View a markdown version of this page

Información sobre las alertas por políticas efectivas no válidas - AWS Organizations
Detecte políticas declarativas efectivas no válidas en su organizaciónCuándo una política declarativa efectiva puede considerarse inválida

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Información sobre las alertas por políticas efectivas no válidas

Las alertas de políticas no válidas le permiten conocer las políticas en vigor no válidas y proporcionan mecanismos (API) para identificar las cuentas con políticas no válidas. AWS Organizations te notifica de forma asíncrona cuando una de tus cuentas tiene una política en vigor no válida. La notificación aparece como un banner en la página de la AWS Organizations consola y se registra como un evento. AWS CloudTrail

Detecte políticas declarativas efectivas no válidas en su organización

Hay varias formas de ver las políticas declarativas efectivas no válidas en su organización: desde la consola de AWS administración, la AWS API, la interfaz de línea de AWS comandos (CLI) o como un AWS CloudTrail evento.

Permisos mínimos

Para obtener información relacionada con las políticas en vigor no válidas de un tipo de política declarativa en su organización, debe tener permiso para ejecutar las siguientes acciones:

  • organizations:ListAccountsWithInvalidEffectivePolicy

  • organizations:ListEffectivePolicyValidationErrors

  • organizations:ListRoots: solo se requiere cuando se utiliza la consola de Organizations

Consola de administración de AWS
Para ver las políticas declarativas en vigor no válidas desde la consola

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS, si su organización tiene políticas efectivas no válidas, aparecerá un banner de advertencia en la parte superior de la página.

  3. En el banner, haga clic en Ver problemas detectados para consultar la lista de todas las cuentas de su organización que tienen políticas efectivas no válidas.

  4. Para cada cuenta de la lista, seleccione Ver problemas para obtener más información sobre los errores de cada cuenta que se muestran en las secciones Problemas de las políticas efectivas de esta página.

AWS CLI & AWS SDKs
Para ver la política vigente de un tipo de política declarativa para una cuenta

Los siguientes comandos permiten consultar las cuentas con políticas efectivas no válidas

Los siguientes comandos permiten consultar los errores de las política efectivas en una cuenta

AWS CloudTrail

Puede usar AWS CloudTrail los eventos para monitorear cuándo las cuentas de sus organizaciones tienen políticas declarativas efectivas no válidas y cuándo las políticas son fijas. Para obtener más información, consulte Ejemplos de políticas eficaces en Descripción de las entradas de los archivos de AWS Organizations registro.

Si recibe una notificación de política en vigor no válida, puede navegar por la AWS Organizations consola o llamar a estas API desde su cuenta de administración o de administrador delegado para obtener más información sobre el estado de cuentas y políticas específicas:

  • ListAccountsWithInvalidEffectivePolicy: devuelve una lista de cuentas en la organización que tiene políticas efectivas inválidas de un tipo específico.

  • ListEffectivePolicyValidationErrors— Devuelve una lista de errores de validación para una cuenta y un tipo de política declarativa específicos. Los errores de validación contienen detalles, como el código de error, la descripción del error y las políticas que contribuyeron a invalidar la política efectiva.

Cuándo una política declarativa efectiva puede considerarse inválida

Las políticas efectivas en una cuenta pueden dejar de ser válidas si infringen las restricciones definidas para el tipo de política en particular. Por ejemplo, es posible que a una política le falte un parámetro obligatorio en la política efectiva final o que supere determinadas cuotas definidas para el tipo de política.

Ejemplos de políticas de copia de seguridad

Supongamos que usted crea una política de copias de seguridad con nueve reglas de copias de seguridad y la asocia a la raíz de su organización. Posteriormente, crea otra política de copias de seguridad para el mismo plan de copias de seguridad (con dos reglas más) y la asocia a cualquier cuenta de la organización. En ese caso, habrá una política efectiva no válida en la cuenta. No es válida porque la agregación de las dos políticas define 11 reglas para el plan de copias de seguridad. El límite es de 10 reglas de copias de seguridad en un plan.

aviso

Si alguna cuenta de la organización tiene una política efectiva no válida, esa cuenta no recibirá las actualizaciones de la política efectiva para ese tipo de política en particular. Continúa con la última política válida efectiva aplicada a la cuenta, a menos que se solucionen todos los errores.

Ejemplos de posibles errores para las políticas efectivas

  • ELEMENTS_TOO_MANY: se produce cuando un atributo concreto de una política efectiva supera el límite permitido. Por ejemplo, cuando se especifican más de 10 reglas para un plan alternativo.

  • ELEMENTS_TOO_FEW: se produce cuando un atributo concreto de una política efectiva no alcanza el límite mínimo. Por ejemplo, cuando no se ha definido ninguna región para un plan de copias de seguridad.

  • KEY_REQUIRED: se produce cuando falta una configuración necesaria en la política efectiva. Por ejemplo, cuando un plan de copia de seguridad no incluye una regla de copia de seguridad.

AWS Organizations valida las políticas en vigor antes de aplicarlas a las cuentas de su organización. Este proceso de auditoría es especialmente útil si tiene una estructura organizativa grande y si las políticas de la organización las administran más de un equipo.