Syntax und Beispiele für deklarative Richtlinien - AWS Organizations
ÜberlegungenSyntax für deklarative RichtlinienUnterstützte deklarative Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Syntax und Beispiele für deklarative Richtlinien

Diese Seite beschreibt die Syntax deklarativer Richtlinien und enthält Beispiele.

Überlegungen

  • Wenn Sie ein Dienstattribut mithilfe einer deklarativen Richtlinie konfigurieren, kann sich dies auf mehrere auswirken. APIs Alle nicht konformen Aktionen schlagen fehl.

  • Kontoadministratoren können den Wert des Dienstattributs nicht auf individueller Kontoebene ändern.

Syntax für deklarative Richtlinien

Eine deklarative Richtlinie ist eine Klartextdatei, die nach den Regeln von JSON strukturiert ist. Die Syntax für deklarative Richtlinien folgt der Syntax für alle Verwaltungsrichtlinientypen. Eine umfassende Erläuterung dieser Syntax finden Sie unter Richtliniensyntax und Vererbung für Verwaltungsrichtlinientypen. Dieses Thema konzentriert sich auf die Anwendung dieser allgemeinen Syntax auf die spezifischen Anforderungen des deklarativen Richtlinientyps.

Das folgende Beispiel zeigt die grundlegende Syntax deklarativer Richtlinien:

{
  "ec2_attributes": {
    "exception_message": {
      "@@assign": "Your custom error message.https://myURL"
    }
  }
}

  • Der Schlüsselname des Feldes ec2_attributes. Deklarative Richtlinien beginnen immer mit einem festen Schlüsselnamen für den angegebenen Schlüssel. AWS-Service Er befindet sich in der obersten Zeile der aufgeführten Beispielrichtlinie. Derzeit unterstützten deklarative Richtlinien nur Dienste EC2 im Zusammenhang mit Amazon.

  • Unter ec2_attributes können Sie exception_message eine benutzerdefinierte Fehlermeldung einrichten. Weitere Informationen finden Sie unter Benutzerdefinierte Fehlermeldungen für deklarative Richtlinien.

  • Unter ec2_attributes können Sie eine oder mehrere der unterstützten deklarativen Richtlinien einfügen. Informationen zu diesen Schemas finden Sie unter. Unterstützte deklarative Richtlinien

Unterstützte deklarative Richtlinien

Im Folgenden sind die Attribute AWS-Services und aufgeführt, die von deklarativen Richtlinien unterstützt werden. In einigen der folgenden Beispiele kann die JSON-Leerzeichenformatierung komprimiert sein, um Platz zu sparen.

  • VPC blockiert öffentlichen Zugriff

  • Zugriff auf serielle Konsole

  • Öffentlicher Zugriff auf Bild blockieren

  • Einstellungen für zulässige Bilder

  • Standardeinstellungen für Instanz-Metadaten

  • Snapshot: Öffentlichen Zugriff blockieren

VPC Block Public Access

Auswirkung auf die Richtlinie

Steuert, ob Ressourcen in Amazon VPCs und Subnetzen über Internet-Gateways () IGWs auf das Internet zugreifen können. Weitere Informationen finden Sie unter Konfiguration für den Internetzugang im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch.

Inhalt der Richtlinie

{
  "ec2_attributes": {
    "vpc_block_public_access": {
      "internet_gateway_block": {
        "mode": {
          "@@assign": "block_ingress"
        },
        "exclusions_allowed": {
          "@@assign": "enabled"
        }
      }
    }
  }
}

Die folgenden Felder sind für dieses Attribut verfügbar:

  • "internet_gateway":

    • "mode":

      • "off": VPC BPA ist nicht aktiviert.

      • "block_ingress": Der gesamte Internetverkehr zu den VPCs (mit Ausnahme VPCs der ausgeschlossenen Subnetze) ist blockiert. Nur der Datenverkehr von und zu NAT-Gateways und Internet-Gateways nur für ausgehenden Verkehr wird zugelassen, da diese Gateways nur den Aufbau von ausgehenden Verbindungen erlauben.

      • "block_bidirectional": Der gesamte Verkehr zu und von Internet-Gateways und Internet-Gateways, die nur für ausgehenden Datenverkehr bestimmt sind (mit Ausnahme von ausgeschlossenen VPCs Verbindungen und Subnetzen), ist blockiert.

  • "exclusions_allowed": Ein Ausschluss ist ein Modus, der auf eine einzelne VPC oder ein einzelnes Subnetz angewendet werden kann und diese vom VPC-BPA-Modus des Kontos ausnimmt und bidirektionalen Zugriff oder nur ausgehenden Zugriff ermöglicht.

    • "enabled": Ausschlüsse können vom Konto erstellt werden.

    • "disabled": Ausschlüsse können nicht vom Konto erstellt werden.

    Anmerkung

    Sie können das Attribut verwenden, um zu konfigurieren, ob Ausschlüsse zulässig sind, Sie können jedoch keine Ausschlüsse mit diesem Attribut selbst erstellen. Um Ausschlüsse zu erstellen, müssen Sie sie in dem Konto erstellen, dem die VPC gehört. Weitere Informationen zum Erstellen von VPC-BPA-Ausschlüssen finden Sie unter Ausnahmen erstellen und löschen im Amazon VPC-Benutzerhandbuch.

Überlegungen

Wenn Sie dieses Attribut in einer deklarativen Richtlinie verwenden, können Sie die folgenden Operationen nicht verwenden, um die erzwungene Konfiguration für die Konten im Gültigkeitsbereich zu ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:

  • ModifyVpcBlockPublicAccessOptions

  • CreateVpcBlockPublicAccessExclusion

  • ModifyVpcBlockPublicAccessExclusion

Serial Console Access

Politische Wirkung

Steuert, ob auf die EC2 serielle Konsole zugegriffen werden kann. Weitere Informationen zur EC2 seriellen Konsole finden Sie unter EC2 Serial Console im Amazon Elastic Compute Cloud-Benutzerhandbuch.

Inhalt der Richtlinie

{
  "ec2_attributes": {
    "serial_console_access": {
      "status": {
        "@@assign": "enabled"
      }
    }
  }
}

Die folgenden Felder sind für dieses Attribut verfügbar:

  • "status":

    • "enabled": Zugriff auf EC2 serielle Konsolen ist zulässig.

    • "disabled": Der Zugriff auf die EC2 serielle Konsole ist blockiert.

Überlegungen

Wenn Sie dieses Attribut in einer deklarativen Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:

  • EnableSerialConsoleAccess

  • DisableSerialConsoleAccess

Image Block Public Access

Politische Wirkung

Steuert, ob Amazon Machine Images (AMIs) öffentlich geteilt werden können. Weitere Informationen zu AMIs finden Sie unter Amazon Machine Images (AMIs) im Amazon Elastic Compute Cloud-Benutzerhandbuch.

Inhalt der Richtlinie

{
  "ec2_attributes": {
    "image_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

Die folgenden Felder sind für dieses Attribut verfügbar:

  • "state":

    • "unblocked": Keine Einschränkungen beim öffentlichen Teilen von AMIs.

    • "block_new_sharing": Blockiert das neue öffentliche Teilen von AMIs. AMIs die bereits öffentlich geteilt wurden, bleiben weiterhin öffentlich verfügbar.

Überlegungen

Wenn Sie dieses Attribut in einer deklarativen Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:

  • EnableImageBlockPublicAccess

  • DisableImageBlockPublicAccess

Allowed Images Settings

Politische Wirkung

Steuert die Erkennung und Verwendung von Amazon Machine Images (AMI) in Amazon EC2 mit Allowed AMIs. Weitere Informationen AMIs dazu finden Sie unter Steuern der Erkennung und Verwendung von AMIs in Amazon EC2 mit Allowed AMIs im Amazon Elastic Compute Cloud-Benutzerhandbuch.

Inhalt der Richtlinie

Die folgenden Felder sind für dieses Attribut verfügbar:

{
  "ec2_attributes": {
    "allowed_images_settings": {
      "state": {
        "@@assign": "enabled"
      },
      "image_criteria": {
        "criteria_1": {
          "allowed_image_providers": {
            "@@append": [
              "amazon"
            ]
          }
        }
      }
    }
  }
}

  • "state":

    • "enabled": Das Attribut ist aktiv und wird erzwungen.

    • "disabled": Das Attribut ist inaktiv und wird nicht erzwungen.

    • "audit_mode": Das Attribut befindet sich im Überwachungsmodus. Das bedeutet, dass es nicht konforme Bilder identifiziert, deren Verwendung jedoch nicht blockiert.

  • "image_criteria": Eine Liste von Kriterien. Support bis zu 10 Kriterien mit dem Namen von Kriteria_1 bis Kriteria_10

    • "allowed_image_providers": Eine durch Kommas getrennte Liste mit 12-stelligen Konto IDs - oder Inhaber-Alias von Amazon, aws_marketplace, aws_backup_vault.

    • "image_names": Die Namen der erlaubten Bilder. Namen können Platzhalter enthalten (? und *). Länge: 1—128 Zeichen. Mit? , das Minimum sind 3 Zeichen.

    • "marketplace_product_codes": Die AWS Marketplace-Produktcodes für zulässige Bilder. Länge: 1—25 Zeichen Gültige Zeichen: Buchstaben (A—Z, a—z) und Zahlen (0—9)

    • "creation_date_condition": Das Höchstalter für erlaubte Bilder.

      • "maximum_days_since_created": Die maximale Anzahl von Tagen, die seit der Erstellung des Images vergangen sind. Gültiger Bereich: Mindestwert 0. Maximalwert: 2147483647.

    • "deprecation_time_condition": Der maximale Zeitraum seit dem Verfallsdatum für zulässige Bilder.

      • "maximum_days_since_deprecated": Die maximale Anzahl von Tagen, die vergangen sind, seit das Bild veraltet ist. Gültiger Bereich: Mindestwert 0. Maximalwert: 2147483647.

Überlegungen

Wenn Sie dieses Attribut in einer deklarativen Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:

  • EnableAllowedImagesSettings

  • ReplaceImageCriteriaInAllowedImagesSettings

  • DisableAllowedImagesSettings

Instance Metadata Defaults

Politische Wirkung

Steuert die IMDS-Standardeinstellungen für alle Starts neuer EC2 Instances. Beachten Sie, dass diese Konfiguration nur Standardwerte festlegt und keine IMDS-Versionseinstellungen erzwingt. Weitere Informationen zu IMDS-Standardeinstellungen finden Sie unter IMDS im Amazon Elastic Compute Cloud-Benutzerhandbuch.

Inhalt der Richtlinie

Die folgenden Felder sind für dieses Attribut verfügbar:

{
  "ec2_attributes": {
    "instance_metadata_defaults": {
      "http_tokens": {
        "@@assign": "required"
      },
      "http_put_response_hop_limit": {
        "@@assign": "4"
      },
      "http_endpoint": {
        "@@assign": "enabled"
      },
      "instance_metadata_tags": {
        "@@assign": "enabled"
      }
    }
  }
}

  • "http_tokens":

    • "no_preference": Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.

    • "required": IMDSv2 muss verwendet werden. IMDSv1 ist nicht erlaubt.

    • "optional": Beides IMDSv1 und IMDSv2 sind erlaubt.

    Anmerkung

    Version der Metadaten

    Stellen Sie vor der Einstellung http_tokens auf required (IMDSv2 muss verwendet werden) sicher, dass keine Ihrer Instanzen IMDSv1 Aufrufe tätigt.

  • "http_put_response_hop_limit":

    • "Integer": Ganzzahlwert zwischen -1 und 64, der die maximale Anzahl von Hops darstellt, die das Metadaten-Token zurücklegen kann. Wenn Sie keine Präferenz angeben möchten, geben Sie -1 an.

      Anmerkung

      Hop-Limit

      Wenn auf gesetzt http_tokens istrequired, wird empfohlen, einen http_put_response_hop_limit Wert von mindestens 2 einzustellen. Weitere Informationen finden Sie unter Überlegungen zum Zugriff auf Instance-Metadaten im Amazon Elastic Compute Cloud-Benutzerhandbuch.

  • "http_endpoint":

    • "no_preference": Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.

    • "enabled": Auf den Endpunkt des Instanz-Metadatendienstes kann zugegriffen werden.

    • "disabled": Auf den Endpunkt des Instanz-Metadatendienstes kann nicht zugegriffen werden.

  • "instance_metadata_tags":

    • "no_preference": Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.

    • "enabled": Auf Instance-Tags kann über Instance-Metadaten zugegriffen werden.

    • "disabled": Über Instanz-Metadaten kann nicht auf Instanz-Tags zugegriffen werden.

Snapshot Block Public Access

Auswirkung auf die Richtlinie

Steuert, ob Amazon EBS-Snapshots öffentlich zugänglich sind. Weitere Informationen zu EBS-Snapshots finden Sie unter Amazon EBS-Snapshots im Amazon Elastic Block Store-Benutzerhandbuch.

Inhalt der Richtlinie

{
  "ec2_attributes": {
    "snapshot_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

Die folgenden Felder sind für dieses Attribut verfügbar:

  • "state":

    • "block_all_sharing": Blockiert das gesamte öffentliche Teilen von Schnappschüssen. Snapshots, die bereits öffentlich geteilt wurden, werden als privat behandelt und sind nicht mehr öffentlich verfügbar.

    • "block_new_sharing": Blockiert das neue öffentliche Teilen von Schnappschüssen. Schnappschüsse, die bereits öffentlich geteilt wurden, bleiben öffentlich verfügbar.

    • "unblocked": Keine Einschränkungen beim öffentlichen Teilen von Schnappschüssen.

Überlegungen

Wenn Sie dieses Attribut in einer deklarativen Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:

  • EnableSnapshotBlockPublicAccess

  • DisableSnapshotBlockPublicAccess