Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Deklarative Richtlinien
Mit deklarativen Richtlinien können Sie Ihre gewünschte Konfiguration für eine bestimmte Größe AWS-Service im gesamten Unternehmen zentral deklarieren und durchsetzen. Einmal hinzugefügt, wird die Konfiguration immer beibehalten, wenn der Service neue Funktionen hinzufügt oder APIs. Verwenden Sie deklarative Richtlinien, um nicht konforme Aktionen zu verhindern. Sie können beispielsweise den öffentlichen Internetzugang zu Amazon VPC-Ressourcen in Ihrer gesamten Organisation blockieren.
Die wichtigsten Vorteile der Verwendung deklarativer Richtlinien sind:
+ **Benutzerfreundlichkeit**: Sie können die Basiskonfiguration für eine AWS-Service mit wenigen Auswahlen in den AWS Organizations und AWS Control Tower -Konsolen oder mit einigen Befehlen mithilfe von & erzwingen. AWS CLI AWS SDKs
+ **Einmal einrichten und vergessen**: Die Basiskonfiguration für eine AWS-Service wird immer beibehalten, auch wenn der Dienst neue Funktionen einführt oder APIs. Die Basiskonfiguration wird auch beibehalten, wenn einer Organisation neue Konten hinzugefügt werden oder wenn neue Prinzipale und Ressourcen erstellt werden.
+ **Transparenz**: Mit dem Kontostatusbericht können Sie den aktuellen Status aller Attribute überprüfen, die durch deklarative Richtlinien für die betreffenden Konten unterstützt werden. Sie können auch anpassbare Fehlermeldungen erstellen, die Administratoren dabei helfen können, Endbenutzer auf interne Wiki-Seiten weiterzuleiten, oder eine beschreibende Meldung bereitstellen, die Endbenutzern hilft, zu verstehen, warum eine Aktion fehlgeschlagen ist.
Eine vollständige Liste der unterstützten Attribute AWS-Services und Attribute finden Sie unter[Unterstützte Eigenschaften AWS-Services und Attribute](#orgs_manage_policies_declarative-supported-controls).
**Topics**
+ [Wie funktionieren deklarative Richtlinien](#orgs_manage_policies_declarative-how-work)
+ [Benutzerdefinierte Fehlermeldungen](#orgs_manage_policies_declarative-custom-message)
+ [Bericht über den Kontostatus](#orgs_manage_policies_declarative-account-status-report)
+ [Unterstützte Services](#orgs_manage_policies_declarative-supported-controls)
+ [Erste Schritte](orgs_manage_policies-declarative_getting-started.md)
+ [Best Practices](orgs_manage_policies_declarative_best-practices.md)
+ [Generierung des Kontostatusberichts](orgs_manage_policies_declarative_status-report.md)
+ [Syntax und Beispiele für deklarative Richtlinien](orgs_manage_policies_declarative_syntax.md)
## Wie funktionieren deklarative Richtlinien
Deklarative Richtlinien werden in der Steuerungsebene des Dienstes durchgesetzt. Dies ist ein wichtiger Unterschied zu [Autorisierungsrichtlinien wie Dienststeuerungsrichtlinien (SCPs) und Ressourcenkontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_authorization_policies.html) (). RCPs Autorisierungsrichtlinien regeln zwar den Zugriff auf APIs, deklarative Richtlinien werden jedoch direkt auf Serviceebene angewendet, um dauerhafte Absichten durchzusetzen. Dadurch wird sichergestellt, dass die Basiskonfiguration immer durchgesetzt wird, auch wenn neue Funktionen oder APIs Dienste eingeführt werden.
Die folgende Tabelle verdeutlicht diesen Unterschied und enthält einige Anwendungsfälle.
****
| | Service-Kontrollrichtlinien | Ressourcen-Kontrollrichtlinien | Deklarative Richtlinien |
| --- | --- | --- | --- |
| Warum? | Um konsistente Zugriffskontrollen für Prinzipale (wie IAM-Benutzer und IAM-Rollen) zentral und in großem Umfang zu definieren und durchzusetzen. | Zentrale Definition und Durchsetzung einheitlicher Zugriffskontrollen für Ressourcen in großem Umfang | Um die Basiskonfiguration für skalierbare AWS Services zentral zu definieren und durchzusetzen. |
| Wenn ja, wie? | Durch die Steuerung der maximal verfügbaren Zugriffsberechtigungen von Prinzipalen auf API-Ebene. | Durch die Steuerung der maximal verfügbaren Zugriffsberechtigungen für Ressourcen auf API-Ebene. | Durch die Durchsetzung der gewünschten Konfiguration von und AWS-Service ohne Verwendung von API-Aktionen. |
| Regelt serviceverknüpfte Rollen? | Nein | Nein | Ja |
| Feedback-Mechanismus | SCP-Fehler: Nicht anpassbarer Zugriff verweigert. | RCP-Fehler „Nicht anpassbarer Zugriff verweigert“. | Anpassbare Fehlermeldung. Weitere Informationen finden Sie unter [Benutzerdefinierte Fehlermeldungen für deklarative Richtlinien](#orgs_manage_policies_declarative-custom-message). |
| Beispielrichtline | [Verweigern Sie Mitgliedskonten, die Organisation zu verlassen](https://github.com/aws-samples/service-control-policy-examples/blob/main/Privileged-access-controls/Deny-member-accounts-from-leaving-your-AWS-organization.json) | [Beschränken Sie den Zugriff auf Ihre Ressourcen nur auf HTTPS-Verbindungen](https://github.com/aws-samples/resource-control-policy-examples/blob/main/Restrict-resource-access-patterns/Restrict-access-to-only-HTTPS-connections-to-your-resources.json) | [Einstellungen für zulässige Bilder](orgs_manage_policies_declarative_syntax.md#declarative-policy-ec2-ami-allowed-images) |
Nachdem Sie eine deklarative Richtlinie [erstellt](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-declarative-policy-procedure) und [angehängt](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html) haben, wird sie in Ihrer gesamten Organisation angewendet und durchgesetzt. Deklarative Richtlinien können auf eine gesamte Organisation, Organisationseinheiten (OUs) oder Konten angewendet werden. Konten, die einer Organisation beitreten, erben automatisch die deklarativen Richtlinien in der Organisation. Weitere Informationen finden Sie unter [Vererbung von Verwaltungsrichtlinien verstehen](orgs_manage_policies_inheritance_mgmt.md).
Bei der *effektiven Richtlinie* handelt es sich um eine Reihe von Regeln, die vom Stamm der Organisation übernommen und OUs zusammen mit den Regeln, die direkt mit dem Konto verknüpft sind, übernommen werden. Die gültige Richtlinie legt die endgültigen Regeln fest, die für das Konto gelten. Weitere Informationen finden Sie unter [Effektive Verwaltungsrichtlinien anzeigen](orgs_manage_policies_effective.md).
Wenn eine deklarative Richtlinie [getrennt](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html) wird, wird der Status des Attributs auf den vorherigen Status zurückgesetzt, bevor die deklarative Richtlinie angehängt wurde.
## Benutzerdefinierte Fehlermeldungen für deklarative Richtlinien
Mit deklarativen Richtlinien können Sie benutzerdefinierte Fehlermeldungen erstellen. Wenn beispielsweise ein API-Vorgang aufgrund einer deklarativen Richtlinie fehlschlägt, können Sie die Fehlermeldung festlegen oder eine benutzerdefinierte URL angeben, z. B. einen Link zu einem internen Wiki oder einen Link zu einer Meldung, die den Fehler beschreibt. Wenn Sie keine benutzerdefinierte Fehlermeldung angeben, wird die AWS Organizations folgende Standardfehlermeldung angezeigt:`Example: This action is denied due to an organizational policy in effect`.
Sie können den Prozess der Erstellung deklarativer Richtlinien, der Aktualisierung deklarativer Richtlinien und des Löschens deklarativer Richtlinien auch mit überprüfen. AWS CloudTrail CloudTrail kann API-Betriebsfehler aufgrund deklarativer Richtlinien kennzeichnen. Weitere Informationen finden Sie unter [Protokollierung und Überwachung](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_security_incident-response.html).
**Wichtig**
Nehmen Sie keine *personenbezogenen Daten (PII)* oder andere vertrauliche Informationen in eine benutzerdefinierte Fehlermeldung auf. PII umfassen allgemeine Informationen, die zur Identifizierung oder Lokalisierung einer Person verwendet werden können. Es umfasst Aufzeichnungen wie finanzielle, medizinische, schulische oder berufliche Daten. Zu den PII-Beispielen gehören Adressen, Bankkontonummern und Telefonnummern.
## Kontostatusbericht für deklarative Richtlinien
Mit dem *Kontostatusbericht* können Sie den aktuellen Status aller Attribute überprüfen, die durch deklarative Richtlinien für die betreffenden Konten unterstützt werden. Sie können die Konten und Organisationseinheiten (OUs) auswählen, die in den Berichtsbereich aufgenommen werden sollen, oder Sie können eine gesamte Organisation auswählen, indem Sie den Stamm auswählen.
Dieser Bericht hilft Ihnen bei der Bewertung der Bereitschaft, indem er eine Aufschlüsselung nach Regionen enthält und angibt, ob der aktuelle Status eines Attributs *kontenübergreifend einheitlich* (durch`numberOfMatchedAccounts`) oder *inkonsistent* (durch die`numberOfUnmatchedAccounts`) ist. Sie können auch den *häufigsten Wert* sehen, d. h. den Konfigurationswert, der für das Attribut am häufigsten beobachtet wird.
In Abbildung 1 gibt es einen generierten Kontostatusbericht, der die Einheitlichkeit der Konten für die folgenden Attribute zeigt: VPC Block Public Access und Image Block Public Access. Das bedeutet, dass für jedes Attribut alle Konten im Gültigkeitsbereich dieselbe Konfiguration für dieses Attribut haben.
Der generierte Kontostatusbericht zeigt inkonsistente Konten für die folgenden Attribute: Einstellungen für zulässige Bilder, Standardeinstellungen für Instanz-Metadaten, Zugriff auf serielle Konsole und Snapshot Block Public Access. In diesem Beispiel ist jedes Attribut mit einem inkonsistenten Konto darauf zurückzuführen, dass es ein Konto mit einem anderen Konfigurationswert gibt.
Wenn es einen häufigsten Wert gibt, wird dieser in der entsprechenden Spalte angezeigt. Ausführlichere Informationen darüber, was jedes Attribut steuert, finden Sie unter [Syntax für deklarative Richtlinien und Beispielrichtlinien](orgs_manage_policies_declarative_syntax.md).
Sie können ein Attribut auch erweitern, um eine Aufschlüsselung nach Regionen anzuzeigen. In diesem Beispiel wurde Image Block Public Access erweitert, und in jeder Region können Sie sehen, dass auch die Konten einheitlich sind.
Die Entscheidung, eine deklarative Richtlinie zur Durchsetzung einer Basiskonfiguration beizufügen, hängt von Ihrem spezifischen Anwendungsfall ab. Anhand des Kontostatusberichts können Sie beurteilen, ob Sie bereit sind, bevor Sie eine deklarative Richtlinie anhängen.
Weitere Informationen finden Sie unter [Kontostatusbericht](orgs_manage_policies_declarative_status-report.md) erstellen.
*Abbildung 1: Beispiel für einen Kontostatusbericht mit einheitlicher Darstellung aller Konten für VPC Block Public Access und Image Block Public Access.*
## Unterstützte Eigenschaften AWS-Services und Attribute
### Unterstützte Attribute für deklarative Richtlinien für EC2
Die folgende Tabelle zeigt die Attribute, die für Amazon EC2 EC2-bezogene Services unterstützt werden.
**Deklarative Richtlinien für EC2**
- **Amazon VPC**
- **Attribut:** VPC blockiert öffentlichen Zugriff
- **Politische Wirkung:** Steuert, ob Ressourcen in Amazon VPCs und Subnetzen über Internet-Gateways () IGWs auf das Internet zugreifen können.
- **Inhalt der Richtlinie:** [Richtlinie anzeigen](orgs_manage_policies_declarative_syntax.md#declarative-policy-vpc-block-public-access)
- **Weitere Informationen:** Weitere Informationen finden Sie unter [Blockieren des öffentlichen Zugriffs auf VPCs und Subnetze](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa.html) im Amazon VPC-Benutzerhandbuch.
- **Amazon EC2**
- **Attribut:** Zugriff auf serielle Konsole / **Politische Wirkung:** Steuert, ob auf die serielle EC2-Konsole zugegriffen werden kann. / **Inhalt der Richtlinie:** [Richtlinie anzeigen](orgs_manage_policies_declarative_syntax.md#declarative-policy-ec2-serial-console-access) / **Weitere Informationen:** Weitere Informationen finden [Sie unter Zugriff auf die serielle EC2-Konsole konfigurieren](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configure-access-to-serial-console.html) im Amazon Elastic Compute Cloud-Benutzerhandbuch.
- **Attribut:** Öffentlicher Zugriff auf Bild blockieren / **Politische Wirkung:** Steuert, ob Amazon Machine Images (AMIs) öffentlich geteilt werden können. / **Inhalt der Richtlinie:** [Richtlinie anzeigen](orgs_manage_policies_declarative_syntax.md#declarative-policy-ec2-ami-block-public-access) / **Weitere Informationen:** Weitere Informationen finden Sie unter [Grundlegendes zum Blockieren des öffentlichen Zugriffs für AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/block-public-access-to-amis.html) im Amazon Elastic Compute Cloud-Benutzerhandbuch.
- **Attribut:** Einstellungen für zulässige Bilder / **Politische Wirkung:** Steuert die Erkennung und Verwendung von Amazon Machine Images (AMI) in Amazon EC2 mit Allowed AMIs. / **Inhalt der Richtlinie:** [Richtlinie anzeigen](orgs_manage_policies_declarative_syntax.md#declarative-policy-ec2-ami-allowed-images) / **Weitere Informationen:** Weitere Informationen finden Sie unter [Amazon Machine Images (AMIs)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-allowed-amis.html) im Amazon Elastic Compute Cloud-Benutzerhandbuch.
- **Attribut:** Standardeinstellungen für Instanz-Metadaten / **Politische Wirkung:** Steuert die IMDS-Standardeinstellungen für alle Starts neuer EC2-Instances. / **Inhalt der Richtlinie:** [Richtlinie anzeigen](orgs_manage_policies_declarative_syntax.md#declarative-policy-default-imds-version) / **Weitere Informationen:** Weitere Informationen finden [Sie unter Konfigurieren von Instance-Metadatenoptionen für neue Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html) im Amazon Elastic Compute Cloud-Benutzerhandbuch.
- **Amazon EBS**
- **Attribut:** Snapshot: Öffentlichen Zugriff blockieren
- **Politische Wirkung:** Steuert, ob Amazon EBS-Snapshots öffentlich zugänglich sind.
- **Inhalt der Richtlinie:** [Richtlinie anzeigen](orgs_manage_policies_declarative_syntax.md#declarative-policy-vpc-eb2-snapshots-block-public-access)
- **Weitere Informationen:** Weitere Informationen finden Sie unter [Blockieren des öffentlichen Zugriffs für Amazon EBS-Snapshots](https://docs.aws.amazon.com/ebs/latest/userguide/block-public-access-snapshots.html) im Amazon Elastic Block Store-Benutzerhandbuch.