Ejemplos y sintaxis de las política declarativa - AWS Organizations
ConsideracionesSintaxis de políticas declarativasPolíticas declarativas compatibles

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplos y sintaxis de las política declarativa

En esta página se describe la sintaxis de la política declarativa y se proporcionan ejemplos.

Consideraciones

  • Al configurar un atributo de servicio mediante una política declarativa, puede afectar a varios APIs. Cualquier acción que no cumpla con las normas hará que ocurra un error.

  • Los administradores de cuentas no podrán modificar el valor del atributo de servicio a nivel de cuenta individual.

Sintaxis de políticas declarativas

Una política declarativa es un archivo de texto sin formato que se estructura de acuerdo con las reglas de JSON. La sintaxis de las políticas declarativas sigue la sintaxis de todos los tipos de políticas de administración. Para obtener una explicación completa de esa sintaxis, consulte Sintaxis y herencia de políticas para tipos de políticas de administración. Este tema se centra en aplicar esa sintaxis general a los requisitos específicos del tipo de política declarativa.

En el siguiente ejemplo se muestra la sintaxis básica de una política declarativa:

{
  "ec2_attributes": {
    "exception_message": {
      "@@assign": "Your custom error message.https://myURL"
    }
  }
}

  • El nombre de clave del campo ec2_attributes. Las políticas declarativas siempre comienzan con un nombre de clave fijo para cada una de ellas. Servicio de AWS Es la línea superior del ejemplo de política anterior. Actualmente, las políticas declarativas solo admiten los servicios EC2 relacionados con Amazon.

  • En ec2_attributes, puede utilizar exception_message para configurar un mensaje de error personalizado. Para obtener más información, consulte Mensajes de error personalizados para políticas declarativas.

  • En ec2_attributes, puede insertar una o más de las políticas declarativas compatibles. Para ver esos esquemas, consulte Políticas declarativas compatibles.

Políticas declarativas compatibles

Los siguientes son los atributos Servicios de AWS y atributos que admiten las políticas declarativas. En algunos de los ejemplos siguientes, el formato de espacio en blanco JSON podría comprimirse para ahorrar espacio.

  • Bloqueo de acceso público de la VPC

  • Acceso a la consola serie

  • Bloqueo de acceso público de la imagen

  • Configuración de imágenes permitida

  • Valores predeterminados de metadatos de instancia

  • Bloqueo de acceso público de las instantáneas

VPC Block Public Access

Efecto de la política

Controla si los recursos de Amazon VPCs y las subredes pueden llegar a Internet a través de las puertas de enlace de Internet ()IGWs. Para obtener más información, consulte Configuración del acceso a Internet en la Guía del usuario de Amazon Virtual Private Cloud.

Contenidos de la política

{
  "ec2_attributes": {
    "vpc_block_public_access": {
      "internet_gateway_block": {
        "mode": {
          "@@assign": "block_ingress"
        },
        "exclusions_allowed": {
          "@@assign": "enabled"
        }
      }
    }
  }
}

A continuación, se muestran los campos disponibles para este atributo:

  • "internet_gateway":

    • "mode":

      • "off": el BPA de la VPC no está activado.

      • "block_ingress": Se bloquea todo el tráfico de Internet que llega a VPCs (excepto VPCs el de las subredes, que están excluidas). Solo se permite el tráfico hacia y desde las puertas de enlace NAT y las puertas de enlace de Internet solo de salida, ya que estas puertas de enlace solo permiten establecer conexiones salientes.

      • "block_bidirectional": Se bloquea todo el tráfico hacia y desde las pasarelas de Internet y las pasarelas de Internet que solo son de salida (excepto las excluidas VPCs y las subredes).

  • "exclusions_allowed": una exclusión es un modo que se puede aplicar a una sola VPC o subred y que la exime del modo BPA de la VPC de la cuenta y permitirá el acceso bidireccional o solo de salida.

    • "enabled": la cuenta puede crear exclusiones.

    • "disabled": la cuenta no puede crear exclusiones.

    nota

    Puede usar el atributo para configurar si se permiten las exclusiones, pero no puede crear exclusiones con este atributo en sí. Para crear exclusiones, debe crearlas en la cuenta propietaria de la VPC. Para obtener más información sobre cómo crear exclusiones del BPA de la VPC, consulte Crear y eliminar exclusiones en la Guía del usuario de Amazon VPC.

Consideraciones

Si utiliza este atributo en una política declarativa, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es definitiva:

  • ModifyVpcBlockPublicAccessOptions

  • CreateVpcBlockPublicAccessExclusion

  • ModifyVpcBlockPublicAccessExclusion

Serial Console Access

Efecto de la política

Controla si se puede acceder a la consola serie. EC2 Para obtener más información sobre la consola EC2 serie, consulte EC2 Serial Console en la Guía del usuario de Amazon Elastic Compute Cloud.

Contenidos de la política

{
  "ec2_attributes": {
    "serial_console_access": {
      "status": {
        "@@assign": "enabled"
      }
    }
  }
}

A continuación, se muestran los campos disponibles para este atributo:

  • "status":

    • "enabled": se permite el acceso a la consola en EC2 serie.

    • "disabled": el acceso a la consola EC2 serie está bloqueado.

Consideraciones

Si utiliza este atributo en una política declarativa, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es definitiva:

  • EnableSerialConsoleAccess

  • DisableSerialConsoleAccess

Image Block Public Access

Efecto de la política

Controla si Amazon Machine Images (AMIs) se puede compartir públicamente. Para obtener más información AMIs, consulte Amazon Machine Images (AMIs) en la Guía del usuario de Amazon Elastic Compute Cloud.

Contenidos de la política

{
  "ec2_attributes": {
    "image_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

A continuación, se muestran los campos disponibles para este atributo:

  • "state":

    • "unblocked": No hay restricciones a la hora de compartir públicamente AMIs.

    • "block_new_sharing": Bloquea el nuevo intercambio público de AMIs. AMIs las que ya se compartieron públicamente permanecen disponibles públicamente.

Consideraciones

Si utiliza este atributo en una política declarativa, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es definitiva:

  • EnableImageBlockPublicAccess

  • DisableImageBlockPublicAccess

Allowed Images Settings

Efecto de la política

Controla el descubrimiento y el uso de Amazon Machine Images (AMI) en Amazon EC2 con Allowed AMIs. Para obtener más información AMIs, consulte Controlar el descubrimiento y el uso de AMIs en Amazon EC2 con Allowed AMIs en la Guía del usuario de Amazon Elastic Compute Cloud.

Contenidos de la política

A continuación, se muestran los campos disponibles para este atributo:

{
  "ec2_attributes": {
    "allowed_images_settings": {
      "state": {
        "@@assign": "enabled"
      },
      "image_criteria": {
        "criteria_1": {
          "allowed_image_providers": {
            "@@append": [
              "amazon"
            ]
          }
        }
      }
    }
  }
}

  • "state":

    • "enabled": el atributo está activo y se aplica.

    • "disabled": el atributo está inactivo y no se aplica.

    • "audit_mode": el atributo está en modo de auditoría. Esto significa que se identificarán las imágenes que no cumplan con los requisitos, pero no se bloqueará su uso.

  • "image_criteria": una lista de criterios. Admite hasta 10 criterios con los nombres criteria_1 a criteria_10

    • "allowed_image_providers": una lista separada por comas de la cuenta de 12 dígitos IDs o el alias del propietario de Amazon, aws_marketplace y aws_backup_vault.

    • "image_names": los nombres de las imágenes permitidas. Los nombres pueden incluir caracteres comodín (? y *). Longitud: de 1 a 128 caracteres. Con ?, los caracteres mínimos son 3.

    • "marketplace_product_codes": Los códigos de producto de AWS Marketplace para las imágenes permitidas. Longitud: de 1 a 25 caracteres. Caracteres válidos: letras (de la A a la Z, de la a la z) y números (del 0 al 9)

    • "creation_date_condition": la antigüedad máxima de las imágenes permitidas.

      • "maximum_days_since_created": el número máximo de días que han transcurrido desde que se creó la imagen. Rango válido: valor mínimo de 0. Valor máximo de 2147483647.

    • "deprecation_time_condition": el periodo máximo desde la obsolescencia de las imágenes permitidas.

      • "maximum_days_since_deprecated": el número máximo de días que han transcurrido desde que la imagen quedó obsoleta. Rango válido: valor mínimo de 0. Valor máximo de 2147483647.

Consideraciones

Si utiliza este atributo en una política declarativa, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es definitiva:

  • EnableAllowedImagesSettings

  • ReplaceImageCriteriaInAllowedImagesSettings

  • DisableAllowedImagesSettings

Instance Metadata Defaults

Efecto de la política

Controla los valores predeterminados de IMDS para todos los lanzamientos de instancias nuevas. EC2 Tenga en cuenta que esta configuración solo establece los valores predeterminados y no impone los ajustes de la versión de IMDS. Para obtener más información sobre los valores predeterminados de IMDS, consulte IMDS en la Guía del usuario de Amazon Elastic Compute Cloud.

Contenidos de la política

A continuación, se muestran los campos disponibles para este atributo:

{
  "ec2_attributes": {
    "instance_metadata_defaults": {
      "http_tokens": {
        "@@assign": "required"
      },
      "http_put_response_hop_limit": {
        "@@assign": "4"
      },
      "http_endpoint": {
        "@@assign": "enabled"
      },
      "instance_metadata_tags": {
        "@@assign": "enabled"
      }
    }
  }
}

  • "http_tokens":

    • "no_preference": se aplican otros valores predeterminados. Por ejemplo, si corresponde, la AMI es la opción predeterminada.

    • "required": IMDSv2 debe usarse. IMDSv1 no está permitido.

    • "optional": Ambos IMDSv1 IMDSv2 están permitidos.

    nota

    Versión de metadatos

    Antes de http_tokens configurarla required (IMDSv2 debe usarse), asegúrate de que ninguna de tus instancias esté realizando IMDSv1 llamadas.

  • "http_put_response_hop_limit":

    • "Integer": valor entero comprendido entre -1 y 64, que representa el número máximo de saltos que puede recorrer el token de metadatos. Si no desea indicar ninguna preferencia, especifique -1.

      nota

      Límite de saltos

      Si http_tokens se establece en required, se recomienda establecer http_put_response_hop_limit en un mínimo de 2. Para obtener más información, consulte Consideraciones del acceso a metadatos de instancia en la Guía del usuario de Amazon Elastic Compute Cloud.

  • "http_endpoint":

    • "no_preference": se aplican otros valores predeterminados. Por ejemplo, si corresponde, la AMI es la opción predeterminada.

    • "enabled": se puede acceder al punto de conexión del servicio de metadatos de la instancia.

    • "disabled": no se puede acceder al punto de conexión del servicio de metadatos de la instancia.

  • "instance_metadata_tags":

    • "no_preference": se aplican otros valores predeterminados. Por ejemplo, si corresponde, la AMI es la opción predeterminada.

    • "enabled": se puede acceder a las etiquetas de instancia desde los metadatos de la instancia.

    • "disabled": no se puede acceder a las etiquetas de instancia desde los metadatos de la instancia.

Snapshot Block Public Access

Efecto de la política

Controla si las instantáneas de Amazon EBS son de acceso público. Para obtener más información sobre las instantáneas de EBS, consulte Instantáneas de Amazon EBS en la Guía del usuario de Amazon Elastic Block Store.

Contenidos de la política

{
  "ec2_attributes": {
    "snapshot_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

A continuación, se muestran los campos disponibles para este atributo:

  • "state":

    • "block_all_sharing": bloquea todo el uso compartido público de las instantáneas. Las instantáneas que ya se compartieron públicamente se consideran privadas y dejan de ser de acceso público.

    • "block_new_sharing": bloquea el uso compartido público nuevo de las instantáneas. Las instantáneas que ya se compartieron públicamente seguirán siendo de acceso público.

    • "unblocked": no hay restricciones sobre el uso compartido público de las instantáneas.

Consideraciones

Si utiliza este atributo en una política declarativa, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es definitiva:

  • EnableSnapshotBlockPublicAccess

  • DisableSnapshotBlockPublicAccess