View a markdown version of this page

Syntax und Beispiele für EC2-Richtlinien - AWS Organizations
ÜberlegungenSyntax für EC2-RichtlinienUnterstützte EC2-Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Syntax und Beispiele für EC2-Richtlinien

Auf dieser Seite wird die Syntax der EC2-Richtlinien beschrieben und Beispiele bereitgestellt.

Überlegungen

  • Wenn Sie ein Dienstattribut mithilfe einer EC2-Richtlinie konfigurieren, kann sich dies auf mehrere APIs auswirken. Alle nicht konformen Aktionen schlagen fehl.

  • Kontoadministratoren können den Wert des Dienstattributs nicht auf individueller Kontoebene ändern.

Syntax für EC2-Richtlinien

Eine EC2-Richtlinie ist eine Klartextdatei, die gemäß den JSON-Regeln strukturiert ist. Die Syntax für EC2-Richtlinien folgt der Syntax für alle deklarativen Richtlinientypen. Eine vollständige Erläuterung dieser Syntax finden Sie unter Richtliniensyntax und Vererbung für deklarative Richtlinientypen. Dieses Thema konzentriert sich auf die Anwendung dieser allgemeinen Syntax auf die spezifischen Anforderungen des EC2-Richtlinientyps.

Das folgende Beispiel zeigt die grundlegende EC2-Richtliniensyntax:

{
  "ec2_attributes": {
    "exception_message": {
      "@@assign": "Your custom error message.https://myURL"
    }
  }
}

  • Der Schlüsselname des Feldes ec2_attributes. Deklarative Richtlinien beginnen immer mit einem festen Schlüsselnamen für den angegebenen Schlüssel. AWS-Service Er befindet sich in der obersten Zeile der aufgeführten Beispielrichtlinie.

  • Unter ec2_attributes können Sie exception_message eine benutzerdefinierte Fehlermeldung festlegen. Weitere Informationen finden Sie unter Benutzerdefinierte Fehlermeldungen für EC2-Richtlinien.

  • Unter ec2_attributes können Sie eine oder mehrere der unterstützten EC2-Richtlinien einfügen. Informationen zu diesen Schemas finden Sie unter. Unterstützte EC2-Richtlinien

Unterstützte EC2-Richtlinien

Im Folgenden sind die Attribute AWS-Services und aufgeführt, die von EC2-Richtlinien unterstützt werden. In einigen der folgenden Beispiele kann die JSON-Leerzeichenformatierung komprimiert sein, um Platz zu sparen.

  • VPC blockiert öffentlichen Zugriff

  • Zugriff auf serielle Konsole

  • Öffentlicher Zugriff auf Bild blockieren

  • Einstellungen für zulässige Bilder

  • Instance-Metadaten

  • Snapshot: Öffentlichen Zugriff blockieren

VPC Block Public Access

Auswirkung auf die Richtlinie

Steuert, ob Ressourcen in Amazon-VPCs und -Subnetzen das Internet über Internet-Gateways (IGWs) erreichen können. Weitere Informationen finden Sie unter Konfiguration für den Internetzugang im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch.

Inhalt der Richtlinie

{
  "ec2_attributes": {
    "vpc_block_public_access": {
      "internet_gateway_block": {
        "mode": {
          "@@assign": "block_ingress"
        },
        "exclusions_allowed": {
          "@@assign": "enabled"
        }
      }
    }
  }
}

Die folgenden Felder sind für dieses Attribut verfügbar:

  • "internet_gateway":

    • "mode":

      • "off": VPC BPA ist nicht aktiviert.

      • "block_ingress": Der gesamte Internetverkehr zu den VPCs (mit Ausnahme von VPCs oder Subnetzen, die ausgeschlossen sind) ist blockiert. Nur der Datenverkehr von und zu NAT-Gateways und Internet-Gateways nur für ausgehenden Verkehr wird zugelassen, da diese Gateways nur den Aufbau von ausgehenden Verbindungen erlauben.

      • "block_bidirectional": Der gesamte Verkehr zu und von Internet-Gateways und Internet-Gateways, die nur für ausgehenden Datenverkehr bestimmt sind (mit Ausnahme von ausgeschlossenen VPCs und Subnetzen), ist blockiert.

  • "exclusions_allowed": Ein Ausschluss ist ein Modus, der auf eine einzelne VPC oder ein einzelnes Subnetz angewendet werden kann und diese vom VPC-BPA-Modus des Kontos ausnimmt und bidirektionalen Zugriff oder nur ausgehenden Zugriff ermöglicht.

    • "enabled": Ausschlüsse können vom Konto erstellt werden.

    • "disabled": Ausschlüsse können nicht vom Konto erstellt werden.

    Anmerkung

    Sie können das Attribut verwenden, um zu konfigurieren, ob Ausschlüsse zulässig sind, Sie können jedoch keine Ausschlüsse mit diesem Attribut selbst erstellen. Um Ausschlüsse zu erstellen, müssen Sie sie in dem Konto erstellen, dem die VPC gehört. Weitere Informationen zum Erstellen von VPC-BPA-Ausschlüssen finden Sie unter Ausnahmen erstellen und löschen im Amazon VPC-Benutzerhandbuch.

Überlegungen

Wenn Sie dieses Attribut in einer EC2-Richtlinie verwenden, können Sie die folgenden Operationen nicht verwenden, um die erzwungene Konfiguration für die Konten im Gültigkeitsbereich zu ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:

  • ModifyVpcBlockPublicAccessOptions

  • CreateVpcBlockPublicAccessExclusion

  • ModifyVpcBlockPublicAccessExclusion

Serial Console Access

Politische Wirkung

Steuert, ob auf die serielle EC2-Konsole zugegriffen werden kann. Weitere Informationen zur seriellen EC2-Konsole finden Sie unter EC2 Serial Console im Amazon Elastic Compute Cloud-Benutzerhandbuch.

Inhalt der Richtlinie

{
  "ec2_attributes": {
    "serial_console_access": {
      "status": {
        "@@assign": "enabled"
      }
    }
  }
}

Die folgenden Felder sind für dieses Attribut verfügbar:

  • "status":

    • "enabled": Der Zugriff auf die serielle EC2-Konsole ist zulässig.

    • "disabled": Der Zugriff auf die serielle EC2-Konsole ist blockiert.

Überlegungen

Wenn Sie dieses Attribut in einer EC2-Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:

  • EnableSerialConsoleAccess

  • DisableSerialConsoleAccess

Image Block Public Access

Politische Wirkung

Steuert, ob Amazon Machine Images (AMIs) öffentlich geteilt werden können. Weitere Informationen zu AMIs finden Sie unter Amazon Machine Images (AMIs) im Amazon Elastic Compute Cloud-Benutzerhandbuch.

Inhalt der Richtlinie

{
  "ec2_attributes": {
    "image_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

Die folgenden Felder sind für dieses Attribut verfügbar:

  • "state":

    • "unblocked": Keine Einschränkungen beim öffentlichen Teilen von AMIs.

    • "block_new_sharing": Blockiert die gemeinsame Nutzung neuer AMIs in der Öffentlichkeit. AMIs, die bereits öffentlich geteilt wurden, bleiben öffentlich verfügbar.

Überlegungen

Wenn Sie dieses Attribut in einer EC2-Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:

  • EnableImageBlockPublicAccess

  • DisableImageBlockPublicAccess

Allowed Images Settings

Politische Wirkung

Steuert die Erkennung und Verwendung von Amazon Machine Images (AMI) in Amazon EC2 mit zugelassenen AMIs. Weitere Informationen zu AMIs finden Sie unter Steuern der Erkennung und Verwendung von AMIs in Amazon EC2 mit zugelassenen AMIs im Amazon Elastic Compute Cloud-Benutzerhandbuch.

Inhalt der Richtlinie

Die folgenden Felder sind für dieses Attribut verfügbar:

{
  "ec2_attributes": {
    "allowed_images_settings": {
      "state": {
        "@@assign": "enabled"
      },
      "image_criteria": {
        "criteria_1": {
          "allowed_image_providers": {
            "@@append": [
              "amazon"
            ]
          }
        }
      }
    }
  }
}

  • "state":

    • "enabled": Das Attribut ist aktiv und wird erzwungen.

    • "disabled": Das Attribut ist inaktiv und wird nicht erzwungen.

    • "audit_mode": Das Attribut befindet sich im Überwachungsmodus. Das bedeutet, dass es nicht konforme Bilder identifiziert, deren Verwendung jedoch nicht blockiert.

  • "image_criteria": Eine Liste von Kriterien. Support bis zu 10 Kriterien mit dem Namen von Kriteria_1 bis Kriteria_10

    • "allowed_image_providers": Eine durch Kommas getrennte Liste mit 12-stelligen Konto-IDs oder Inhaber-Alias von Amazon, aws_marketplace, aws_backup_vault.

    • "image_names": Die Namen der erlaubten Bilder. Namen können Platzhalter enthalten (? und *). Länge: 1—128 Zeichen. Mit? , das Minimum sind 3 Zeichen.

    • "marketplace_product_codes": Die AWS Marketplace-Produktcodes für zulässige Bilder. Länge: 1—25 Zeichen Gültige Zeichen: Buchstaben (A—Z, a—z) und Zahlen (0—9)

    • "creation_date_condition": Das Höchstalter für erlaubte Bilder.

      • "maximum_days_since_created": Die maximale Anzahl von Tagen, die seit der Erstellung des Images vergangen sind. Gültiger Bereich: Mindestwert 0. Maximalwert: 2147483647.

    • "deprecation_time_condition": Der maximale Zeitraum seit dem Verfallsdatum für zulässige Bilder.

      • "maximum_days_since_deprecated": Die maximale Anzahl von Tagen, die vergangen sind, seit das Bild veraltet ist. Gültiger Bereich: Mindestwert 0. Maximalwert: 2147483647.

Überlegungen

Wenn Sie dieses Attribut in einer EC2-Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:

  • EnableAllowedImagesSettings

  • ReplaceImageCriteriaInAllowedImagesSettings

  • DisableAllowedImagesSettings

Instance Metadata

Politische Wirkung

Steuert die IMDS-Standardeinstellungen und die IMDSv2-Durchsetzung für alle neuen EC2-Instance-Starts. Weitere Informationen zu IMDS-Standardeinstellungen und IMDSv2-Durchsetzung finden Sie unter Verwenden von Instance-Metadaten zur Verwaltung Ihrer EC2-Instance im Amazon EC2 EC2-Benutzerhandbuch.

Inhalt der Richtlinie

Die folgenden Felder sind für dieses Attribut verfügbar:

{
  "ec2_attributes": {
    "instance_metadata_defaults": {
      "http_tokens": {
        "@@assign": "required"
      },
      "http_put_response_hop_limit": {
        "@@assign": "4"
      },
      "http_endpoint": {
        "@@assign": "enabled"
      },
      "instance_metadata_tags": {
        "@@assign": "enabled"
      },
      "http_tokens_enforced": {
        "@@assign": "enabled"
      }
    }
  }
}

  • "http_tokens":

    • "no_preference": Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.

    • "required": IMDSv2 muss verwendet werden. IMDSv1 ist nicht erlaubt.

    • "optional": Sowohl IMDSv1 als auch IMDSv2 sind erlaubt.

    Anmerkung

    Version der Metadaten

    Stellen Sie vor der Einstellung http_tokens auf required (IMDSv2 muss verwendet werden) sicher, dass keine Ihrer Instances IMDSv1-Aufrufe tätigt. Weitere Informationen finden Sie unter Schritt 1: Identifizieren von Instances mit IMDSv2=optional und Prüfen der IMDSv1-Nutzung im Amazon EC2 EC2-Benutzerhandbuch.

  • "http_put_response_hop_limit":

    • "Integer": Ganzzahlwert zwischen -1 und 64, der die maximale Anzahl von Hops darstellt, die das Metadaten-Token zurücklegen kann. Wenn Sie keine Präferenz angeben möchten, geben Sie -1 an.

    Anmerkung

    Hop-Limit

    Wenn auf gesetzt http_tokens istrequired, wird empfohlen, einen http_put_response_hop_limit Wert von mindestens 2 einzustellen. Weitere Informationen finden Sie unter Überlegungen zum Zugriff auf Instance-Metadaten im Amazon Elastic Compute Cloud-Benutzerhandbuch.

  • "http_endpoint":

    • "no_preference": Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.

    • "enabled": Auf den Endpunkt des Instanz-Metadatendienstes kann zugegriffen werden.

    • "disabled": Auf den Endpunkt des Instanz-Metadatendienstes kann nicht zugegriffen werden.

  • "instance_metadata_tags":

    • "no_preference": Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.

    • "enabled": Auf Instance-Tags kann über Instance-Metadaten zugegriffen werden.

    • "disabled": Über Instanz-Metadaten kann nicht auf Instanz-Tags zugegriffen werden.

  • "http_tokens_enforced":

    • "no_preference": Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.

    • "enabled": IMDSv2 muss verwendet werden. Versuche, eine IMDSv1-Instanz zu starten oder IMDSv1 auf vorhandenen Instances zu aktivieren, schlagen fehl.

    • "disabled": Sowohl IMDSv1 als auch IMDSv2 sind zulässig.

    Warnung

    IMDSv2-Durchsetzung

    Wenn Sie die IMDSv2-Erzwingung aktivieren und gleichzeitig IMDSv1 und IMDSv2 (Token optional) zulassen, führt dies zu Startfehlern, sofern IMDSv1 nicht explizit deaktiviert wurde, entweder über Startparameter oder AMI-Standardeinstellungen. Weitere Informationen finden Sie unter Das Starten einer IMDSv1-enabled Instance schlägt fehl im Amazon EC2 EC2-Benutzerhandbuch.

Snapshot Block Public Access

Auswirkung der Richtlinie

Steuert, ob Amazon EBS-Snapshots öffentlich zugänglich sind. Weitere Informationen zu EBS-Snapshots finden Sie unter Amazon EBS-Snapshots im Amazon Elastic Block Store-Benutzerhandbuch.

Inhalt der Richtlinie

{
  "ec2_attributes": {
    "snapshot_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

Die folgenden Felder sind für dieses Attribut verfügbar:

  • "state":

    • "block_all_sharing": Blockiert das öffentliche Teilen von Schnappschüssen. Snapshots, die bereits öffentlich geteilt wurden, werden als privat behandelt und sind nicht mehr öffentlich verfügbar.

    • "block_new_sharing": Blockiert das neue öffentliche Teilen von Schnappschüssen. Schnappschüsse, die bereits öffentlich geteilt wurden, bleiben öffentlich verfügbar.

    • "unblocked": Keine Einschränkungen beim öffentlichen Teilen von Schnappschüssen.

Überlegungen

Wenn Sie dieses Attribut in einer EC2-Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:

  • EnableSnapshotBlockPublicAccess

  • DisableSnapshotBlockPublicAccess