Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Syntaxe de politique EC2 et exemples
Cette page décrit la syntaxe de la politique EC2 et fournit des exemples.
## Considérations
+ Lorsque vous configurez un attribut de service à l'aide d'une politique EC2, cela peut avoir un impact sur plusieurs API. Toute action non conforme échouera.
+ Les administrateurs de compte ne seront pas en mesure de modifier la valeur de l'attribut de service au niveau du compte individuel.
## Syntaxe des politiques EC2
[Une politique EC2 est un fichier en texte brut structuré selon les règles du JSON.](http://json.org) La syntaxe des politiques EC2 suit celle de tous les types de politiques déclaratives. Pour une discussion complète de cette syntaxe, voir Syntaxe des [politiques et héritage pour les types de politiques déclaratives](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_mgmt.html). Cette rubrique se concentre sur l'application de cette syntaxe générale aux exigences spécifiques du type de politique EC2.
L'exemple suivant montre la syntaxe de base de la politique EC2 :
```
{
"ec2_attributes": {
"exception_message": {
"@@assign": "Your custom error message.https://myURL"
}
}
}
```
+ Le nom de clé du champ `ec2_attributes`. Les politiques déclaratives commencent toujours par un nom de clé fixe pour le donné Service AWS. Il s'agit de la ligne du haut dans l'exemple de politique ci-dessus.
+ Sous`ec2_attributes`, vous pouvez utiliser `exception_message` pour définir un message d'erreur personnalisé. Pour plus d'informations, consultez la section [Messages d'erreur personnalisés pour les politiques EC2](orgs_manage_policies_ec2.md#orgs_manage_policies_ec2-custom-message).
+ Sous`ec2_attributes`, vous pouvez insérer une ou plusieurs politiques EC2 prises en charge. Pour ces schémas, voir[Politiques EC2 prises en charge](#ec2-policy-examples).
## Politiques EC2 prises en charge
Les attributs Services AWS et pris en charge par les politiques EC2 sont les suivants. Dans certains des exemples suivants, la mise en forme des espaces JSON peut être compressée pour économiser de l'espace.
+ Accès public aux blocs VPC
+ Accès à la console série
+ Accès public au bloc d'images
+ Paramètres des images autorisées
+ Métadonnées de l'instance
+ Accès public à Snapshot Block
------
#### [ VPC Block Public Access ]
**Effet de la politique**
Contrôle si les ressources des VPC et des sous-réseaux Amazon peuvent accéder à Internet via des passerelles Internet (IGW). Pour plus d'informations, consultez [la section Configuration de l'accès à Internet](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-igw-internet-access.html) dans le *guide de l'utilisateur d'Amazon Virtual Private Cloud*.
**Contenu de la politique**
```
{
"ec2_attributes": {
"vpc_block_public_access": {
"internet_gateway_block": {
"mode": {
"@@assign": "block_ingress"
},
"exclusions_allowed": {
"@@assign": "enabled"
}
}
}
}
}
```
Les champs disponibles pour cet attribut sont les suivants :
+ `"internet_gateway"`:
+ `"mode"`:
+ `"off"`: le VPC BPA n'est pas activé.
+ `"block_ingress"`: Tout le trafic Internet vers les VPC (à l'exception des VPC ou des sous-réseaux exclus) est bloqué. Seul le trafic à destination et en provenance des passerelles NAT et des passerelles Internet de sortie uniquement est autorisé, car ces passerelles autorisent uniquement l’établissement de connexions sortantes.
+ `"block_bidirectional"`: Tout le trafic à destination et en provenance des passerelles Internet et des passerelles Internet de sortie uniquement (à l'exception des VPC et des sous-réseaux exclus) est bloqué.
+ `"exclusions_allowed"`: Une exclusion est un mode qui peut être appliqué à un seul VPC ou sous-réseau pour l'exempter du mode BPA VPC du compte et autoriser un accès bidirectionnel ou de sortie uniquement.
+ `"enabled"`: Les exclusions peuvent être créées par le compte.
+ `"disabled"`: Les exclusions ne peuvent pas être créées par le compte.
**Note**
Vous pouvez utiliser l'attribut pour configurer si les exclusions sont autorisées, mais vous ne pouvez pas créer d'exclusions avec cet attribut lui-même. Pour créer des exclusions, vous devez les créer dans le compte propriétaire du VPC. Pour plus d'informations sur la création d'exclusions BPA pour VPC, consultez la section [Créer et supprimer des exclusions](https://docs.aws.amazon.com//vpc/latest/userguide/security-vpc-bpa.html#security-vpc-bpa-exclusions) dans le guide de l'utilisateur Amazon *VPC*.
**Considérations**
Si vous utilisez cet attribut dans une politique EC2, vous ne pouvez pas utiliser les opérations suivantes pour modifier la configuration appliquée aux comptes concernés. Cette liste n'est pas exhaustive :
+ `ModifyVpcBlockPublicAccessOptions`
+ `CreateVpcBlockPublicAccessExclusion`
+ `ModifyVpcBlockPublicAccessExclusion`
------
#### [ Serial Console Access ]
**Effet de la politique**
Contrôle si la console série EC2 est accessible. Pour plus d'informations sur la console série EC2, consultez la section Console série [EC2 dans le guide](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-serial-console.html) de l'*utilisateur d'Amazon Elastic Compute Cloud*.
**Contenu de la politique**
```
{
"ec2_attributes": {
"serial_console_access": {
"status": {
"@@assign": "enabled"
}
}
}
}
```
Les champs disponibles pour cet attribut sont les suivants :
+ `"status"`:
+ `"enabled"`: l'accès à la console série EC2 est autorisé.
+ `"disabled"`: l'accès à la console série EC2 est bloqué.
**Considérations**
Si vous utilisez cet attribut dans une politique EC2, vous ne pouvez pas utiliser les opérations suivantes pour modifier la configuration appliquée aux comptes concernés. Cette liste n'est pas exhaustive :
+ `EnableSerialConsoleAccess`
+ `DisableSerialConsoleAccess`
------
#### [ Image Block Public Access ]
**Effet de la politique**
Contrôle si les Amazon Machine Images (AMI) sont partageables publiquement. Pour plus d'informations sur les AMI, consultez [Amazon Machine Images (AMI)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) dans le *guide de l'utilisateur d'Amazon Elastic Compute Cloud*.
**Contenu de la politique**
```
{
"ec2_attributes": {
"image_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Les champs disponibles pour cet attribut sont les suivants :
+ `"state"`:
+ `"unblocked"`: Aucune restriction sur le partage public des AMI.
+ `"block_new_sharing"`: bloque les nouveaux partages publics d'AMI. Les AMI déjà partagées publiquement restent accessibles au public.
**Considérations**
Si vous utilisez cet attribut dans une politique EC2, vous ne pouvez pas utiliser les opérations suivantes pour modifier la configuration appliquée aux comptes concernés. Cette liste n'est pas exhaustive :
+ `EnableImageBlockPublicAccess`
+ `DisableImageBlockPublicAccess`
------
#### [ Allowed Images Settings ]
**Effet de la politique**
Contrôle la découverte et l'utilisation d'Amazon Machine Images (AMI) dans Amazon EC2 avec des AMI autorisées. Pour plus d'informations sur les AMI, consultez la section [Contrôler la découverte et l'utilisation des AMI dans Amazon EC2 avec des AMI autorisées](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-allowed-amis.html) dans le guide de l'*utilisateur d'Amazon Elastic Compute Cloud*.
**Contenu de la politique**
Les champs disponibles pour cet attribut sont les suivants :
```
{
"ec2_attributes": {
"allowed_images_settings": {
"state": {
"@@assign": "enabled"
},
"image_criteria": {
"criteria_1": {
"allowed_image_providers": {
"@@append": [
"amazon"
]
}
}
}
}
}
}
```
+ `"state"`:
+ `"enabled"`: L'attribut est actif et appliqué.
+ `"disabled"`: L'attribut est inactif et n'est pas appliqué.
+ `"audit_mode"`: L'attribut est en mode audit. Cela signifie qu'il identifiera les images non conformes mais ne bloquera pas leur utilisation.
+ `"image_criteria"`: liste de critères. Support d'un maximum de 10 critères dont le nom est compris entre criteria\_1 et criteria\_10
+ `"allowed_image_providers"`: liste séparée par des virgules d'identifiants de compte à 12 chiffres ou d'alias de propriétaire d'amazon, aws\_marketplace, aws\_backup\_vault.
+ `"image_names"`: noms des images autorisées. Les noms peuvent inclure des caractères génériques (? et \*). Longueur : 1 à 128 caractères Avec ? , le minimum est de 3 caractères.
+ `"marketplace_product_codes"`: Les codes de produit AWS Marketplace pour les images autorisées. Longueur : 1 à 25 caractères Caractères valides : lettres (A—Z, a—z) et chiffres (0—9)
+ `"creation_date_condition"`: âge maximum pour les images autorisées.
+ `"maximum_days_since_created"`: nombre maximal de jours écoulés depuis la création de l'image. Plage valide : Valeur minimum de 0. Valeur maximale de 2147483647.
+ `"deprecation_time_condition"`: période maximale depuis la dépréciation pour les images autorisées.
+ `"maximum_days_since_deprecated"`: nombre maximal de jours écoulés depuis que l'image est devenue obsolète. Plage valide : Valeur minimum de 0. Valeur maximale de 2147483647.
**Considérations**
Si vous utilisez cet attribut dans une politique EC2, vous ne pouvez pas utiliser les opérations suivantes pour modifier la configuration appliquée aux comptes concernés. Cette liste n'est pas exhaustive :
+ `EnableAllowedImagesSettings`
+ `ReplaceImageCriteriaInAllowedImagesSettings`
+ `DisableAllowedImagesSettings`
------
#### [ Instance Metadata ]
**Effet de la politique**
Contrôle les paramètres IMDS par défaut et l'application de l'IMDSv2 pour tous les nouveaux lancements d'instances EC2. *Pour plus d'informations sur les paramètres IMDS par défaut et l'application de l'IMDSv2, consultez la section [Utiliser les métadonnées d'instance pour gérer votre instance EC2 dans le guide de l'utilisateur Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html).*
**Contenu de la politique**
Les champs disponibles pour cet attribut sont les suivants :
```
{
"ec2_attributes": {
"instance_metadata_defaults": {
"http_tokens": {
"@@assign": "required"
},
"http_put_response_hop_limit": {
"@@assign": "4"
},
"http_endpoint": {
"@@assign": "enabled"
},
"instance_metadata_tags": {
"@@assign": "enabled"
},
"http_tokens_enforced": {
"@@assign": "enabled"
}
}
}
}
```
+ `"http_tokens"`:
+ `"no_preference"`: Les autres valeurs par défaut s'appliquent. Par exemple, les paramètres par défaut de l'AMI, le cas échéant.
+ `"required"`: IMDSv2 doit être utilisé. IMDSv1 n'est pas autorisé.
+ `"optional"`: IMDSv1 et IMDSv2 sont autorisés.
**Note**
**Version des métadonnées**
Avant de passer `http_tokens` à `required` (IMDSv2 doit être utilisé), assurez-vous qu'aucune de vos instances n'effectue d'appels IMDSv1. *Pour plus d'informations, consultez [Étape 1 : Identifier les instances avec IMDSv2 = facultatif et auditer l'utilisation d'IMDSv1 dans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#path-step-1) le guide de l'utilisateur Amazon EC2.*
+ `"http_put_response_hop_limit"`:
+ `"{{Integer}}"`: valeur entière comprise entre -1 et 64, représentant le nombre maximal de sauts que le jeton de métadonnées peut effectuer. Pour n'indiquer aucune préférence, spécifiez -1.
**Note**
**Limite de sauts**
Si `http_tokens` cette valeur est définie sur`required`, il est recommandé de `http_put_response_hop_limit` définir une valeur minimale de 2. Pour plus d'informations, consultez la section [Considérations relatives à l'accès aux métadonnées des instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-data-retrieval.html#imds-considerations) dans le *guide de l'utilisateur d'Amazon Elastic Compute Cloud*.
+ `"http_endpoint"`:
+ `"no_preference"`: Les autres valeurs par défaut s'appliquent. Par exemple, les paramètres par défaut de l'AMI, le cas échéant.
+ `"enabled"`: le point de terminaison du service de métadonnées de l'instance est accessible.
+ `"disabled"`: le point de terminaison du service de métadonnées de l'instance n'est pas accessible.
+ `"instance_metadata_tags"`:
+ `"no_preference"`: Les autres valeurs par défaut s'appliquent. Par exemple, les paramètres par défaut de l'AMI, le cas échéant.
+ `"enabled"`: Les balises d'instance sont accessibles à partir des métadonnées de l'instance.
+ `"disabled"`: Les balises d'instance ne sont pas accessibles à partir des métadonnées de l'instance.
+ `"http_tokens_enforced":`
+ `"no_preference"`: Les autres valeurs par défaut s'appliquent. Par exemple, les paramètres par défaut de l'AMI, le cas échéant.
+ `"enabled"`: IMDSv2 doit être utilisé. Les tentatives de lancement d'une instance IMDSv1 ou d'activation d'IMDSv1 sur des instances existantes échoueront.
+ `"disabled"`: IMDSv1 et IMDSv2 sont autorisés.
**Avertissement**
**Application de l'IMDSv2**
L'activation de l'application IMDSv2 tout en autorisant IMDSv1 et IMDSv2 (jeton facultatif) entraînera des échecs de lancement, sauf si IMDSv1 est explicitement désactivé, soit par le biais des paramètres de lancement, soit par le biais des paramètres de lancement ou des paramètres par défaut de l'AMI. Pour plus d'informations, consultez la section [Échec du lancement d'une IMDSv1-enabled instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/troubleshooting-launch.html#launching-an-imdsv1-enabled-instance-fails) dans le *guide de l'utilisateur Amazon EC2*.
------
#### [ Snapshot Block Public Access ]
**Effet de la politique**
Contrôle si les instantanés Amazon EBS sont accessibles au public. Pour plus d'informations sur les instantanés EBS, consultez les instantanés [Amazon EBS dans le guide de l'utilisateur](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html) d'*Amazon Elastic Block Store.*
**Contenu de la politique**
```
{
"ec2_attributes": {
"snapshot_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Les champs disponibles pour cet attribut sont les suivants :
+ `"state"`:
+ `"block_all_sharing"`: bloque tout partage public d'instantanés. Les instantanés déjà partagés publiquement sont considérés comme privés et ne sont plus accessibles au public.
+ `"block_new_sharing"`: bloque le nouveau partage public d'instantanés. Les instantanés déjà partagés publiquement restent accessibles au public.
+ `"unblocked"`: Aucune restriction quant au partage public des instantanés.
**Considérations**
Si vous utilisez cet attribut dans une politique EC2, vous ne pouvez pas utiliser les opérations suivantes pour modifier la configuration appliquée aux comptes concernés. Cette liste n'est pas exhaustive :
+ `EnableSnapshotBlockPublicAccess`
+ `DisableSnapshotBlockPublicAccess`
------