Considérations Syntaxe des politiques déclaratives Politiques déclaratives prises en charge

Syntaxe de politique déclarative et exemples

Cette page décrit la syntaxe de la politique déclarative et fournit des exemples.

Considérations

Lorsque vous configurez un attribut de service à l'aide d'une politique déclarative, cela peut avoir un impact sur plusieurs APIs. Toute action non conforme échouera.
Les administrateurs de compte ne seront pas en mesure de modifier la valeur de l'attribut de service au niveau du compte individuel.

Syntaxe des politiques déclaratives

Une politique déclarative est un fichier en texte brut structuré selon les règles du JSON. La syntaxe des politiques déclaratives suit celle de tous les types de politiques de gestion. Pour une analyse complète de cette syntaxe, consultez Syntaxe et héritage des politiques de gestion. Cette rubrique se concentre sur l'application de cette syntaxe générale aux exigences spécifiques du type de politique déclarative.

L'exemple suivant montre la syntaxe de base de la politique déclarative :


{
    "ec2_attributes": {
        "exception_message": {
            "@@assign": "Your custom error message.https://myURL"
        },
    
        ... 
    
        [Insert supported service attributes]
   
        ...
    }   
}

Le nom de clé du champ ec2_attributes. Les politiques déclaratives commencent toujours par un nom de clé fixe pour le donné Service AWS. Il s'agit de la ligne du haut dans l'exemple de politique ci-dessus. Actuellement, les politiques déclaratives ne prenaient en charge que les services EC2 liés à Amazon.
Sousec2_attributes, vous pouvez l'utiliser exception_message pour définir un message d'erreur personnalisé. Pour plus d'informations, consultez la section Messages d'erreur personnalisés pour les politiques déclaratives.
Sousec2_attributes, vous pouvez insérer une ou plusieurs politiques déclaratives prises en charge. Pour ces schémas, voirPolitiques déclaratives prises en charge.

Politiques déclaratives prises en charge

Les attributs Services AWS et pris en charge par les politiques déclaratives sont les suivants. Dans certains des exemples suivants, la mise en forme des espaces JSON peut être compressée pour économiser de l'espace.

Accès public aux blocs VPC
Accès à la console série
Accès public au bloc d'images
Paramètres des images autorisées
Valeurs par défaut des métadonnées de l'instance
Accès public à Snapshot Block

VPC Block Public Access

Effet de la politique

Contrôle si les ressources d'Amazon VPCs et des sous-réseaux peuvent accéder à Internet via des passerelles Internet ()IGWs. Pour plus d'informations, consultez la section Configuration de l'accès à Internet dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.

Contenu de la politique


"vpc_block_public_access": {
    "internet_gateway_block": { // (optional)
        "mode": { // (required)
            "@@assign": "block_ingress" // off | block_ingress | block_bidirectional
        },
        "exclusions_allowed": { // (required)
            "@@assign": "enabled" // enabled | disabled
        }
    }
}

Les champs disponibles pour cet attribut sont les suivants :

"internet_gateway":
- "mode":
  - "off": le VPC BPA n'est pas activé.
  - "block_ingress": Tout le trafic Internet vers le VPCs (à l'exception VPCs des sous-réseaux exclus) est bloqué. Seul le trafic à destination et en provenance des passerelles NAT et des passerelles Internet de sortie uniquement est autorisé, car ces passerelles autorisent uniquement l’établissement de connexions sortantes.
  - "block_bidirectional": Tout le trafic à destination et en provenance des passerelles Internet et des passerelles Internet de sortie uniquement (à l'exception des réseaux exclus VPCs et des sous-réseaux) est bloqué.
"exclusions_allowed": Une exclusion est un mode qui peut être appliqué à un seul VPC ou sous-réseau pour l'exempter du mode BPA VPC du compte et autoriser un accès bidirectionnel ou de sortie uniquement.
- "enabled": Les exclusions peuvent être créées par le compte.
- "disabled": Les exclusions ne peuvent pas être créées par le compte.
Note
Vous pouvez utiliser l'attribut pour configurer si les exclusions sont autorisées, mais vous ne pouvez pas créer d'exclusions avec cet attribut lui-même. Pour créer des exclusions, vous devez les créer dans le compte propriétaire du VPC. Pour plus d'informations sur la création d'exclusions BPA pour VPC, consultez la section Créer et supprimer des exclusions dans le guide de l'utilisateur Amazon VPC.

Considérations

Si vous utilisez cet attribut dans une politique déclarative, vous ne pouvez pas utiliser les opérations suivantes pour modifier la configuration appliquée aux comptes concernés. Cette liste n'est pas exhaustive :

ModifyVpcBlockPublicAccessOptions
CreateVpcBlockPublicAccessExclusion
ModifyVpcBlockPublicAccessExclusion

Serial Console Access

Effet de la politique

Contrôle si la console EC2 série est accessible. Pour plus d'informations sur la console EC2 série, consultez la section EC2 Serial Console dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.

Contenu de la politique


"serial_console_access": {
    "status": { // (required)
        "@@assign": "enabled" // enabled | disabled
    }
}

Les champs disponibles pour cet attribut sont les suivants :

"status":
- "enabled": l'accès à la console EC2 série est autorisé.
- "disabled": l'accès à la console EC2 série est bloqué.

Considérations

EnableSerialConsoleAccess
DisableSerialConsoleAccess

Image Block Public Access

Effet de la politique

Contrôle si Amazon Machine Images (AMIs) est partageable publiquement. Pour plus d'informations AMIs, consultez Amazon Machine Images (AMIs) dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.

Contenu de la politique


"image_block_public_access": {
    "state": { // (required)
        "@@assign": "block_new_sharing" // unblocked | block_new_sharing
    }
}

Les champs disponibles pour cet attribut sont les suivants :

"state":
- "unblocked": Aucune restriction quant au partage public de AMIs.
- "block_new_sharing": Bloque le nouveau partage public de AMIs. AMIs qui ont déjà été partagés publiquement restent accessibles au public.

Considérations

EnableImageBlockPublicAccess
DisableImageBlockPublicAccess

Allowed Images Settings

Effet de la politique

Contrôle la découverte et l'utilisation d'Amazon Machine Images (AMI) dans Amazon EC2 avec Allowed AMIs. Pour plus d'informations AMIs, consultez la section Contrôler la découverte et l'utilisation de AMIs dans Amazon EC2 avec Allowed AMIs dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.

Contenu de la politique

Les champs disponibles pour cet attribut sont les suivants :


"allowed_images_settings": {
    "state": { // (required)
        "@@assign": "enabled" // enabled | disabled | audit_mode
    },
    "image_criteria": { // (optional)
        "criteria_1": {
            "marketplace_product_codes": { // limit 50
                "@@append": [
                    "abcdefg1234567890" // Letters (A–Z, a–z) and numbers (0–9) and Length: 1-25 characters
                ]
            }
        },
        "criteria_2": {
            "allowed_image_providers": { // limit 200
                "@@append": [
                    "123456789012", // amazon | aws_marketplace | aws_backup_vault | 12 digit account ID
                    "123456789013"
                ]
            },
            "creation_date_condition": {
                "maximum_days_since_created": {
                    "@@assign": 300 // Minimum value of 0. Maximum value of 2147483647
                }
            }
        },
        "criteria_3": {
            "allowed_image_providers": { // limit 200
                "@@assign": [
                    "123456789014" // amazon | aws_marketplace | aws_backup_vault | 12 digit account ID
                ]
            },
            "image_names": { // limit 50
                "@@assign": [
                    "golden-ami-*"
                ]
            }
        },
        "criteria_4": {
            "allowed_image_providers": {
                "@@assign": [
                    "amazon" // amazon | aws_marketplace | aws_backup_vault | 12 digit account ID
                ]
            },
            "deprecation_time_condition": {
                "maximum_days_since_deprecated": {
                    "@@assign": 0 // Minimum value of 0. Maximum value of 2147483647
                }
            }
        }
    }
}

"state":
- "enabled": L'attribut est actif et appliqué.
- "disabled": L'attribut est inactif et n'est pas appliqué.
- "audit_mode": L'attribut est en mode audit. Cela signifie qu'il identifiera les images non conformes mais ne bloquera pas leur utilisation.
"image_criteria": liste de critères. Support d'un maximum de 10 critères dont le nom est compris entre criteria_1 et criteria_10
- "allowed_image_providers": liste séparée par des virgules d'alias de compte IDs ou de propriétaire à 12 chiffres pour Amazon, aws_marketplace, aws_backup_vault.
- "image_names": noms des images autorisées. Les noms peuvent inclure des caractères génériques (? et *). Longueur : 1 à 128 caractères. Avec ? , le minimum est de 3 caractères.
- "marketplace_product_codes": Les codes de produit AWS Marketplace pour les images autorisées. Longueur : 1 à 25 caractères Caractères valides : lettres (A—Z, a—z) et chiffres (0—9)
- "creation_date_condition": âge maximum pour les images autorisées.
  - "maximum_days_since_created": nombre maximal de jours écoulés depuis la création de l'image. Plage valide : Valeur minimum de 0. Valeur maximale de 2147483647.
- "deprecation_time_condition": période maximale depuis la dépréciation pour les images autorisées.
  - "maximum_days_since_deprecated": nombre maximal de jours écoulés depuis que l'image est devenue obsolète. Plage valide : Valeur minimum de 0. Valeur maximale de 2147483647.

Considérations

EnableAllowedImagesSettings
ReplaceImageCriteriaInAllowedImagesSettings
DisableAllowedImagesSettings

Instance Metadata Defaults

Effet de la politique

Contrôle les paramètres IMDS par défaut pour tous les lancements de nouvelles EC2 instances. Notez que cette configuration définit uniquement les valeurs par défaut et n'applique pas les paramètres de version IMDS. Pour plus d'informations sur les paramètres IMDS par défaut, consultez IMDS dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.

Contenu de la politique

Les champs disponibles pour cet attribut sont les suivants :


"instance_metadata_defaults": {
    "http_tokens": { // (required)
        "@@assign": "required" // no_preference | required | optional
    },
    "http_put_response_hop_limit": { // (required)
        "@@assign": "4" // -1 | 1 -> 64
    },
    "http_endpoint": { // (required)
        "@@assign": "enabled" // no_preference | enabled | disabled
    },
    "instance_metadata_tags": { // (required)
        "@@assign": "enabled" // no_preference | enabled | disabled
    }
}

"http_tokens":
- "no_preference": Les autres valeurs par défaut s'appliquent. Par exemple, les paramètres par défaut de l'AMI, le cas échéant.
- "required": IMDSv2 doit être utilisé. IMDSv1 n'est pas autorisé.
- "optional": Les deux IMDSv1 IMDSv2 sont autorisés.
Note
Version des métadonnées
Avant http_tokens de définir sur required (IMDSv2 doit être utilisé), assurez-vous qu'aucune de vos instances ne passe d' IMDSv1 appel.
"http_put_response_hop_limit":
- "Integer": valeur entière comprise entre -1 et 64, représentant le nombre maximal de sauts que le jeton de métadonnées peut effectuer. Pour n'indiquer aucune préférence, spécifiez -1.
  
  Note
  Limite de sauts
  Si http_tokens cette valeur est définie surrequired, il est recommandé de http_put_response_hop_limit définir une valeur minimale de 2. Pour plus d'informations, consultez la section Considérations relatives à l'accès aux métadonnées des instances dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.
"http_endpoint":
- "no_preference": Les autres valeurs par défaut s'appliquent. Par exemple, les paramètres par défaut de l'AMI, le cas échéant.
- "enabled": le point de terminaison du service de métadonnées de l'instance est accessible.
- "disabled": le point de terminaison du service de métadonnées de l'instance n'est pas accessible.
"instance_metadata_tags":
- "no_preference": Les autres valeurs par défaut s'appliquent. Par exemple, les paramètres par défaut de l'AMI, le cas échéant.
- "enabled": Les balises d'instance sont accessibles à partir des métadonnées de l'instance.
- "disabled": Les balises d'instance ne sont pas accessibles à partir des métadonnées de l'instance.

Snapshot Block Public Access

Effet de la politique

Contrôle si les instantanés Amazon EBS sont accessibles au public. Pour plus d'informations sur les instantanés EBS, consultez les instantanés Amazon EBS dans le guide de l'utilisateur d'Amazon Elastic Block Store.

Contenu de la politique


"snapshot_block_public_access": {
    "state": { // (required)
        "@@assign": "block_new_sharing" // unblocked | block_new_sharing | block_all_sharing
    }
}

Les champs disponibles pour cet attribut sont les suivants :

"state":
- "block_all_sharing": bloque tout partage public d'instantanés. Les instantanés déjà partagés publiquement sont considérés comme privés et ne sont plus accessibles au public.
- "block_new_sharing": bloque le nouveau partage public d'instantanés. Les instantanés déjà partagés publiquement restent accessibles au public.
- "unblocked": Aucune restriction quant au partage public des instantanés.

Considérations

EnableSnapshotBlockPublicAccess
DisableSnapshotBlockPublicAccess

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Génération du rapport sur l'état du compte

Politiques de sauvegarde