Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Kebijakan deklaratif
<a name="orgs_manage_policies_declarative"></a>

Kebijakan deklaratif memungkinkan Anda untuk mendeklarasikan dan menerapkan konfigurasi yang Anda inginkan secara terpusat untuk suatu skala tertentu Layanan AWS di seluruh organisasi. Setelah terpasang, konfigurasi selalu dipertahankan ketika layanan menambahkan fitur baru atau APIs. Gunakan kebijakan deklaratif untuk mencegah tindakan yang tidak patuh. Misalnya, Anda dapat memblokir akses internet publik ke sumber daya Amazon VPC di seluruh organisasi Anda. 

Manfaat utama menggunakan kebijakan deklaratif adalah:
+ **Kemudahan penggunaan**: Anda dapat menerapkan konfigurasi dasar untuk Layanan AWS dengan beberapa pilihan di AWS Control Tower konsol AWS Organizations dan atau dengan beberapa perintah menggunakan &. AWS CLI AWS SDKs
+ **Tetapkan sekali dan lupakan**: Konfigurasi dasar untuk sebuah selalu Layanan AWS dipertahankan, bahkan ketika layanan memperkenalkan fitur baru atau. APIs Konfigurasi dasar juga dipertahankan ketika akun baru ditambahkan ke organisasi atau ketika prinsip dan sumber daya baru dibuat.
+ **Transparansi**: Laporan status akun memungkinkan Anda meninjau status saat ini dari semua atribut yang didukung oleh kebijakan deklaratif untuk cakupan akun. Anda juga dapat membuat pesan kesalahan yang dapat disesuaikan, yang dapat membantu administrator mengarahkan pengguna akhir ke halaman wiki internal atau memberikan pesan deskriptif yang dapat membantu pengguna akhir memahami mengapa suatu tindakan gagal. 

 Untuk daftar lengkap atribut Layanan AWS dan dukungan, lihat[Didukung Layanan AWS dan atribut](#orgs_manage_policies_declarative-supported-controls).

**Topics**
+ [Bagaimana kebijakan deklaratif bekerja](#orgs_manage_policies_declarative-how-work)
+ [Pesan kesalahan kustom](#orgs_manage_policies_declarative-custom-message)
+ [Laporan status akun](#orgs_manage_policies_declarative-account-status-report)
+ [Layanan yang didukung](#orgs_manage_policies_declarative-supported-controls)
+ [Memulai](orgs_manage_policies-declarative_getting-started.md)
+ [Praktik terbaik](orgs_manage_policies_declarative_best-practices.md)
+ [Menghasilkan laporan status akun](orgs_manage_policies_declarative_status-report.md)
+ [Sintaks kebijakan deklaratif dan contoh](orgs_manage_policies_declarative_syntax.md)

## Bagaimana kebijakan deklaratif bekerja
<a name="orgs_manage_policies_declarative-how-work"></a>

Kebijakan deklaratif diberlakukan di bidang kontrol layanan, yang merupakan perbedaan penting dari kebijakan [otorisasi seperti kebijakan kontrol layanan (SCPs) dan kebijakan kontrol sumber daya ()](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_authorization_policies.html). RCPs Sementara kebijakan otorisasi mengatur akses ke APIs, kebijakan deklaratif diterapkan langsung di tingkat layanan untuk menegakkan maksud tahan lama. Ini memastikan bahwa konfigurasi dasar selalu diberlakukan, bahkan ketika fitur baru atau APIs diperkenalkan oleh layanan.

Tabel berikut membantu menggambarkan perbedaan ini dan menyediakan beberapa kasus penggunaan.


****  

|  | Kebijakan kontrol layanan | Kebijakan kontrol sumber daya | Kebijakan deklaratif | 
| --- | --- | --- | --- | 
| Kenapa? | Untuk secara terpusat mendefinisikan dan menegakkan kontrol akses yang konsisten pada prinsipal (seperti pengguna IAM dan peran IAM) dalam skala besar.  | Untuk secara terpusat mendefinisikan dan menegakkan kontrol akses yang konsisten pada sumber daya dalam skala | Untuk secara terpusat mendefinisikan dan menegakkan konfigurasi dasar untuk AWS layanan dalam skala besar. | 
| Bagaimana? | Dengan mengontrol izin akses maksimum yang tersedia dari prinsipal pada tingkat API. | Dengan mengontrol izin akses maksimum yang tersedia untuk sumber daya pada tingkat API. | Dengan menerapkan konfigurasi yang diinginkan Layanan AWS tanpa menggunakan tindakan API. | 
| Mengatur peran terkait layanan? | Tidak | Tidak | Ya | 
| Mekanisme umpan balik | Akses yang tidak dapat disesuaikan menolak kesalahan SCP. | Akses yang tidak dapat disesuaikan menolak kesalahan RCP. | Pesan kesalahan yang dapat disesuaikan. Untuk informasi selengkapnya, lihat [Pesan kesalahan khusus untuk kebijakan deklaratif](#orgs_manage_policies_declarative-custom-message). | 
| Contoh kebijakan | [Tolak akun anggota agar tidak meninggalkan organisasi](https://github.com/aws-samples/service-control-policy-examples/blob/main/Privileged-access-controls/Deny-member-accounts-from-leaving-your-AWS-organization.json) | [Batasi akses hanya ke koneksi HTTPS ke sumber daya Anda](https://github.com/aws-samples/resource-control-policy-examples/blob/main/Restrict-resource-access-patterns/Restrict-access-to-only-HTTPS-connections-to-your-resources.json) | [Pengaturan Gambar yang Diizinkan](orgs_manage_policies_declarative_syntax.md#declarative-policy-ec2-ami-allowed-images) | 

Setelah Anda [membuat](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-declarative-policy-procedure) dan [melampirkan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html) kebijakan deklaratif, kebijakan tersebut diterapkan dan diberlakukan di seluruh organisasi Anda. Kebijakan deklaratif dapat diterapkan ke seluruh organisasi, unit organisasi (OUs), atau akun. Akun yang bergabung dengan organisasi akan secara otomatis mewarisi kebijakan deklaratif dalam organisasi. Untuk informasi selengkapnya, lihat [Memahami warisan kebijakan manajemen](orgs_manage_policies_inheritance_mgmt.md).

*Kebijakan yang efektif* adalah seperangkat aturan yang diwarisi dari akar organisasi dan OUs bersama dengan yang langsung dilampirkan ke akun. Kebijakan efektif menentukan seperangkat aturan akhir yang berlaku untuk akun. Untuk informasi selengkapnya, lihat [Melihat kebijakan manajemen yang efektif](orgs_manage_policies_effective.md).

Jika kebijakan deklaratif [terlepas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html), status atribut akan kembali ke status sebelumnya sebelum kebijakan deklaratif dilampirkan.

## Pesan kesalahan khusus untuk kebijakan deklaratif
<a name="orgs_manage_policies_declarative-custom-message"></a>

Kebijakan deklaratif memungkinkan Anda membuat pesan kesalahan kustom. Misalnya, jika operasi API gagal karena kebijakan deklaratif, Anda dapat menyetel pesan kesalahan atau memberikan URL khusus, seperti tautan ke wiki internal atau tautan ke pesan yang menjelaskan kegagalan tersebut. Jika Anda tidak menentukan pesan kesalahan kustom, AWS Organizations berikan pesan galat default berikut:`Example: This action is denied due to an organizational policy in effect`.

Anda juga dapat mengaudit proses pembuatan kebijakan deklaratif, memperbarui kebijakan deklaratif, dan menghapus kebijakan deklaratif dengan. AWS CloudTrail CloudTrail dapat menandai kegagalan operasi API karena kebijakan deklaratif. Untuk informasi selengkapnya, lihat [Pencatatan dan pemantauan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_security_incident-response.html).

**penting**  
Jangan sertakan *informasi identitas pribadi (PII)* atau informasi sensitif lainnya dalam pesan kesalahan khusus. PII mencakup informasi umum yang dapat digunakan untuk mengidentifikasi atau menemukan individu. Ini mencakup catatan seperti keuangan, medis, pendidikan, atau pekerjaan. Contoh PII termasuk alamat, nomor rekening bank, dan nomor telepon.

## Laporan status akun untuk kebijakan deklaratif
<a name="orgs_manage_policies_declarative-account-status-report"></a>

*Laporan status akun* memungkinkan Anda meninjau status saat ini dari semua atribut yang didukung oleh kebijakan deklaratif untuk cakupan akun. Anda dapat memilih akun dan unit organisasi (OUs) untuk disertakan dalam lingkup laporan, atau memilih seluruh organisasi dengan memilih root.

Laporan ini membantu Anda menilai kesiapan dengan memberikan rincian Wilayah dan jika status atribut saat ini *seragam di seluruh akun* (melalui`numberOfMatchedAccounts`) atau *tidak konsisten* (melalui). `numberOfUnmatchedAccounts` Anda juga dapat melihat *nilai yang paling sering*, yang merupakan nilai konfigurasi yang paling sering diamati untuk atribut.

Pada Gambar 1, ada laporan status akun yang dihasilkan, yang menunjukkan keseragaman di seluruh akun untuk atribut berikut: VPC Block Public Access dan Image Block Public Access. Ini berarti bahwa, untuk setiap atribut, semua akun dalam lingkup memiliki konfigurasi yang sama untuk atribut tersebut.

Laporan status akun yang dihasilkan menampilkan akun yang tidak konsisten untuk atribut berikut: Setelan Gambar yang Diizinkan, default Metadata Instans, Akses Konsol Serial, dan Akses Publik Blok Snapshot. Dalam contoh ini, setiap atribut dengan akun yang tidak konsisten adalah karena ada satu akun dengan nilai konfigurasi yang berbeda.

Jika ada nilai yang paling sering, yang ditampilkan di kolom masing-masing. Untuk informasi lebih rinci tentang apa yang dikontrol setiap atribut, lihat [Sintaks kebijakan deklaratif dan kebijakan contoh](orgs_manage_policies_declarative_syntax.md).

Anda juga dapat memperluas atribut untuk melihat rincian Wilayah. Dalam contoh ini, Image Block Public Access diperluas dan di setiap Wilayah, Anda dapat melihat bahwa ada juga keseragaman di seluruh akun.

Pilihan untuk melampirkan kebijakan deklaratif untuk menerapkan konfigurasi dasar bergantung pada kasus penggunaan spesifik Anda. Gunakan laporan status akun untuk membantu Anda menilai kesiapan Anda sebelum melampirkan kebijakan deklaratif.

Untuk informasi selengkapnya, lihat [Membuat laporan status akun](orgs_manage_policies_declarative_status-report.md).

![Contoh laporan status akun dengan keseragaman di seluruh akun untuk VPC Block Public Access dan Image Block Public Access](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/images/declarative-status-report.png)


*Gambar 1: Contoh laporan status akun dengan keseragaman di seluruh akun untuk VPC Block Public Access dan Image Block Public Access.*

## Didukung Layanan AWS dan atribut
<a name="orgs_manage_policies_declarative-supported-controls"></a>

### Atribut yang didukung untuk kebijakan deklaratif untuk EC2
<a name="orgs_manage_policies_declarative-supported-controls-ec2"></a>

Tabel berikut menampilkan atribut yang didukung untuk layanan terkait Amazon EC2.


**Kebijakan deklaratif untuk EC2**  


- **Amazon VPC**
  - **Atribut:** VPC Blokir Akses Publik
  - **Efek kebijakan:** Mengontrol apakah sumber daya di Amazon VPCs dan subnet dapat mencapai internet melalui gateway internet (). IGWs
  - **Isi kebijakan:** [Lihat kebijakan](orgs_manage_policies_declarative_syntax.md#declarative-policy-vpc-block-public-access)
  - **Informasi selengkapnya:** Untuk informasi selengkapnya, lihat [Memblokir akses publik ke VPCs dan subnet](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa.html) di Panduan Pengguna Amazon VPC.

- **Amazon EC2**
  - **Atribut:** Akses Konsol Serial / **Efek kebijakan:** Kontrol jika konsol serial EC2 dapat diakses. / **Isi kebijakan:** [Lihat kebijakan](orgs_manage_policies_declarative_syntax.md#declarative-policy-ec2-serial-console-access) / **Informasi selengkapnya:** Untuk informasi selengkapnya, lihat [Mengonfigurasi akses ke Konsol Serial EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configure-access-to-serial-console.html) di Panduan Pengguna Amazon Elastic Compute Cloud.
  - **Atribut:** Blok Gambar Akses Publik / **Efek kebijakan:** Mengontrol jika Amazon Machine Images (AMIs) dapat dibagikan secara publik. / **Isi kebijakan:** [Lihat kebijakan](orgs_manage_policies_declarative_syntax.md#declarative-policy-ec2-ami-block-public-access) / **Informasi selengkapnya:** Untuk informasi selengkapnya, lihat [Memahami memblokir akses publik AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/block-public-access-to-amis.html) di Panduan Pengguna Amazon Elastic Compute Cloud.
  - **Atribut:** Pengaturan Gambar yang Diizinkan / **Efek kebijakan:** Mengontrol penemuan dan penggunaan Gambar Mesin Amazon (AMI) di Amazon EC2 dengan Diizinkan. AMIs / **Isi kebijakan:** [Lihat kebijakan](orgs_manage_policies_declarative_syntax.md#declarative-policy-ec2-ami-allowed-images) / **Informasi selengkapnya:** Untuk informasi selengkapnya, lihat [Amazon Machine Images (AMIs)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-allowed-amis.html) di Panduan Pengguna Amazon Elastic Compute Cloud.
  - **Atribut:** Default Metadata Instance / **Efek kebijakan:** Mengontrol default IMDS untuk semua peluncuran instans EC2 baru. / **Isi kebijakan:** [Lihat kebijakan](orgs_manage_policies_declarative_syntax.md#declarative-policy-default-imds-version) / **Informasi selengkapnya:** Untuk informasi selengkapnya, lihat [Mengonfigurasi opsi metadata instans untuk instance baru](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html) di Panduan Pengguna Amazon Elastic Compute Cloud.

- **Amazon EBS**
  - **Atribut:** Snapshot Memblokir Akses Publik
  - **Efek kebijakan:** Mengontrol jika snapshot Amazon EBS dapat diakses publik.
  - **Isi kebijakan:** [Lihat kebijakan](orgs_manage_policies_declarative_syntax.md#declarative-policy-vpc-eb2-snapshots-block-public-access)
  - **Informasi selengkapnya:** Untuk informasi selengkapnya, lihat [Memblokir akses publik untuk snapshot Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/block-public-access-snapshots.html) di Panduan Pengguna Amazon Elastic Block Store.