Sintassi ed esempi delle politiche dichiarative - AWS Organizations
ConsiderazioniSintassi per le politiche dichiarativePolitiche dichiarative supportate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sintassi ed esempi delle politiche dichiarative

Questa pagina descrive la sintassi delle politiche dichiarative e fornisce esempi.

Considerazioni

  • Quando si configura un attributo di servizio utilizzando una politica dichiarativa, ciò potrebbe influire su più fattori. APIs Qualsiasi azione non conforme fallirà.

  • Gli amministratori degli account non saranno in grado di modificare il valore dell'attributo di servizio a livello di singolo account.

Sintassi per le politiche dichiarative

Una politica dichiarativa è un file di testo semplice strutturato secondo le regole di JSON. La sintassi per le politiche dichiarative segue la sintassi di tutti i tipi di politiche di gestione. Per una discussione completa di tale sintassi, consulta Policy syntax and inheritance for management policy types. Questo argomento si concentra sull'applicazione di tale sintassi generale ai requisiti specifici del tipo di politica dichiarativa.

L'esempio seguente mostra la sintassi di base della politica dichiarativa:

{
  "ec2_attributes": {
    "exception_message": {
      "@@assign": "Your custom error message.https://myURL"
    }
  }
}

  • Il nome della chiave di campo ec2_attributes. Le politiche dichiarative iniziano sempre con un nome di chiave fisso per il dato. Servizio AWSÈ la prima riga nella policy di esempio precedente. Attualmente le politiche dichiarative supportavano solo i servizi correlati ad Amazon EC2.

  • Inec2_attributes, puoi utilizzare exception_message per impostare un messaggio di errore personalizzato. Per ulteriori informazioni, consulta Messaggi di errore personalizzati per le politiche dichiarative.

  • Inec2_attributes, puoi inserire una o più delle politiche dichiarative supportate. Per questi schemi, vedi. Politiche dichiarative supportate

Politiche dichiarative supportate

Di seguito sono riportati gli attributi Servizi AWS e supportati dalle politiche dichiarative. In alcuni degli esempi seguenti, la formattazione degli spazi bianchi JSON potrebbe essere compressa per risparmiare spazio.

  • VPC blocca l'accesso pubblico

  • Accesso alla console seriale

  • Accesso pubblico a Image Block

  • Impostazioni delle immagini consentite

  • Metadata delle istanze

  • Snapshot Block Public Access

VPC Block Public Access

Effetto della politica

Controlla se le risorse in Amazon VPCs e le sottoreti possono raggiungere Internet tramite gateway Internet (). IGWs Per ulteriori informazioni, consulta Configurazione per l'accesso a Internet nella Guida per l'utente di Amazon Virtual Private Cloud.

Contenuto della policy

{
  "ec2_attributes": {
    "vpc_block_public_access": {
      "internet_gateway_block": {
        "mode": {
          "@@assign": "block_ingress"
        },
        "exclusions_allowed": {
          "@@assign": "enabled"
        }
      }
    }
  }
}

Di seguito sono riportati i campi disponibili per questo attributo:

  • "internet_gateway":

    • "mode":

      • "off": VPC BPA non è abilitato.

      • "block_ingress": Tutto il traffico Internet verso VPCs (ad eccezione VPCs delle sottoreti che sono escluse) è bloccato. È consentito solo il traffico da e verso i gateway NAT e i gateway Internet egress-only, poiché questi gateway consentono solo di stabilire connessioni in uscita.

      • "block_bidirectional": Tutto il traffico da e verso i gateway Internet e i gateway Internet solo in uscita (ad eccezione delle sottoreti e delle sottoreti escluse) è bloccato. VPCs

  • "exclusions_allowed": Un'esclusione è una modalità che può essere applicata a un singolo VPC o sottorete che lo esenta dalla modalità VPC BPA dell'account e consentirà l'accesso bidirezionale o solo in uscita.

    • "enabled": Le esclusioni possono essere create dall'account.

    • "disabled": Le esclusioni non possono essere create dall'account.

    Nota

    È possibile utilizzare l'attributo per configurare se le esclusioni sono consentite, ma non è possibile creare esclusioni con questo attributo stesso. Per creare esclusioni, devi crearle nell'account che possiede il VPC. Per ulteriori informazioni sulla creazione di esclusioni VPC BPA, consulta Creare ed eliminare esclusioni nella Amazon VPC User Guide.

Considerazioni

Se utilizzi questo attributo in una politica dichiarativa, non puoi utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:

  • ModifyVpcBlockPublicAccessOptions

  • CreateVpcBlockPublicAccessExclusion

  • ModifyVpcBlockPublicAccessExclusion

Serial Console Access

Effetto politico

Controlla se la console seriale EC2 è accessibile. Per ulteriori informazioni sulla console seriale EC2, consulta Console seriale EC2 nella Amazon Elastic Compute Cloud User Guide.

Contenuti della policy

{
  "ec2_attributes": {
    "serial_console_access": {
      "status": {
        "@@assign": "enabled"
      }
    }
  }
}

Di seguito sono riportati i campi disponibili per questo attributo:

  • "status":

    • "enabled": L'accesso alla console seriale EC2 è consentito.

    • "disabled": l'accesso alla console seriale EC2 è bloccato.

Considerazioni

Se si utilizza questo attributo in una politica dichiarativa, non è possibile utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:

  • EnableSerialConsoleAccess

  • DisableSerialConsoleAccess

Image Block Public Access

Effetto politico

Controlla se Amazon Machine Images (AMIs) è condivisibile pubblicamente. Per ulteriori informazioni AMIs, consulta Amazon Machine Images (AMIs) nella Amazon Elastic Compute Cloud User Guide.

Contenuti della policy

{
  "ec2_attributes": {
    "image_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

Di seguito sono riportati i campi disponibili per questo attributo:

  • "state":

    • "unblocked": Nessuna restrizione alla condivisione pubblica di AMIs.

    • "block_new_sharing": Blocca la nuova condivisione pubblica di AMIs. AMIs che erano già condivisi pubblicamente rimangono disponibili al pubblico.

Considerazioni

Se si utilizza questo attributo in una politica dichiarativa, non è possibile utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:

  • EnableImageBlockPublicAccess

  • DisableImageBlockPublicAccess

Allowed Images Settings

Effetto politico

Controlla il rilevamento e l'uso di Amazon Machine Images (AMI) in Amazon EC2 con Allowed. AMIs Per ulteriori informazioni AMIs, consulta Controllare l'individuazione e l'uso delle AMI in Amazon EC2 with AMIs Allowed nella Amazon Elastic Compute Cloud User Guide.

Contenuti della policy

Di seguito sono riportati i campi disponibili per questo attributo:

{
  "ec2_attributes": {
    "allowed_images_settings": {
      "state": {
        "@@assign": "enabled"
      },
      "image_criteria": {
        "criteria_1": {
          "allowed_image_providers": {
            "@@append": [
              "amazon"
            ]
          }
        }
      }
    }
  }
}

  • "state":

    • "enabled": L'attributo è attivo e applicato.

    • "disabled": l'attributo è inattivo e non applicato.

    • "audit_mode": L'attributo è in modalità di controllo. Ciò significa che identificherà le immagini non conformi ma non ne bloccherà l'utilizzo.

  • "image_criteria": Un elenco di criteri. Supporta fino a 10 criteri con il nome da criteria_1 a criteria_10

    • "allowed_image_providers": un elenco separato da virgole di account IDs a 12 cifre o alias del proprietario di Amazon, aws_marketplace, aws_backup_vault.

    • "image_names": i nomi delle immagini consentite. I nomi possono includere caratteri jolly (? e *). Lunghezza: 1—128 caratteri. Con? , il minimo è di 3 caratteri.

    • "marketplace_product_codes": i codici prodotto del AWS Marketplace per le immagini consentite. Lunghezza: 1-25 caratteri Caratteri validi: lettere (A—Z, a—z) e numeri (0—9)

    • "creation_date_condition": L'età massima consentita per le immagini.

      • "maximum_days_since_created": Il numero massimo di giorni trascorsi dalla creazione dell'immagine. Intervallo valido: valore minimo di 0. Valore massimo di 2147483647.

    • "deprecation_time_condition": periodo massimo di deprecazione per le immagini consentite.

      • "maximum_days_since_deprecated": Il numero massimo di giorni trascorsi da quando l'immagine è diventata obsoleta. Intervallo valido: valore minimo di 0. Valore massimo di 2147483647.

Considerazioni

Se si utilizza questo attributo in una politica dichiarativa, non è possibile utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:

  • EnableAllowedImagesSettings

  • ReplaceImageCriteriaInAllowedImagesSettings

  • DisableAllowedImagesSettings

Instance Metadata

Effetto politico

Controlla le impostazioni predefinite IMDS e l'applicazione di IMDSv2 per tutti i lanci di nuove istanze EC2. Per ulteriori informazioni sulle impostazioni predefinite e sull' IMDSv2 applicazione dell'IMDS, consulta Use i metadati delle istanze per gestire l'istanza EC2 nella Amazon EC2 User Guide.

Contenuti della policy

Di seguito sono riportati i campi disponibili per questo attributo:

{
  "ec2_attributes": {
    "instance_metadata_defaults": {
      "http_tokens": {
        "@@assign": "required"
      },
      "http_put_response_hop_limit": {
        "@@assign": "4"
      },
      "http_endpoint": {
        "@@assign": "enabled"
      },
      "instance_metadata_tags": {
        "@@assign": "enabled"
      },
      "http_tokens_enforced": {
        "@@assign": "enabled"
      }
    }
  }
}

  • "http_tokens":

    • "no_preference": si applicano altre impostazioni predefinite. Ad esempio, i valori predefiniti AMI, se applicabile.

    • "required": IMDSv2 deve essere usato. IMDSv1 non è consentito.

    • "optional": Sono IMDSv1 IMDSv2 consentiti entrambi.

    Nota

    Versione dei metadati

    Prima di http_tokens impostare su required (IMDSv2 deve essere usato), assicurati che nessuna delle tue istanze stia effettuando IMDSv1 chiamate. Per ulteriori informazioni, consulta la Fase 1: Identifica le istanze con IMDSv2 =optional e verifica IMDSv1 l'utilizzo nella Amazon EC2 User Guide.

  • "http_put_response_hop_limit":

    • "Integer": Valore intero compreso tra -1 e 64, che rappresenta il numero massimo di hop che il token di metadati può percorrere. Per non indicare alcuna preferenza, specificare -1.

    Nota

    Limite di hop

    Se http_tokens è impostato surequired, si consiglia di http_put_response_hop_limit impostarlo su un minimo di 2. Per ulteriori informazioni, consulta Considerazioni sull'accesso ai metadati dell'istanza nella Guida per l'utente di Amazon Elastic Compute Cloud.

  • "http_endpoint":

    • "no_preference": si applicano altre impostazioni predefinite. Ad esempio, i valori predefiniti AMI, se applicabile.

    • "enabled": L'endpoint del servizio di metadati dell'istanza è accessibile.

    • "disabled": l'endpoint del servizio di metadati dell'istanza non è accessibile.

  • "instance_metadata_tags":

    • "no_preference": si applicano altre impostazioni predefinite. Ad esempio, i valori predefiniti AMI, se applicabile.

    • "enabled": È possibile accedere ai tag di istanza dai metadati dell'istanza.

    • "disabled": Non è possibile accedere ai tag di istanza dai metadati dell'istanza.

  • "http_tokens_enforced":

    • "no_preference": si applicano altre impostazioni predefinite. Ad esempio, i valori predefiniti AMI, se applicabile.

    • "enabled": IMDSv2 deve essere usato. I tentativi di avviare un' IMDSv1 istanza o di attivarla IMDSv1 su istanze esistenti falliranno.

    • "disabled": entrambi IMDSv1 IMDSv2 sono consentiti.

    avvertimento

    IMDSv2 esecuzione

    Abilitare IMDSv2 l'imposizione mentre si consente IMDSv1 e IMDSv2 (token opzionale) causerà errori di avvio, a meno che non IMDSv1 sia esplicitamente disabilitato, tramite i parametri di avvio o le impostazioni predefinite dell'AMI. Per ulteriori informazioni, consulta Launching an IMDSv1 -enabled instance fail nella Amazon EC2 User Guide.

Snapshot Block Public Access

Effetto delle politiche

Controlla se gli snapshot di Amazon EBS sono accessibili pubblicamente. Per ulteriori informazioni sugli snapshot EBS, consulta gli snapshot di Amazon EBS nella Amazon Elastic Block Store User Guide.

Contenuto della policy

{
  "ec2_attributes": {
    "snapshot_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

Di seguito sono riportati i campi disponibili per questo attributo:

  • "state":

    • "block_all_sharing": blocca tutte le condivisioni pubbliche di istantanee. Le istantanee che erano già condivise pubblicamente vengono trattate come private e non sono più disponibili pubblicamente.

    • "block_new_sharing": blocca la nuova condivisione pubblica di istantanee. Le istantanee che erano già condivise pubblicamente rimangono disponibili pubblicamente.

    • "unblocked": nessuna restrizione alla condivisione pubblica delle istantanee.

Considerazioni

Se si utilizza questo attributo in una politica dichiarativa, non è possibile utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:

  • EnableSnapshotBlockPublicAccess

  • DisableSnapshotBlockPublicAccess