Sintaxis y ejemplos de políticas declarativas - AWS Organizations
ConsideracionesSintaxis de las políticas declarativasPolíticas declarativas compatibles

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Sintaxis y ejemplos de políticas declarativas

En esta página se describe la sintaxis de la política declarativa y se proporcionan ejemplos.

Consideraciones

  • Al configurar un atributo de servicio mediante una política declarativa, puede afectar a varios. APIs Cualquier acción que no cumpla con las normas fallará.

  • Los administradores de cuentas no podrán modificar el valor del atributo de servicio a nivel de cuenta individual.

Sintaxis de las políticas declarativas

Una política declarativa es un archivo de texto sin formato que se estructura de acuerdo con las reglas de JSON. La sintaxis de las políticas declarativas sigue la sintaxis de todos los tipos de políticas de administración. Para obtener una explicación completa de esa sintaxis, consulte Sintaxis y herencia de políticas para tipos de políticas de administración. Este tema se centra en aplicar esa sintaxis general a los requisitos específicos del tipo de política declarativa.

El siguiente ejemplo muestra la sintaxis básica de la política declarativa:

{
  "ec2_attributes": {
    "exception_message": {
      "@@assign": "Your custom error message.https://myURL"
    }
  }
}

  • El nombre de clave del campo ec2_attributes. Las políticas declarativas siempre comienzan con un nombre de clave fijo para cada una de ellas. Servicio de AWS Es la línea superior del ejemplo de política anterior. Actualmente, las políticas declarativas solo admiten los servicios EC2 relacionados con Amazon.

  • Enec2_attributes, puedes usar exception_message para configurar un mensaje de error personalizado. Para obtener más información, consulte Mensajes de error personalizados para políticas declarativas.

  • Enec2_attributes, puede insertar una o más de las políticas declarativas admitidas. Para ver esos esquemas, consulte. Políticas declarativas compatibles

Políticas declarativas compatibles

Los siguientes son los atributos Servicios de AWS y atributos que admiten las políticas declarativas. En algunos de los ejemplos siguientes, el formato de espacio en blanco JSON podría comprimirse para ahorrar espacio.

  • Acceso público a bloques de VPC

  • Acceso a la consola en serie

  • Acceso público a Image Block

  • Configuración de imágenes permitida

  • Valores predeterminados de metadatos de instancia

  • Snapshot Block Public Access

VPC Block Public Access

Efecto de la política

Controla si los recursos de Amazon VPCs y las subredes pueden llegar a Internet a través de las puertas de enlace de Internet ()IGWs. Para obtener más información, consulte Configuración del acceso a Internet en la Guía del usuario de Amazon Virtual Private Cloud.

Contenido de la política

{
  "ec2_attributes": {
    "vpc_block_public_access": {
      "internet_gateway_block": {
        "mode": {
          "@@assign": "block_ingress"
        },
        "exclusions_allowed": {
          "@@assign": "enabled"
        }
      }
    }
  }
}

Los campos disponibles para este atributo son los siguientes:

  • "internet_gateway":

    • "mode":

      • "off": El BPA de VPC no está activado.

      • "block_ingress": Se bloquea todo el tráfico de Internet hacia el VPCs (excepto las subredes VPCs o las subredes, que están excluidas). Solo se permite el tráfico hacia y desde las puertas de enlace NAT y las puertas de enlace de Internet solo de salida, ya que estas puertas de enlace solo permiten establecer conexiones salientes.

      • "block_bidirectional": Se bloquea todo el tráfico hacia y desde las pasarelas de Internet y las pasarelas de Internet que solo son de salida (excepto las excluidas VPCs y las subredes).

  • "exclusions_allowed": una exclusión es un modo que se puede aplicar a una sola VPC o subred y que la exime del modo BPA de VPC de la cuenta y permite el acceso bidireccional o solo de salida.

    • "enabled": La cuenta puede crear las exclusiones.

    • "disabled": La cuenta no puede crear exclusiones.

    nota

    Puede usar el atributo para configurar si se permiten las exclusiones, pero no puede crear exclusiones con este atributo en sí. Para crear exclusiones, debe crearlas en la cuenta propietaria de la VPC. Para obtener más información sobre la creación de exclusiones de BPA de VPC, consulte Crear y eliminar exclusiones en la Guía del usuario de Amazon VPC.

Consideraciones

Si utiliza este atributo en una política declarativa, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es exhaustiva:

  • ModifyVpcBlockPublicAccessOptions

  • CreateVpcBlockPublicAccessExclusion

  • ModifyVpcBlockPublicAccessExclusion

Serial Console Access

Efecto de la política

Controla si se puede acceder a la consola EC2 serie. Para obtener más información sobre la consola EC2 serie, consulte EC2 Serial Console en la Guía del usuario de Amazon Elastic Compute Cloud.

Contenido de la política

{
  "ec2_attributes": {
    "serial_console_access": {
      "status": {
        "@@assign": "enabled"
      }
    }
  }
}

Los campos disponibles para este atributo son los siguientes:

  • "status":

    • "enabled": se permite el acceso a la consola en EC2 serie.

    • "disabled": el acceso a la consola EC2 serie está bloqueado.

Consideraciones

Si utiliza este atributo en una política declarativa, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es exhaustiva:

  • EnableSerialConsoleAccess

  • DisableSerialConsoleAccess

Image Block Public Access

Efecto de la política

Controla si Amazon Machine Images (AMIs) se puede compartir públicamente. Para obtener más información AMIs, consulte Amazon Machine Images (AMIs) en la Guía del usuario de Amazon Elastic Compute Cloud.

Contenido de la política

{
  "ec2_attributes": {
    "image_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

Los campos disponibles para este atributo son los siguientes:

  • "state":

    • "unblocked": No hay restricciones a la hora de compartir públicamente AMIs.

    • "block_new_sharing": Bloquea el nuevo intercambio público de AMIs. AMIs las que ya se compartieron públicamente permanecen disponibles públicamente.

Consideraciones

Si utiliza este atributo en una política declarativa, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es exhaustiva:

  • EnableImageBlockPublicAccess

  • DisableImageBlockPublicAccess

Allowed Images Settings

Efecto de la política

Controla el descubrimiento y el uso de Amazon Machine Images (AMI) en Amazon EC2 con Allowed AMIs. Para obtener más información AMIs, consulte Controlar el descubrimiento y el uso de AMIs en Amazon EC2 con Allowed AMIs en la Guía del usuario de Amazon Elastic Compute Cloud.

Contenido de la política

Los campos disponibles para este atributo son los siguientes:

{
  "ec2_attributes": {
    "allowed_images_settings": {
      "state": {
        "@@assign": "enabled"
      },
      "image_criteria": {
        "criteria_1": {
          "allowed_image_providers": {
            "@@append": [
              "amazon"
            ]
          }
        }
      }
    }
  }
}

  • "state":

    • "enabled": El atributo está activo y se aplica.

    • "disabled": El atributo está inactivo y no se aplica.

    • "audit_mode": El atributo está en modo de auditoría. Esto significa que identificará las imágenes que no cumplan con los requisitos, pero no bloqueará su uso.

  • "image_criteria": una lista de criterios. Support hasta 10 criterios con el nombre de criteria_1 a criteria_10

    • "allowed_image_providers": Una lista separada por comas de la cuenta de 12 dígitos IDs o el alias del propietario de Amazon, aws_marketplace y aws_backup_vault.

    • "image_names": Los nombres de las imágenes permitidas. Los nombres pueden incluir caracteres comodín (? y (*). Longitud: de 1 a 128 caracteres. ¿Con? , el mínimo es de 3 caracteres.

    • "marketplace_product_codes": Los códigos de producto de AWS Marketplace para las imágenes permitidas. Longitud: de 1 a 25 caracteres Caracteres válidos: letras (de la A a la Z, de la a la z) y números (del 0 al 9)

    • "creation_date_condition": La edad máxima permitida para las imágenes.

      • "maximum_days_since_created": el número máximo de días que han transcurrido desde que se creó la imagen. Rango válido: valor mínimo de 0. Valor máximo de 2147483647.

    • "deprecation_time_condition": El período máximo desde la obsolescencia de las imágenes permitidas.

      • "maximum_days_since_deprecated": el número máximo de días que han transcurrido desde que la imagen quedó obsoleta. Rango válido: valor mínimo de 0. El valor máximo es 2147483647.

Consideraciones

Si utiliza este atributo en una política declarativa, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es exhaustiva:

  • EnableAllowedImagesSettings

  • ReplaceImageCriteriaInAllowedImagesSettings

  • DisableAllowedImagesSettings

Instance Metadata Defaults

Efecto de la política

Controla los valores predeterminados de IMDS para todos los lanzamientos de EC2 instancias nuevas. Tenga en cuenta que esta configuración solo establece los valores predeterminados y no impone los ajustes de la versión del IMDS. Para obtener más información sobre los valores predeterminados de IMDS, consulte IMDS en la Guía del usuario de Amazon Elastic Compute Cloud.

Contenido de la política

Los campos disponibles para este atributo son los siguientes:

{
  "ec2_attributes": {
    "instance_metadata_defaults": {
      "http_tokens": {
        "@@assign": "required"
      },
      "http_put_response_hop_limit": {
        "@@assign": "4"
      },
      "http_endpoint": {
        "@@assign": "enabled"
      },
      "instance_metadata_tags": {
        "@@assign": "enabled"
      }
    }
  }
}

  • "http_tokens":

    • "no_preference": Se aplican otros valores predeterminados. Por ejemplo, la AMI es la opción predeterminada, si corresponde.

    • "required": IMDSv2 debe usarse. IMDSv1 no está permitido.

    • "optional": Ambos IMDSv1 IMDSv2 están permitidos.

    nota

    Versión de metadatos

    Antes de http_tokens configurarla required (IMDSv2 debe usarse), asegúrate de que ninguna de tus instancias esté realizando IMDSv1 llamadas.

  • "http_put_response_hop_limit":

    • "Integer": valor entero comprendido entre -1 y 64, que representa el número máximo de saltos que puede recorrer el token de metadatos. Para indicar que no hay preferencia, especifique -1.

      nota

      Límite de saltos

      Si http_tokens se establece enrequired, se recomienda http_put_response_hop_limit establecer un mínimo de 2. Para obtener más información, consulte Consideraciones sobre el acceso a los metadatos de las instancias en la Guía del usuario de Amazon Elastic Compute Cloud.

  • "http_endpoint":

    • "no_preference": Se aplican otros valores predeterminados. Por ejemplo, la AMI es la opción predeterminada, si corresponde.

    • "enabled": Se puede acceder al punto final del servicio de metadatos de la instancia.

    • "disabled": No se puede acceder al punto final del servicio de metadatos de la instancia.

  • "instance_metadata_tags":

    • "no_preference": Se aplican otros valores predeterminados. Por ejemplo, la AMI es la opción predeterminada, si corresponde.

    • "enabled": Se puede acceder a las etiquetas de instancia desde los metadatos de la instancia.

    • "disabled": No se puede acceder a las etiquetas de instancia desde los metadatos de la instancia.

Snapshot Block Public Access

Efecto de la política

Controla si las instantáneas de Amazon EBS son de acceso público. Para obtener más información sobre las instantáneas de EBS, consulte las instantáneas de Amazon EBS en la Guía del usuario de Amazon Elastic Block Store.

Contenido de la política

{
  "ec2_attributes": {
    "snapshot_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

Los campos disponibles para este atributo son los siguientes:

  • "state":

    • "block_all_sharing": Bloquea todo intercambio público de instantáneas. Las instantáneas que ya se compartieron públicamente se consideran privadas y ya no están disponibles públicamente.

    • "block_new_sharing": Bloquea el nuevo intercambio público de instantáneas. Las instantáneas que ya se compartieron públicamente permanecen disponibles públicamente.

    • "unblocked": No hay restricciones a la hora de compartir las instantáneas con el público.

Consideraciones

Si utiliza este atributo en una política declarativa, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es exhaustiva:

  • EnableSnapshotBlockPublicAccess

  • DisableSnapshotBlockPublicAccess