Syntax und Beispiele für deklarative Richtlinien - AWS Organizations
ÜberlegungenSyntax für deklarative RichtlinienUnterstützte deklarative Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Syntax und Beispiele für deklarative Richtlinien

Diese Seite beschreibt die Syntax deklarativer Richtlinien und enthält Beispiele.

Überlegungen

  • Wenn Sie ein Dienstattribut mithilfe einer deklarativen Richtlinie konfigurieren, kann sich dies auf mehrere auswirken. APIs Alle Aktionen, die nicht konform sind, schlagen fehl.

  • Kontoadministratoren können den Wert des Dienstattributs nicht auf individueller Kontoebene ändern.

Syntax für deklarative Richtlinien

Eine deklarative Richtlinie ist eine Klartextdatei, die nach den Regeln von JSON strukturiert ist. Die Syntax für deklarative Richtlinien folgt der Syntax für alle Verwaltungsrichtlinientypen. Eine umfassende Erläuterung dieser Syntax finden Sie unter Richtliniensyntax und Vererbung für Verwaltungsrichtlinientypen. Dieses Thema konzentriert sich auf die Anwendung dieser allgemeinen Syntax auf die spezifischen Anforderungen des deklarativen Richtlinientyps.

Das folgende Beispiel zeigt die grundlegende Syntax für deklarative Richtlinien:

{
  "ec2_attributes": {
    "exception_message": {
      "@@assign": "Your custom error message.https://myURL"
    }
  }
}

  • Der Schlüsselname des Feldes ec2_attributes. Deklarative Richtlinien beginnen immer mit einem festen Schlüsselnamen für den angegebenen Schlüssel. AWS-Service Er befindet sich in der obersten Zeile der aufgeführten Beispielrichtlinie. Derzeit unterstützten deklarative Richtlinien nur Dienste im Zusammenhang mit Amazon EC2.

  • Unter können Sie verwendenec2_attributes, exception_message um eine benutzerdefinierte Fehlermeldung festzulegen. Weitere Informationen finden Sie unter Benutzerdefinierte Fehlermeldungen für deklarative Richtlinien.

  • Unter ec2_attributes können Sie eine oder mehrere der unterstützten deklarativen Richtlinien einfügen. Informationen zu diesen Schemas finden Sie unter. Unterstützte deklarative Richtlinien

Unterstützte deklarative Richtlinien

Im Folgenden sind die Attribute AWS-Services und aufgeführt, die von deklarativen Richtlinien unterstützt werden. In einigen der folgenden Beispiele kann die JSON-Leerzeichenformatierung komprimiert sein, um Platz zu sparen.

  • VPC blockiert öffentlichen Zugriff

  • Zugriff auf serielle Konsole

  • Öffentlicher Zugriff auf Bild blockieren

  • Einstellungen für zulässige Bilder

  • Instance-Metadaten

  • Snapshot: Öffentlichen Zugriff blockieren

VPC Block Public Access

Auswirkung auf die Richtlinie

Steuert, ob Ressourcen in Amazon VPCs und Subnetzen über Internet-Gateways () IGWs auf das Internet zugreifen können. Weitere Informationen finden Sie unter Konfiguration für den Internetzugang im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch.

Inhalt der Richtlinie

{
  "ec2_attributes": {
    "vpc_block_public_access": {
      "internet_gateway_block": {
        "mode": {
          "@@assign": "block_ingress"
        },
        "exclusions_allowed": {
          "@@assign": "enabled"
        }
      }
    }
  }
}

Die folgenden Felder sind für dieses Attribut verfügbar:

  • "internet_gateway":

    • "mode":

      • "off": VPC BPA ist nicht aktiviert.

      • "block_ingress": Der gesamte Internetverkehr zu den VPCs (mit Ausnahme VPCs der ausgeschlossenen Subnetze) ist blockiert. Nur der Datenverkehr von und zu NAT-Gateways und Internet-Gateways nur für ausgehenden Verkehr wird zugelassen, da diese Gateways nur den Aufbau von ausgehenden Verbindungen erlauben.

      • "block_bidirectional": Der gesamte Verkehr zu und von Internet-Gateways und Internet-Gateways, die nur für ausgehenden Datenverkehr bestimmt sind (mit Ausnahme von ausgeschlossenen VPCs Verbindungen und Subnetzen), ist blockiert.

  • "exclusions_allowed": Ein Ausschluss ist ein Modus, der auf eine einzelne VPC oder ein einzelnes Subnetz angewendet werden kann und diese vom VPC-BPA-Modus des Kontos ausnimmt und bidirektionalen Zugriff oder nur ausgehenden Zugriff ermöglicht.

    • "enabled": Ausschlüsse können vom Konto erstellt werden.

    • "disabled": Ausschlüsse können nicht vom Konto erstellt werden.

    Anmerkung

    Sie können das Attribut verwenden, um zu konfigurieren, ob Ausschlüsse zulässig sind, Sie können jedoch keine Ausschlüsse mit diesem Attribut selbst erstellen. Um Ausschlüsse zu erstellen, müssen Sie sie in dem Konto erstellen, dem die VPC gehört. Weitere Informationen zum Erstellen von VPC-BPA-Ausschlüssen finden Sie unter Ausnahmen erstellen und löschen im Amazon VPC-Benutzerhandbuch.

Überlegungen

Wenn Sie dieses Attribut in einer deklarativen Richtlinie verwenden, können Sie die folgenden Operationen nicht verwenden, um die erzwungene Konfiguration für die Konten im Gültigkeitsbereich zu ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:

  • ModifyVpcBlockPublicAccessOptions

  • CreateVpcBlockPublicAccessExclusion

  • ModifyVpcBlockPublicAccessExclusion

Serial Console Access

Politische Wirkung

Steuert, ob auf die serielle EC2-Konsole zugegriffen werden kann. Weitere Informationen zur seriellen EC2-Konsole finden Sie unter EC2 Serial Console im Amazon Elastic Compute Cloud-Benutzerhandbuch.

Inhalt der Richtlinie

{
  "ec2_attributes": {
    "serial_console_access": {
      "status": {
        "@@assign": "enabled"
      }
    }
  }
}

Die folgenden Felder sind für dieses Attribut verfügbar:

  • "status":

    • "enabled": Der Zugriff auf die serielle EC2-Konsole ist zulässig.

    • "disabled": Der Zugriff auf die serielle EC2-Konsole ist blockiert.

Überlegungen

Wenn Sie dieses Attribut in einer deklarativen Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:

  • EnableSerialConsoleAccess

  • DisableSerialConsoleAccess

Image Block Public Access

Politische Wirkung

Steuert, ob Amazon Machine Images (AMIs) öffentlich geteilt werden können. Weitere Informationen zu AMIs finden Sie unter Amazon Machine Images (AMIs) im Amazon Elastic Compute Cloud-Benutzerhandbuch.

Inhalt der Richtlinie

{
  "ec2_attributes": {
    "image_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

Die folgenden Felder sind für dieses Attribut verfügbar:

  • "state":

    • "unblocked": Keine Einschränkungen beim öffentlichen Teilen von AMIs.

    • "block_new_sharing": Blockiert das neue öffentliche Teilen von AMIs. AMIs die bereits öffentlich geteilt wurden, bleiben weiterhin öffentlich verfügbar.

Überlegungen

Wenn Sie dieses Attribut in einer deklarativen Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:

  • EnableImageBlockPublicAccess

  • DisableImageBlockPublicAccess

Allowed Images Settings

Politische Wirkung

Steuert die Erkennung und Verwendung von Amazon Machine Images (AMI) in Amazon EC2 mit Allowed AMIs. Weitere Informationen AMIs dazu finden Sie unter Steuern der Erkennung und Verwendung von AMIs in Amazon EC2 mit Allowed AMIs im Amazon Elastic Compute Cloud-Benutzerhandbuch.

Inhalt der Richtlinie

Die folgenden Felder sind für dieses Attribut verfügbar:

{
  "ec2_attributes": {
    "allowed_images_settings": {
      "state": {
        "@@assign": "enabled"
      },
      "image_criteria": {
        "criteria_1": {
          "allowed_image_providers": {
            "@@append": [
              "amazon"
            ]
          }
        }
      }
    }
  }
}

  • "state":

    • "enabled": Das Attribut ist aktiv und wird erzwungen.

    • "disabled": Das Attribut ist inaktiv und wird nicht erzwungen.

    • "audit_mode": Das Attribut befindet sich im Überwachungsmodus. Das bedeutet, dass es nicht konforme Bilder identifiziert, deren Verwendung jedoch nicht blockiert.

  • "image_criteria": Eine Liste von Kriterien. Support bis zu 10 Kriterien mit dem Namen von Kriteria_1 bis Kriteria_10

    • "allowed_image_providers": Eine durch Kommas getrennte Liste mit 12-stelligen Konto IDs - oder Inhaber-Alias von Amazon, aws_marketplace, aws_backup_vault.

    • "image_names": Die Namen der erlaubten Bilder. Namen können Platzhalter enthalten (? und *). Länge: 1—128 Zeichen. Mit? , das Minimum sind 3 Zeichen.

    • "marketplace_product_codes": Die AWS Marketplace-Produktcodes für zulässige Bilder. Länge: 1—25 Zeichen Gültige Zeichen: Buchstaben (A—Z, a—z) und Zahlen (0—9)

    • "creation_date_condition": Das Höchstalter für erlaubte Bilder.

      • "maximum_days_since_created": Die maximale Anzahl von Tagen, die seit der Erstellung des Images vergangen sind. Gültiger Bereich: Mindestwert 0. Maximalwert: 2147483647.

    • "deprecation_time_condition": Der maximale Zeitraum seit dem Verfallsdatum für zulässige Bilder.

      • "maximum_days_since_deprecated": Die maximale Anzahl von Tagen, die vergangen sind, seit das Bild veraltet ist. Gültiger Bereich: Mindestwert 0. Der Maximalwert ist 2147483647.

Überlegungen

Wenn Sie dieses Attribut in einer deklarativen Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:

  • EnableAllowedImagesSettings

  • ReplaceImageCriteriaInAllowedImagesSettings

  • DisableAllowedImagesSettings

Instance Metadata

Politische Wirkung

Steuert die IMDS-Standardeinstellungen und die IMDSv2-Durchsetzung für alle neuen EC2-Instance-Starts. Weitere Informationen zu IMDS-Standardeinstellungen und deren IMDSv2 Durchsetzung finden Sie unter Verwenden von Instance-Metadaten zur Verwaltung Ihrer EC2-Instance im Amazon EC2 EC2-Benutzerhandbuch.

Inhalt der Richtlinie

Die folgenden Felder sind für dieses Attribut verfügbar:

{
  "ec2_attributes": {
    "instance_metadata_defaults": {
      "http_tokens": {
        "@@assign": "required"
      },
      "http_put_response_hop_limit": {
        "@@assign": "4"
      },
      "http_endpoint": {
        "@@assign": "enabled"
      },
      "instance_metadata_tags": {
        "@@assign": "enabled"
      },
      "http_tokens_enforced": {
        "@@assign": "enabled"
      }
    }
  }
}

  • "http_tokens":

    • "no_preference": Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.

    • "required": IMDSv2 muss verwendet werden. IMDSv1 ist nicht erlaubt.

    • "optional": Beides IMDSv1 und IMDSv2 sind erlaubt.

    Anmerkung

    Version der Metadaten

    Stellen Sie vor der Einstellung http_tokens auf required (IMDSv2 muss verwendet werden) sicher, dass keine Ihrer Instanzen IMDSv1 Aufrufe tätigt. Weitere Informationen finden Sie unter Schritt 1: Identifizieren von Instances mit IMDSv2 =optional und Audit der IMDSv1 Nutzung im Amazon EC2 EC2-Benutzerhandbuch.

  • "http_put_response_hop_limit":

    • "Integer": Ganzzahlwert zwischen -1 und 64, der die maximale Anzahl von Hops darstellt, die das Metadaten-Token zurücklegen kann. Wenn Sie keine Präferenz angeben möchten, geben Sie -1 an.

    Anmerkung

    Hop-Limit

    Wenn auf gesetzt http_tokens istrequired, wird empfohlen, einen http_put_response_hop_limit Wert von mindestens 2 einzustellen. Weitere Informationen finden Sie unter Überlegungen zum Zugriff auf Instance-Metadaten im Amazon Elastic Compute Cloud-Benutzerhandbuch.

  • "http_endpoint":

    • "no_preference": Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.

    • "enabled": Auf den Endpunkt des Instanz-Metadatendienstes kann zugegriffen werden.

    • "disabled": Auf den Endpunkt des Instanz-Metadatendienstes kann nicht zugegriffen werden.

  • "instance_metadata_tags":

    • "no_preference": Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.

    • "enabled": Auf Instance-Tags kann über Instance-Metadaten zugegriffen werden.

    • "disabled": Über Instanz-Metadaten kann nicht auf Instanz-Tags zugegriffen werden.

  • "http_tokens_enforced":

    • "no_preference": Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.

    • "enabled": IMDSv2 muss verwendet werden. Versuche, eine IMDSv1 Instance zu starten oder sie IMDSv1 auf vorhandenen Instances zu aktivieren, schlagen fehl.

    • "disabled": Beides IMDSv1 und IMDSv2 sind erlaubt.

    Warnung

    IMDSv2 Durchsetzung

    Die Aktivierung der IMDSv2 Erzwingung bei gleichzeitigem Zulassen von IMDSv1 und IMDSv2 (Token optional) führt zu Startfehlern, sofern dies nicht ausdrücklich deaktiviert IMDSv1 ist, entweder über Startparameter oder AMI-Standardeinstellungen. Weitere Informationen finden Sie unter Launching an IMDSv1 -enabled instance failed im Amazon EC2 EC2-Benutzerhandbuch.

Snapshot Block Public Access

Auswirkung der Richtlinie

Steuert, ob Amazon EBS-Snapshots öffentlich zugänglich sind. Weitere Informationen zu EBS-Snapshots finden Sie unter Amazon EBS-Snapshots im Amazon Elastic Block Store-Benutzerhandbuch.

Inhalt der Richtlinie

{
  "ec2_attributes": {
    "snapshot_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

Die folgenden Felder sind für dieses Attribut verfügbar:

  • "state":

    • "block_all_sharing": Blockiert das öffentliche Teilen von Schnappschüssen. Schnappschüsse, die bereits öffentlich geteilt wurden, werden als privat behandelt und sind nicht mehr öffentlich verfügbar.

    • "block_new_sharing": Blockiert das neue öffentliche Teilen von Schnappschüssen. Schnappschüsse, die bereits öffentlich geteilt wurden, bleiben öffentlich verfügbar.

    • "unblocked": Keine Einschränkungen beim öffentlichen Teilen von Schnappschüssen.

Überlegungen

Wenn Sie dieses Attribut in einer deklarativen Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:

  • EnableSnapshotBlockPublicAccess

  • DisableSnapshotBlockPublicAccess