本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用声明性策略的最佳实践
<a name="orgs_manage_policies_declarative_best-practices"></a>

AWS 推荐使用声明式策略的以下最佳实践。

## 利用就绪情况评测
<a name="bp-declarative-readiness"></a>

使用声明性策略*账户状态报告*，来评估范围内账户的声明性策略支持的所有属性的当前状态。您可以选择要包含在报告范围内的账户和组织单位 (OUs)，也可以通过选择根目录来选择整个组织。

此报告提供区域细分来帮助您评估就绪情况，并评测属性的当前状态是*跨账户统一*（通过 `numberOfMatchedAccounts`）还是*不一致*（通过 `numberOfUnmatchedAccounts`）。您还可以看到*最常见值*，即该属性中最常观察到的配置值。

是否选择附加声明性策略来强制执行基准配置，取决于具体的使用案例。

有关更多信息以及说明性示例，请参阅[声明性策略的账户状态报告](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-account-status-report)。

## 从小处着手，然后逐步扩展
<a name="bp-declarative-rules"></a>

要简化调试，请从测试策略开始。在进行下一个更改之前，验证每个更改的行为和影响。此方法可以减少出现错误或意外结果时必须考虑的变量数量。

例如，您可以从非关键测试环境中附加到单个账户的测试策略开始。在确认该政策符合您的规格后，您可以逐步将该策略在组织结构中向上移动到更多账户和更多组织单位（OUs）。

## 建立审查流程
<a name="bp-declarative-review"></a>

实施相关流程，以监控新的声明性属性、评估策略例外情况并进行调整，以确保符合组织的安全性和操作要求。

## 使用 `DescribeEffectivePolicy` 验证更改
<a name="bp-declarative-workflow"></a>

更改声明性策略后，请检查低于您更改级别的代表账户的有效策略。您可以[通过使用 AWS 管理控制台、或使用 [DescribeEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeEffectivePolicy.html)API 操作或其变体 AWS CLI 或 AWS SDK 变体之一来查看有效的策略](orgs_manage_policies_effective.md)。确保您所做的更改对有效策略产生预期影响。

## 沟通与培训
<a name="bp-declarative-train"></a>

确保您的组织了解声明性策略的目的和影响。就预期行为以及如何处理因执行策略而导致的失败提供明确的指导。