翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 無効な有効ポリシーアラートについて
<a name="invalid-policy-alerts"></a>

*無効なポリシーアラート*は、無効な有効なポリシーについて知らせ、無効なポリシーを持つアカウントを識別するためのメカニズム (APIs) を提供します。いずれかのアカウントに無効な有効なポリシーがある場合、 は非同期的に AWS Organizations 通知します。通知は AWS Organizations コンソールページにバナーとして表示され、イベントとして AWS CloudTrail 記録されます。

## 組織内の無効な有効管理ポリシーを検出する
<a name="detect-invalid-policies"></a>

組織内の無効な有効な管理ポリシーを表示するには、 AWS マネジメントコンソール、 AWS API、 AWS コマンドラインインターフェイス (CLI)、または AWS CloudTrail イベントとして、いくつかの方法があります。

**最小アクセス許可**  
 組織内の管理ポリシータイプの無効な有効ポリシーに関連する情報を検索するには、次のアクションを実行するアクセス許可が必要です。  
`organizations:ListAccountsWithInvalidEffectivePolicy`
`organizations:ListEffectivePolicyValidationErrors`
`organizations:ListRoots` – Organizations コンソールを使用する場合にのみ必要

------
#### [ AWS マネジメントコンソール ]

**コンソールから無効な有効管理ポリシーを表示するには**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザー ([非推奨](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) としてサインインする必要があります。

1. **[AWS アカウント](https://console.aws.amazon.com/organizations/v2/home/accounts)** ページでは、組織に無効な有効ポリシーがある場合、ページの上部に警告バナーが表示されます。

1. バナーで、**[検出された問題を表示]** をクリックして、無効な有効ポリシーを持つ組織内のすべてのアカウントのリストを表示します。

1. リスト内の各アカウントについて、**[問題の表示]** を選択して、このページの **[有効なポリシーの問題]** セクションに示されている各アカウントのエラーに関する詳細情報を取得します。

------
#### [ AWS CLI & AWS SDKs ]

**アカウントの管理ポリシータイプの有効なポリシーを表示するには**  
以下のコマンドは、無効な有効ポリシーを持つアカウントを表示するのに役立ちます。
+ AWS CLI: [list-accounts-with-invalid-effective-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts-with-invalid-effective-policy.html)
+ AWS SDKs: [ListAccountsWithInvalidEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccountsWithInvalidEffectivePolicy.html) 

**次のコマンドは、アカウントで有効なポリシーエラーを表示するのに役立ちます。**
+ AWS CLI: [list-effective-policy-validation-errors](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-effective-policy-validation-errors.html)
+ AWS SDKs: [ListEffectivePolicyValidationErrors](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListEffectivePolicyValidationErrors.html) 

------

**AWS CloudTrail**

 AWS CloudTrail イベントを使用して、組織内のアカウントに無効な有効な管理ポリシーがあるかどうか、およびポリシーが修正されたかどうかをモニタリングできます。詳細については、[AWS Organizations 「ログファイルエントリを理解する](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_cloudtrail-integration.html#understanding-service-name-entries)」の*「有効なポリシーの例*」を参照してください。

無効な有効なポリシー通知を受け取った場合は、 AWS Organizations コンソールを操作するか、管理アカウントまたは委任管理者アカウントからこれらの APIs を呼び出して、特定のアカウントとポリシーのステータスに関する詳細を確認できます。
+  `ListAccountsWithInvalidEffectivePolicy` – 指定されたタイプの無効な有効ポリシーを持つ組織内のアカウントのリストを返します。
+ `ListEffectivePolicyValidationErrors` – 指定されたアカウントと管理ポリシータイプの検証エラーのリストを返します。検証エラーには、エラーコード、エラーの説明、有効なポリシーを無効にした寄与ポリシーなどの詳細が含まれます。

## 有効な管理ポリシーが無効と見なされる可能性がある場合
<a name="effective-policy-invalid"></a>

アカウントの有効なポリシーは、特定のポリシータイプに定義された制約に違反すると無効になる可能性があります。例えば、ポリシーが最終的な有効なポリシーで必須パラメータを欠落しているか、ポリシータイプに定義されている特定のクォータを超えている可能性があります。

**バックアップポリシーの例**

9 つのバックアップルールを使用してバックアップポリシーを作成し、組織のルートにアタッチするとします。後で、同じバックアッププランに 2 つのルールを追加して別のバックアップポリシーを作成し、組織内の任意のアカウントにアタッチします。この場合、アカウントには無効な有効ポリシーがあります。2 つのポリシーの集約により、バックアッププランに 11 のルールが定義されるため、無効です。プラン内のバックアップルールの上限は 10 です。

**警告**  
組織内のいずれかのアカウントに無効な有効ポリシーがある場合、そのアカウントは特定のポリシータイプの有効なポリシー更新を受信しません。すべてのエラーが修正されない限り、アカウントに対して最後に適用された有効な有効ポリシーが続きます。

**有効なポリシーで発生する可能性のあるエラーの例**
+ `ELEMENTS_TOO_MANY` – バックアッププランに 10 を超えるルールが指定されているなど、有効なポリシー内の特定の属性が許可された制限を超えた場合に発生します。
+ `ELEMENTS_TOO_FEW` – バックアッププランにリージョンが定義されていない場合など、有効なポリシー内の特定の属性が最小制限を満たさない場合に発生します。
+ `KEY_REQUIRED` – バックアッププランにバックアップルールがない場合など、有効なポリシーに必要な設定がない場合に発生します。

AWS Organizations は、有効なポリシーを検証してから、組織内のアカウントに適用します。この監査プロセスは、組織構造が大きい、または組織のポリシーが複数のチームによって管理されているなどの場合に特に役立ちます。