本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 關於無效的有效政策提醒
<a name="invalid-policy-alerts"></a>

*無效的政策提醒*可讓您了解無效的有效政策，並提供機制 APIs) 來識別具有無效政策的帳戶。當其中一個帳戶具有無效的有效政策時， 會以非同步方式 AWS Organizations 通知您。通知會在 AWS Organizations 主控台頁面中顯示為橫幅，並記錄為事件 AWS CloudTrail 。

## 偵測組織中無效的有效管理政策
<a name="detect-invalid-policies"></a>

您可以透過多種方式檢視組織中無效的有效管理政策：從 AWS 管理主控台、 AWS API、 AWS 命令列界面 (CLI) 或 作為 AWS CloudTrail 事件。

**最低許可**  
 若要尋找組織中管理政策類型無效有效政策的相關資訊，您必須具有執行下列動作的許可：  
`organizations:ListAccountsWithInvalidEffectivePolicy`
`organizations:ListEffectivePolicyValidationErrors`
`organizations:ListRoots` - 只有在使用 Organizations 主控台時才需要

------
#### [ AWS 管理主控台 ]

**從主控台檢視無效的有效管理政策**

1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。

1. 在**[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)**頁面上，如果您的組織有無效的有效政策，則頁面頂端會顯示警告橫幅。

1. 在橫幅中，按一下**檢視偵測到的問題**，以檢視組織中具有無效有效政策的所有帳戶清單。

1. 針對清單中的每個帳戶，選取**檢視問題**以取得此頁面**有效政策問題**區段下每個帳戶錯誤的詳細資訊。

------
#### [ AWS CLI & AWS SDKs ]

**檢視帳戶管理政策類型的有效政策**  
下列命令可協助您檢視具有無效有效政策的帳戶
+ AWS CLI：[list-accounts-with-invalid-effective-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts-with-invalid-effective-policy.html)
+ AWS SDKs：[ListAccountsWithInvalidEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccountsWithInvalidEffectivePolicy.html) 

**下列命令可協助您檢視 帳戶上的有效政策錯誤**
+ AWS CLI：[list-effective-policy-validation-errors](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-effective-policy-validation-errors.html)
+ AWS SDKs：[ListEffectivePolicyValidationErrors](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListEffectivePolicyValidationErrors.html) 

------

**AWS CloudTrail**

您可以使用 AWS CloudTrail 事件來監控組織中的帳戶何時具有無效的有效管理政策，以及何時修正政策。如需詳細資訊，請參閱[了解 AWS Organizations 日誌檔案項目](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_cloudtrail-integration.html#understanding-service-name-entries)中的*有效政策範例*。

如果您收到無效的有效政策通知，您可以瀏覽 AWS Organizations 主控台，或從管理或委派管理員帳戶呼叫這些 APIs，以尋找特定帳戶和政策狀態的詳細資訊：
+  `ListAccountsWithInvalidEffectivePolicy` – 傳回組織中具有指定類型之無效有效政策的帳戶清單。
+ `ListEffectivePolicyValidationErrors` – 傳回指定帳戶和管理政策類型的驗證錯誤清單。驗證錯誤包含詳細資訊，包括錯誤代碼、錯誤描述和使有效政策無效的貢獻政策。

## 當有效的管理政策可能被視為無效時
<a name="effective-policy-invalid"></a>

如果帳戶上的有效政策違反特定政策類型定義的限制條件，則這些政策可能會失效。例如，政策可能缺少最終有效政策中的必要參數，或超過針對政策類型定義的特定配額。

**備份政策範例**

假設您建立具有九個備份規則的備份政策，並將其連接到組織的根目錄。稍後，您會為相同的備份計劃建立另一個備份政策，其中包含另外兩個規則，並將其連接到組織中的任何帳戶。在這種情況下，帳戶上有無效的有效政策。它無效，因為兩個政策的彙總會定義備份計劃的 11 個規則。計畫中的限制為 10 個備份規則。

**警告**  
如果組織中的任何帳戶具有無效的有效政策，則該帳戶將不會收到特定政策類型的有效政策更新。除非修正所有錯誤，否則它會繼續為帳戶套用上次套用的有效有效政策。

**有效政策的可能錯誤範例**
+ `ELEMENTS_TOO_MANY` – 當有效政策中的特定屬性超過允許的限制，例如為備份計劃提供超過 10 個規則時，就會發生。
+ `ELEMENTS_TOO_FEW` – 當有效政策中的特定屬性不符合最低限制，例如未為備份計劃定義區域時，就會發生。
+ `KEY_REQUIRED` – 當有效政策中缺少必要的組態，例如備份計劃缺少備份規則時，就會發生。

AWS Organizations 會先驗證有效政策，再將其套用至組織中的帳戶。如果您有大型組織結構，而且組織的政策是由多個團隊管理，則此稽核程序特別有用。