Sintaxis y ejemplos de políticas declarativas - AWS Organizations
ConsideracionesSintaxis de políticas declarativasPolíticas declarativas compatibles

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Sintaxis y ejemplos de políticas declarativas

En esta página se describe la sintaxis de la política declarativa y se proporcionan ejemplos.

Consideraciones

  • Al configurar un atributo de servicio mediante una política declarativa, puede afectar a varios APIs. Cualquier acción no conforme generará un error.

  • Los administradores de cuentas no podrán modificar el valor del atributo de servicio al nivel de una cuenta individual.

Sintaxis de políticas declarativas

Una política declarativa es un archivo de texto sin formato que se estructura de acuerdo con las reglas de JSON. La sintaxis de las políticas declarativas sigue la sintaxis de todos los tipos de políticas de administración. Para obtener una explicación completa de esa sintaxis, consulte Sintaxis y herencia de políticas para tipos de políticas de administración. Este tema se centra en aplicar esa sintaxis general a los requisitos específicos del tipo de política declarativa.

En el siguiente ejemplo se muestra la sintaxis básica de una política declarativa:

{
  "ec2_attributes": {
    "exception_message": {
      "@@assign": "Your custom error message.https://myURL"
    }
  }
}

  • El nombre de clave del campo ec2_attributes. Las políticas declarativas siempre comienzan con un nombre de clave fijo para cada una de ellas. Servicio de AWS Es la línea superior del ejemplo de política anterior. Por ahora, las políticas declarativas solo admiten servicios relacionados con Amazon EC2.

  • En ec2_attributes, puede utilizar exception_message para configurar un mensaje de error personalizado. Para obtener más información, consulte Mensajes de error personalizados para las políticas declarativas.

  • En ec2_attributes, puede insertar una o más de las políticas declarativas compatibles. Para ver esos esquemas, consulte Políticas declarativas compatibles.

Políticas declarativas compatibles

Los siguientes son los atributos Servicios de AWS y atributos que admiten las políticas declarativas. En algunos de los ejemplos siguientes, el formato de espacio en blanco JSON podría comprimirse para ahorrar espacio.

  • Bloqueo de acceso público de la VPC

  • Acceso a la consola serie

  • Bloqueo de acceso público de la imagen

  • Configuración de imágenes permitida

  • Metadatos de instancia

  • Bloqueo de acceso público de las instantáneas

VPC Block Public Access

Efecto de la política

Controla si los recursos de Amazon VPCs y las subredes pueden llegar a Internet a través de las puertas de enlace de Internet ()IGWs. Para obtener más información, consulte Configuración del acceso a Internet en la Guía del usuario de Amazon Virtual Private Cloud.

Contenidos de la política

{
  "ec2_attributes": {
    "vpc_block_public_access": {
      "internet_gateway_block": {
        "mode": {
          "@@assign": "block_ingress"
        },
        "exclusions_allowed": {
          "@@assign": "enabled"
        }
      }
    }
  }
}

A continuación, se muestran los campos disponibles para este atributo:

  • "internet_gateway":

    • "mode":

      • "off": el BPA de la VPC no está activado.

      • "block_ingress": Se bloquea todo el tráfico de Internet que llega a VPCs (excepto VPCs el de las subredes, que están excluidas). Solo se permite el tráfico hacia y desde las puertas de enlace NAT y las puertas de enlace de Internet solo de salida, ya que estas puertas de enlace solo permiten establecer conexiones salientes.

      • "block_bidirectional": Se bloquea todo el tráfico hacia y desde las pasarelas de Internet y las pasarelas de Internet que solo son de salida (excepto las excluidas VPCs y las subredes).

  • "exclusions_allowed": una exclusión es un modo que se puede aplicar a una sola VPC o subred y que la exime del modo BPA de la VPC de la cuenta y permitirá el acceso bidireccional o solo de salida.

    • "enabled": la cuenta puede crear exclusiones.

    • "disabled": la cuenta no puede crear exclusiones.

    nota

    Puede usar el atributo para configurar si se permiten las exclusiones, pero no puede crear exclusiones con este atributo en sí. Para crear exclusiones, debe crearlas en la cuenta propietaria de la VPC. Para obtener más información sobre cómo crear exclusiones del BPA de la VPC, consulte Crear y eliminar exclusiones en la Guía del usuario de Amazon VPC.

Consideraciones

Si utiliza este atributo en una política declarativa, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es definitiva:

  • ModifyVpcBlockPublicAccessOptions

  • CreateVpcBlockPublicAccessExclusion

  • ModifyVpcBlockPublicAccessExclusion

Serial Console Access

Efecto de la política

Controla el acceso a la consola serie de EC2. Para obtener más información sobre la consola serie de EC2, consulte Consola serie de EC2 en la Guía del usuario de Amazon Elastic Compute Cloud.

Contenidos de la política

{
  "ec2_attributes": {
    "serial_console_access": {
      "status": {
        "@@assign": "enabled"
      }
    }
  }
}

A continuación, se muestran los campos disponibles para este atributo:

  • "status":

    • "enabled": se permite el acceso a la consola serie de EC2.

    • "disabled": el acceso a la consola serie de EC2 está bloqueado.

Consideraciones

Si utiliza este atributo en una política declarativa, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es definitiva:

  • EnableSerialConsoleAccess

  • DisableSerialConsoleAccess

Image Block Public Access

Efecto de la política

Controla si Amazon Machine Images (AMIs) se puede compartir públicamente. Para obtener más información AMIs, consulte Amazon Machine Images (AMIs) en la Guía del usuario de Amazon Elastic Compute Cloud.

Contenidos de la política

{
  "ec2_attributes": {
    "image_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

A continuación, se muestran los campos disponibles para este atributo:

  • "state":

    • "unblocked": No hay restricciones a la hora de compartir públicamente AMIs.

    • "block_new_sharing": Bloquea el nuevo intercambio público de AMIs. AMIs las que ya se compartieron públicamente permanecen disponibles públicamente.

Consideraciones

Si utiliza este atributo en una política declarativa, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es definitiva:

  • EnableImageBlockPublicAccess

  • DisableImageBlockPublicAccess

Allowed Images Settings

Efecto de la política

Controla la detección y el uso de Amazon Machine Images (AMI) en Amazon EC2 con Allowed. AMIs Para obtener más información AMIs, consulte Controlar el descubrimiento y el uso de las AMI en Amazon EC2 con Allowed AMIs en la guía del usuario de Amazon Elastic Compute Cloud.

Contenidos de la política

A continuación, se muestran los campos disponibles para este atributo:

{
  "ec2_attributes": {
    "allowed_images_settings": {
      "state": {
        "@@assign": "enabled"
      },
      "image_criteria": {
        "criteria_1": {
          "allowed_image_providers": {
            "@@append": [
              "amazon"
            ]
          }
        }
      }
    }
  }
}

  • "state":

    • "enabled": el atributo está activo y se aplica.

    • "disabled": el atributo está inactivo y no se aplica.

    • "audit_mode": el atributo está en modo de auditoría. Esto significa que se identificarán las imágenes que no cumplan con los requisitos, pero no se bloqueará su uso.

  • "image_criteria": una lista de criterios. Admite hasta 10 criterios con los nombres criteria_1 a criteria_10

    • "allowed_image_providers": una lista separada por comas de la cuenta de 12 dígitos IDs o el alias del propietario de Amazon, aws_marketplace y aws_backup_vault.

    • "image_names": los nombres de las imágenes permitidas. Los nombres pueden incluir caracteres comodín (? y *). Longitud: de 1 a 128 caracteres. Con ?, los caracteres mínimos son 3.

    • "marketplace_product_codes": Los códigos de producto de AWS Marketplace para las imágenes permitidas. Longitud: de 1 a 25 caracteres. Caracteres válidos: letras (de la A a la Z, de la a la z) y números (del 0 al 9)

    • "creation_date_condition": la antigüedad máxima de las imágenes permitidas.

      • "maximum_days_since_created": el número máximo de días que han transcurrido desde que se creó la imagen. Rango válido: valor mínimo de 0. Valor máximo de 2147483647.

    • "deprecation_time_condition": el periodo máximo desde la obsolescencia de las imágenes permitidas.

      • "maximum_days_since_deprecated": el número máximo de días que han transcurrido desde que la imagen quedó obsoleta. Rango válido: valor mínimo de 0. Valor máximo de 2147483647.

Consideraciones

Si utiliza este atributo en una política declarativa, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es definitiva:

  • EnableAllowedImagesSettings

  • ReplaceImageCriteriaInAllowedImagesSettings

  • DisableAllowedImagesSettings

Instance Metadata

Efecto de la política

Controla los valores predeterminados del IMDS y la aplicación del IMDSv2 para todos los lanzamientos de instancias EC2 nuevas. Para obtener más información sobre los valores predeterminados y la IMDSv2 aplicación del IMDS, consulte Usar metadatos de instancia para administrar su instancia EC2 en la Guía del usuario de Amazon EC2.

Contenidos de la política

A continuación, se muestran los campos disponibles para este atributo:

{
  "ec2_attributes": {
    "instance_metadata_defaults": {
      "http_tokens": {
        "@@assign": "required"
      },
      "http_put_response_hop_limit": {
        "@@assign": "4"
      },
      "http_endpoint": {
        "@@assign": "enabled"
      },
      "instance_metadata_tags": {
        "@@assign": "enabled"
      },
      "http_tokens_enforced": {
        "@@assign": "enabled"
      }
    }
  }
}

  • "http_tokens":

    • "no_preference": se aplican otros valores predeterminados. Por ejemplo, si corresponde, la AMI es la opción predeterminada.

    • "required": debe usarse IMDSv2 . IMDSv1 no está permitido.

    • "optional": Ambos IMDSv1 IMDSv2 están permitidos.

    nota

    Versión de metadatos

    Antes de http_tokens configurarla required (IMDSv2 debe usarse), asegúrate de que ninguna de tus instancias esté realizando IMDSv1 llamadas. Para obtener más información, consulte el paso 1: identificar las instancias con IMDSv2 =optional y auditar el IMDSv1 uso en la Guía del usuario de Amazon EC2.

  • "http_put_response_hop_limit":

    • "Integer": valor entero comprendido entre -1 y 64, que representa el número máximo de saltos que puede recorrer el token de metadatos. Si no desea indicar ninguna preferencia, especifique -1.

    nota

    Límite de saltos

    Si http_tokens se establece en required, se recomienda establecer http_put_response_hop_limit en un mínimo de 2. Para obtener más información, consulte Consideraciones del acceso a metadatos de instancia en la Guía del usuario de Amazon Elastic Compute Cloud.

  • "http_endpoint":

    • "no_preference": se aplican otros valores predeterminados. Por ejemplo, si corresponde, la AMI es la opción predeterminada.

    • "enabled": se puede acceder al punto de conexión del servicio de metadatos de la instancia.

    • "disabled": no se puede acceder al punto de conexión del servicio de metadatos de la instancia.

  • "instance_metadata_tags":

    • "no_preference": se aplican otros valores predeterminados. Por ejemplo, si corresponde, la AMI es la opción predeterminada.

    • "enabled": se puede acceder a las etiquetas de instancia desde los metadatos de la instancia.

    • "disabled": no se puede acceder a las etiquetas de instancia desde los metadatos de la instancia.

  • "http_tokens_enforced":

    • "no_preference": se aplican otros valores predeterminados. Por ejemplo, si corresponde, la AMI es la opción predeterminada.

    • "enabled": IMDSv2 debe usarse. Los intentos de lanzar una IMDSv1 instancia o de habilitarla IMDSv1 en las instancias existentes fallarán.

    • "disabled": IMDSv2 Se permiten ambas IMDSv1 opciones.

    aviso

    IMDSv2 cumplimiento

    Habilitar IMDSv2 la aplicación mientras se permite IMDSv1 y IMDSv2 (token opcional) provocará errores en el lanzamiento, a menos que IMDSv1 se deshabilite explícitamente, ya sea mediante los parámetros de lanzamiento o los valores predeterminados de la AMI. Para obtener más información, consulte El lanzamiento de una instancia IMDSv1 habilitada falla en la Guía del usuario de Amazon EC2.

Snapshot Block Public Access

Efecto de la política

Controla si las instantáneas de Amazon EBS son de acceso público. Para obtener más información sobre las instantáneas de EBS, consulte Instantáneas de Amazon EBS en la Guía del usuario de Amazon Elastic Block Store.

Contenidos de la política

{
  "ec2_attributes": {
    "snapshot_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

A continuación, se muestran los campos disponibles para este atributo:

  • "state":

    • "block_all_sharing": bloquea todo el uso compartido público de las instantáneas. Las instantáneas que ya se compartieron públicamente se consideran privadas y dejan de ser de acceso público.

    • "block_new_sharing": bloquea el uso compartido público nuevo de las instantáneas. Las instantáneas que ya se compartieron públicamente seguirán siendo de acceso público.

    • "unblocked": no hay restricciones sobre el uso compartido público de las instantáneas.

Consideraciones

Si utiliza este atributo en una política declarativa, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es definitiva:

  • EnableSnapshotBlockPublicAccess

  • DisableSnapshotBlockPublicAccess