigées. Pour plus d'informations, consultez la section Exemples de politiques efficaces dans Comprendre les entrées des fichiers AWS Organizations journaux.
Si vous recevez une notification de politique effective non valide, vous pouvez naviguer dans la AWS Organizations console ou appeler ces API depuis votre compte de gestion ou d'administrateur délégué pour obtenir plus de détails sur le statut de comptes et de politiques spécifiques :
-
ListAccountsWithInvalidEffectivePolicy— Renvoie une liste des comptes de l'organisation dont les politiques effectives d'un type spécifié ne sont pas valides. -
ListEffectivePolicyValidationErrors— Renvoie la liste des erreurs de validation pour un compte et un type de politique déclarative spécifiés. Les erreurs de validation contiennent des détails, notamment le code d'erreur, la description de l'erreur et les politiques contributives qui ont rendu la politique effective invalide.
Quand une politique déclarative efficace peut être considérée comme non valide
Les politiques efficaces d'un compte peuvent devenir invalides si elles enfreignent les contraintes définies pour le type de politique en question. Par exemple, il se peut qu'il manque un paramètre obligatoire dans la politique effective finale ou qu'il dépasse certains quotas définis pour le type de stratégie.
AWS Organizations valide les politiques efficaces avant de les appliquer aux comptes de votre organisation. Ce processus d'audit est particulièrement utile si votre structure organisationnelle est importante et si les politiques de votre organisation sont gérées par plusieurs équipes.
Exemples d'erreurs possibles pour des politiques efficaces
-
ELEMENTS_TOO_MANY— Se produit lorsqu'un attribut spécifique d'une politique effective dépasse la limite autorisée, par exemple lorsque plus de 10 règles sont définies pour un plan de sauvegarde. -
ELEMENTS_TOO_FEW— Se produit lorsqu'un attribut particulier d'une politique efficace n'atteint pas la limite minimale, par exemple lorsqu'aucune région n'est définie pour un plan de sauvegarde. -
KEY_REQUIRED— Se produit lorsqu'une configuration requise est absente de la politique effective, par exemple lorsqu'une règle de sauvegarde est absente d'un plan de sauvegarde.
Avertissement
Si un compte de l'organisation possède une politique effective non valide, ce compte ne recevra pas de mises à jour de politique effectives pour le type de politique en question. Elle se poursuit avec la dernière politique valide appliquée pour le compte, sauf si toutes les erreurs sont corrigées.
Validations par type de politique
Politique de sauvegarde
Supposons que vous créiez une politique de sauvegarde comportant neuf règles de sauvegarde et que vous l'associiez à la racine de votre organisation. Par la suite, vous créez une autre politique de sauvegarde pour le même plan de sauvegarde (avec deux règles supplémentaires) et vous l'associez à n'importe quel compte de l'organisation. Dans ce cas, il existe une politique en vigueur non valide sur le compte. Elle n'est pas valide car l'agrégation des deux politiques définit 11 règles pour le plan de sauvegarde. La limite est de 10 règles de sauvegarde par plan.
Politique de balises
Les politiques en vigueur en matière de balises sont soumises aux validations suivantes :
-
La taille effective de la politique de balises ne doit pas dépasser 395 000 caractères. Multi-byte les caractères (tels que ceux en chinois, japonais ou coréen) consomment plus d'espace et réduiront cette limite en conséquence. Si l'agrégation de toutes les politiques de balises héritées et directement attachées au niveau du compte aboutit à une politique effective de plus de 395 000 caractères, la politique effective est considérée comme non valide.
-
Le nombre de clés de balise uniques requises par type de ressource ne doit pas dépasser 50. Supposons que vous attachiez à la racine une politique de balise contenant 30 clés de balise requises pour les instances EC2, puis que vous attachiez ultérieurement une autre politique de balise avec 25 clés de balise requises différentes pour les instances EC2 à une unité d'organisation. Dans ce cas, il existe une politique en vigueur non valide sur les comptes de cette unité d'organisation. Elle n'est pas valide car l'agrégation des deux politiques définit 55 clés de balise uniques requises pour un seul type de ressource. La limite est de 50 clés de balise uniques obligatoires par type de ressource. Cette limite est validée à la fois sur les politiques de balises individuelles et sur la politique effective agrégée.