Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sintassi ed esempi delle policy EC2
Questa pagina descrive la sintassi delle policy EC2 e fornisce esempi.
Considerazioni
-
Quando configuri un attributo di servizio utilizzando una policy EC2, ciò potrebbe influire su più API. Qualsiasi azione non conforme fallirà.
-
Gli amministratori degli account non saranno in grado di modificare il valore dell'attributo di servizio a livello di singolo account.
Sintassi per le politiche EC2
Una policy EC2 è un file di testo semplice strutturato secondo le regole di JSON.
L'esempio seguente mostra la sintassi di base delle policy EC2:
{ "ec2_attributes": { "exception_message": { "@@assign": "Your custom error message.https://myURL" } } }
-
Il nome della chiave di campo
ec2_attributes. Le politiche dichiarative iniziano sempre con un nome di chiave fisso per un dato dato. Servizio AWSÈ la prima riga nella policy di esempio precedente. -
In
ec2_attributes, puoi usareexception_messageper impostare un messaggio di errore personalizzato. Per ulteriori informazioni, consulta Messaggi di errore personalizzati per le politiche EC2. -
In
ec2_attributes, puoi inserire una o più delle politiche EC2 supportate. Per questi schemi, vedi. Politiche EC2 supportate
Politiche EC2 supportate
Di seguito sono riportati gli attributi Servizi AWS e supportati dalle politiche EC2. In alcuni degli esempi seguenti, la formattazione degli spazi bianchi JSON potrebbe essere compressa per risparmiare spazio.
-
VPC blocca l'accesso pubblico
-
Accesso alla console seriale
-
Accesso pubblico a Image Block
-
Impostazioni delle immagini consentite
-
Metadata delle istanze
-
Snapshot Block Public Access
- VPC Block Public Access
-
Effetto della politica
Controlla se le risorse in Amazon VPC e sottoreti possono raggiungere Internet tramite gateway Internet (IGW). Per ulteriori informazioni, consulta Configurazione per l'accesso a Internet nella Guida per l'utente di Amazon Virtual Private Cloud.
Contenuto della policy
{ "ec2_attributes": { "vpc_block_public_access": { "internet_gateway_block": { "mode": { "@@assign": "block_ingress" }, "exclusions_allowed": { "@@assign": "enabled" } } } } }Di seguito sono riportati i campi disponibili per questo attributo:
-
"internet_gateway":-
"mode":-
"off": VPC BPA non è abilitato. -
"block_ingress": Tutto il traffico Internet verso i VPC (ad eccezione dei VPC o delle sottoreti che sono esclusi) è bloccato. È consentito solo il traffico da e verso i gateway NAT e i gateway Internet egress-only, poiché questi gateway consentono solo di stabilire connessioni in uscita. -
"block_bidirectional": Tutto il traffico da e verso i gateway Internet e i gateway Internet solo in uscita (ad eccezione dei VPC e delle sottoreti esclusi) è bloccato.
-
-
-
"exclusions_allowed": Un'esclusione è una modalità che può essere applicata a un singolo VPC o sottorete che lo esenta dalla modalità VPC BPA dell'account e consentirà l'accesso bidirezionale o solo in uscita.-
"enabled": Le esclusioni possono essere create dall'account. -
"disabled": Le esclusioni non possono essere create dall'account.
Nota
È possibile utilizzare l'attributo per configurare se le esclusioni sono consentite, ma non è possibile creare esclusioni con questo attributo stesso. Per creare esclusioni, devi crearle nell'account che possiede il VPC. Per ulteriori informazioni sulla creazione di esclusioni VPC BPA, consulta Creare ed eliminare esclusioni nella Amazon VPC User Guide.
-
Considerazioni
Se utilizzi questo attributo in una policy EC2, non puoi utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:
-
ModifyVpcBlockPublicAccessOptions -
CreateVpcBlockPublicAccessExclusion -
ModifyVpcBlockPublicAccessExclusion
-
- Serial Console Access
-
Effetto politico
Controlla se la console seriale EC2 è accessibile. Per ulteriori informazioni sulla console seriale EC2, consulta Console seriale EC2 nella Amazon Elastic Compute Cloud User Guide.
Contenuti della policy
{ "ec2_attributes": { "serial_console_access": { "status": { "@@assign": "enabled" } } } }Di seguito sono riportati i campi disponibili per questo attributo:
-
"status":-
"enabled": L'accesso alla console seriale EC2 è consentito. -
"disabled": l'accesso alla console seriale EC2 è bloccato.
-
Considerazioni
Se si utilizza questo attributo in una policy EC2, non è possibile utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:
-
EnableSerialConsoleAccess -
DisableSerialConsoleAccess
-
- Image Block Public Access
-
Effetto politico
Controlla se Amazon Machine Images (AMI) sono condivisibili pubblicamente. Per ulteriori informazioni sulle AMI, consulta Amazon Machine Images (AMI) nella Amazon Elastic Compute Cloud User Guide.
Contenuti della policy
{ "ec2_attributes": { "image_block_public_access": { "state": { "@@assign": "block_new_sharing" } } } }Di seguito sono riportati i campi disponibili per questo attributo:
-
"state":-
"unblocked": nessuna restrizione alla condivisione pubblica delle AMI. -
"block_new_sharing": blocca la nuova condivisione pubblica delle AMI. Le AMI che erano già condivise pubblicamente rimangono disponibili al pubblico.
-
Considerazioni
Se si utilizza questo attributo in una policy EC2, non è possibile utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:
-
EnableImageBlockPublicAccess -
DisableImageBlockPublicAccess
-
- Allowed Images Settings
-
Effetto politico
Controlla l'individuazione e l'uso di Amazon Machine Images (AMI) in Amazon EC2 con AMI consentite. Per ulteriori informazioni sulle AMI, consulta Controllare l'individuazione e l'uso delle AMI in Amazon EC2 con AMI consentite nella Amazon Elastic Compute Cloud User Guide.
Contenuto della policy
Di seguito sono riportati i campi disponibili per questo attributo:
{ "ec2_attributes": { "allowed_images_settings": { "state": { "@@assign": "enabled" }, "image_criteria": { "criteria_1": { "marketplace_product_codes": { "@@append": [ "abcdefg1234567890" ] } }, "criteria_2": { "allowed_image_providers": { "@@append": [ "123456789012", "123456789013" ] }, "creation_date_condition": { "maximum_days_since_created": { "@@assign": 300 } } }, "criteria_3": { "allowed_image_providers": { "@@assign": [ "123456789014" ] }, "image_names": { "@@assign": [ "golden-ami-*" ] } }, "criteria_4": { "allowed_image_providers": { "@@assign": [ "amazon" ] }, "deprecation_time_condition": { "maximum_days_since_deprecated": { "@@assign": 0 } } }, "criteria_5": { "image_watermarks": { "image_watermark_1": { "watermark_key": { "@@assign": "123456789015:approved-production-*" }, "source_image_region": { "@@assign": "us-east-1" }, "maximum_days_since_source_image_created": { "@@assign": 365 }, "maximum_days_since_watermark_created": { "@@assign": 90 } }, "image_watermark_2": { "watermark_key": { "@@assign": "123456789016:security-scanned" } } } } } } } }-
"state"(obbligatorio):-
"enabled": l'attributo è attivo e applicato. -
"disabled": l'attributo è inattivo e non applicato. -
"audit_mode": L'attributo è in modalità di controllo. Ciò significa che identificherà le immagini non conformi ma non ne bloccherà l'utilizzo.
-
-
"image_criteria"(opzionale): Un elenco di criteri. Supporta fino a 10 criteri con il nome da criteria_1 a criteria_10. Ogni criterio può contenere uno o più dei seguenti filtri:-
"allowed_image_providers": Un elenco di un massimo di 200 voci. Ogni voce è un ID di account a 12 cifre o un alias del proprietario diamazon,aws_marketplaceo.aws_backup_vault -
"image_names": Un elenco di un massimo di 50 nomi di immagini consentiti. I nomi possono includere caratteri jolly (?e*). Lunghezza: 1—128 caratteri. Con?, il minimo è di 3 caratteri. -
"marketplace_product_codes": un elenco di un massimo di 50 codici prodotto del AWS Marketplace per le immagini consentite. Lunghezza: da 1 a 25 caratteri. Caratteri validi: lettere (A—Z, a—z) e numeri (0—9). -
"creation_date_condition": L'età massima consentita per le immagini.-
"maximum_days_since_created": Il numero massimo di giorni trascorsi dalla creazione dell'immagine. Intervallo valido: 0-2147483647.
-
-
"deprecation_time_condition": periodo massimo di deprecazione per le immagini consentite.-
"maximum_days_since_deprecated": Il numero massimo di giorni trascorsi da quando l'immagine è diventata obsoleta. Intervallo valido: 0—2147483647.
-
-
"image_watermarks": Una raccolta di filtri di filigrana a cui un'immagine deve corrispondere. A ogni filtro viene assegnato un nomeimage_watermark_1.image_watermark_50L'immagine passa se un filtro corrisponde a una filigrana sull'immagine. All'interno di un filtro, tutti i campi specificati devono corrispondere alla stessa filigrana. Massimo 50 filtri per criterio.Campi all'interno di ogni filtro:
-
"watermark_key"(obbligatorio): La chiave della filigrana nel formato<account-id>:<watermark-name>. La parte relativa all'ID dell'account può essere un ID AWS account esatto a 12 cifre o uno schema che utilizza caratteri jolly (and).*?Il nome della filigrana deve contenere da 3 a 128 caratteri. Supporta i caratteri jolly (e).*?Caratteri validi: lettere (A—Z, a—z), numeri (0—9), spazi e.() []. / - ' @ _ -
"source_image_region"(opzionale): La AWS regione in cui è stata originariamente creata la filigrana. Supporta i caratteri jolly (*e?). -
"maximum_days_since_source_image_created"(opzionale): Il numero massimo di giorni trascorsi dalla creazione dell'immagine sorgente. Intervallo valido: 0—2147483647. -
"maximum_days_since_watermark_created"(facoltativo): Il numero massimo di giorni trascorsi dall'aggiunta della filigrana. Intervallo valido: 0—2147483647.
-
-
Considerazioni
Se si utilizza questo attributo in una policy EC2, non è possibile utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:
-
EnableAllowedImagesSettings -
ReplaceImageCriteriaInAllowedImagesSettings -
DisableAllowedImagesSettings
-
- Instance Metadata
-
Effetto politico
Controlla le impostazioni predefinite IMDS e l'applicazione di IMDSv2 per tutti i lanci di nuove istanze EC2. Per ulteriori informazioni sulle impostazioni predefinite IMDS e sull'applicazione di IMDSv2, consulta Use i metadati delle istanze per gestire l'istanza EC2 nella Amazon EC2 User Guide.
Contenuti della policy
Di seguito sono riportati i campi disponibili per questo attributo:
{ "ec2_attributes": { "instance_metadata_defaults": { "http_tokens": { "@@assign": "required" }, "http_put_response_hop_limit": { "@@assign": "4" }, "http_endpoint": { "@@assign": "enabled" }, "instance_metadata_tags": { "@@assign": "enabled" }, "http_tokens_enforced": { "@@assign": "enabled" } } } }-
"http_tokens":-
"no_preference": si applicano altre impostazioni predefinite. Ad esempio, i valori predefiniti AMI, se applicabile. -
"required": è necessario utilizzare IMDSv2. IMDSv1 non è consentito. -
"optional": Sono consentiti sia IMDSv1 che IMDSv2.
Nota
Versione dei metadati
Prima di
http_tokensimpostare surequired(è necessario utilizzare IMDSv2), assicurati che nessuna delle tue istanze stia effettuando chiamate IMDSv1. Per ulteriori informazioni, consulta Fase 1: Identificazione delle istanze con IMDSv2=opzionale e verifica l'utilizzo di IMDSv1 nella Amazon EC2 User Guide. -
-
"http_put_response_hop_limit":-
": Valore intero compreso tra -1 e 64, che rappresenta il numero massimo di hop che il token di metadati può percorrere. Per non indicare alcuna preferenza, specificare -1.Integer"
Nota
Limite di hop
Se
http_tokensè impostato surequired, si consiglia dihttp_put_response_hop_limitimpostarlo su un minimo di 2. Per ulteriori informazioni, consulta Considerazioni sull'accesso ai metadati dell'istanza nella Guida per l'utente di Amazon Elastic Compute Cloud. -
-
"http_endpoint":-
"no_preference": si applicano altre impostazioni predefinite. Ad esempio, i valori predefiniti AMI, se applicabile. -
"enabled": L'endpoint del servizio di metadati dell'istanza è accessibile. -
"disabled": l'endpoint del servizio di metadati dell'istanza non è accessibile.
-
-
"instance_metadata_tags":-
"no_preference": si applicano altre impostazioni predefinite. Ad esempio, i valori predefiniti AMI, se applicabile. -
"enabled": È possibile accedere ai tag di istanza dai metadati dell'istanza. -
"disabled": Non è possibile accedere ai tag di istanza dai metadati dell'istanza.
-
-
"http_tokens_enforced":-
"no_preference": si applicano altre impostazioni predefinite. Ad esempio, i valori predefiniti AMI, se applicabile. -
"enabled": è necessario utilizzare IMDSv2. I tentativi di avviare un'istanza IMDSv1 o di abilitare IMDSv1 su istanze esistenti falliranno. -
"disabled": Sono consentiti sia IMDSv1 che IMDSv2.
avvertimento
Imposizione di IMDSv2
L'abilitazione dell'applicazione di IMDSv2 mentre si consentono IMDSv1 e IMDSv2 (token opzionale) causerà errori di avvio, a meno che IMDSv1 non sia disabilitato esplicitamente, tramite i parametri di avvio o le impostazioni predefinite AMI. Per ulteriori informazioni, consulta Launching an IMDSv1-enabled istance fail nella Amazon EC2 User Guide.
-
-
- Snapshot Block Public Access
-
Effetto della politica
Controlla se gli snapshot di Amazon EBS sono accessibili pubblicamente. Per ulteriori informazioni sugli snapshot EBS, consulta gli snapshot di Amazon EBS nella Amazon Elastic Block Store User Guide.
Contenuto della policy
{ "ec2_attributes": { "snapshot_block_public_access": { "state": { "@@assign": "block_new_sharing" } } } }Di seguito sono riportati i campi disponibili per questo attributo:
-
"state":-
"block_all_sharing": blocca tutte le condivisioni pubbliche di istantanee. Le istantanee che erano già condivise pubblicamente vengono trattate come private e non sono più disponibili pubblicamente. -
"block_new_sharing": blocca la nuova condivisione pubblica di istantanee. Le istantanee che erano già condivise pubblicamente rimangono disponibili pubblicamente. -
"unblocked": nessuna restrizione alla condivisione pubblica delle istantanee.
-
Considerazioni
Se si utilizza questo attributo in una policy EC2, non è possibile utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:
-
EnableSnapshotBlockPublicAccess -
DisableSnapshotBlockPublicAccess
-