Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sintassi ed esempi delle politiche dichiarative
Questa pagina descrive la sintassi delle politiche dichiarative e fornisce esempi.
## Considerazioni
+ Quando si configura un attributo di servizio utilizzando una politica dichiarativa, ciò potrebbe influire su più fattori. APIs Qualsiasi azione non conforme fallirà.
+ Gli amministratori degli account non saranno in grado di modificare il valore dell'attributo di servizio a livello di singolo account.
## Sintassi per le politiche dichiarative
[Una politica dichiarativa è un file di testo semplice strutturato secondo le regole di JSON.](http://json.org) La sintassi per le politiche dichiarative segue la sintassi di tutti i tipi di politiche di gestione. Per una discussione completa di tale sintassi, consulta [Policy syntax and inheritance for management policy types](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_mgmt.html). Questo argomento si concentra sull'applicazione di tale sintassi generale ai requisiti specifici del tipo di politica dichiarativa.
L'esempio seguente mostra la sintassi di base della politica dichiarativa:
```
{
"ec2_attributes": {
"exception_message": {
"@@assign": "Your custom error message.https://myURL"
}
}
}
```
+ Il nome della chiave di campo `ec2_attributes`. Le politiche dichiarative iniziano sempre con un nome di chiave fisso per il dato. Servizio AWSÈ la prima riga nella policy di esempio precedente. Attualmente le politiche dichiarative supportavano solo i servizi correlati ad Amazon EC2.
+ In`ec2_attributes`, puoi utilizzare `exception_message` per impostare un messaggio di errore personalizzato. Per ulteriori informazioni, consulta [Messaggi di errore personalizzati per le politiche dichiarative](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-custom-message).
+ In`ec2_attributes`, puoi inserire una o più delle politiche dichiarative supportate. Per questi schemi, vedi. [Politiche dichiarative supportate](#declarative-policy-examples)
## Politiche dichiarative supportate
Di seguito sono riportati gli attributi Servizi AWS e supportati dalle politiche dichiarative. In alcuni degli esempi seguenti, la formattazione degli spazi bianchi JSON potrebbe essere compressa per risparmiare spazio.
+ VPC blocca l'accesso pubblico
+ Accesso alla console seriale
+ Accesso pubblico a Image Block
+ Impostazioni delle immagini consentite
+ Metadata delle istanze
+ Snapshot Block Public Access
------
#### [ VPC Block Public Access ]
**Effetto della politica**
Controlla se le risorse in Amazon VPCs e le sottoreti possono raggiungere Internet tramite gateway Internet (). IGWs Per ulteriori informazioni, consulta [Configurazione per l'accesso a Internet](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-igw-internet-access.html) nella *Guida per l'utente di Amazon Virtual Private Cloud*.
**Contenuto della policy**
```
{
"ec2_attributes": {
"vpc_block_public_access": {
"internet_gateway_block": {
"mode": {
"@@assign": "block_ingress"
},
"exclusions_allowed": {
"@@assign": "enabled"
}
}
}
}
}
```
Di seguito sono riportati i campi disponibili per questo attributo:
+ `"internet_gateway"`:
+ `"mode"`:
+ `"off"`: VPC BPA non è abilitato.
+ `"block_ingress"`: Tutto il traffico Internet verso VPCs (ad eccezione VPCs delle sottoreti che sono escluse) è bloccato. È consentito solo il traffico da e verso i gateway NAT e i gateway Internet egress-only, poiché questi gateway consentono solo di stabilire connessioni in uscita.
+ `"block_bidirectional"`: Tutto il traffico da e verso i gateway Internet e i gateway Internet solo in uscita (ad eccezione delle sottoreti e delle sottoreti escluse) è bloccato. VPCs
+ `"exclusions_allowed"`: Un'esclusione è una modalità che può essere applicata a un singolo VPC o sottorete che lo esenta dalla modalità VPC BPA dell'account e consentirà l'accesso bidirezionale o solo in uscita.
+ `"enabled"`: Le esclusioni possono essere create dall'account.
+ `"disabled"`: Le esclusioni non possono essere create dall'account.
**Nota**
È possibile utilizzare l'attributo per configurare se le esclusioni sono consentite, ma non è possibile creare esclusioni con questo attributo stesso. Per creare esclusioni, devi crearle nell'account che possiede il VPC. Per ulteriori informazioni sulla creazione di esclusioni VPC BPA, consulta [Creare ed eliminare esclusioni](https://docs.aws.amazon.com//vpc/latest/userguide/security-vpc-bpa.html#security-vpc-bpa-exclusions) nella *Amazon* VPC User Guide.
**Considerazioni**
Se utilizzi questo attributo in una politica dichiarativa, non puoi utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:
+ `ModifyVpcBlockPublicAccessOptions`
+ `CreateVpcBlockPublicAccessExclusion`
+ `ModifyVpcBlockPublicAccessExclusion`
------
#### [ Serial Console Access ]
**Effetto politico**
Controlla se la console seriale EC2 è accessibile. Per ulteriori informazioni sulla console seriale EC2, consulta [Console seriale EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-serial-console.html) nella *Amazon Elastic Compute Cloud User Guide*.
**Contenuti della policy**
```
{
"ec2_attributes": {
"serial_console_access": {
"status": {
"@@assign": "enabled"
}
}
}
}
```
Di seguito sono riportati i campi disponibili per questo attributo:
+ `"status"`:
+ `"enabled"`: L'accesso alla console seriale EC2 è consentito.
+ `"disabled"`: l'accesso alla console seriale EC2 è bloccato.
**Considerazioni**
Se si utilizza questo attributo in una politica dichiarativa, non è possibile utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:
+ `EnableSerialConsoleAccess`
+ `DisableSerialConsoleAccess`
------
#### [ Image Block Public Access ]
**Effetto politico**
Controlla se Amazon Machine Images (AMIs) è condivisibile pubblicamente. Per ulteriori informazioni AMIs, consulta [Amazon Machine Images (AMIs)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) nella *Amazon Elastic Compute Cloud User Guide*.
**Contenuti della policy**
```
{
"ec2_attributes": {
"image_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Di seguito sono riportati i campi disponibili per questo attributo:
+ `"state"`:
+ `"unblocked"`: Nessuna restrizione alla condivisione pubblica di AMIs.
+ `"block_new_sharing"`: Blocca la nuova condivisione pubblica di AMIs. AMIs che erano già condivisi pubblicamente rimangono disponibili al pubblico.
**Considerazioni**
Se si utilizza questo attributo in una politica dichiarativa, non è possibile utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:
+ `EnableImageBlockPublicAccess`
+ `DisableImageBlockPublicAccess`
------
#### [ Allowed Images Settings ]
**Effetto politico**
Controlla il rilevamento e l'uso di Amazon Machine Images (AMI) in Amazon EC2 con Allowed. AMIs Per ulteriori informazioni AMIs, consulta [Controllare l'individuazione e l'uso delle AMI in Amazon EC2 with AMIs Allowed nella Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-allowed-amis.html) *Elastic Compute* Cloud User Guide.
**Contenuti della policy**
Di seguito sono riportati i campi disponibili per questo attributo:
```
{
"ec2_attributes": {
"allowed_images_settings": {
"state": {
"@@assign": "enabled"
},
"image_criteria": {
"criteria_1": {
"allowed_image_providers": {
"@@append": [
"amazon"
]
}
}
}
}
}
}
```
+ `"state"`:
+ `"enabled"`: L'attributo è attivo e applicato.
+ `"disabled"`: l'attributo è inattivo e non applicato.
+ `"audit_mode"`: L'attributo è in modalità di controllo. Ciò significa che identificherà le immagini non conformi ma non ne bloccherà l'utilizzo.
+ `"image_criteria"`: Un elenco di criteri. Supporta fino a 10 criteri con il nome da criteria\$11 a criteria\$110
+ `"allowed_image_providers"`: un elenco separato da virgole di account IDs a 12 cifre o alias del proprietario di Amazon, aws\$1marketplace, aws\$1backup\$1vault.
+ `"image_names"`: i nomi delle immagini consentite. I nomi possono includere caratteri jolly (? e \$1). Lunghezza: 1—128 caratteri. Con? , il minimo è di 3 caratteri.
+ `"marketplace_product_codes"`: i codici prodotto del AWS Marketplace per le immagini consentite. Lunghezza: 1-25 caratteri Caratteri validi: lettere (A—Z, a—z) e numeri (0—9)
+ `"creation_date_condition"`: L'età massima consentita per le immagini.
+ `"maximum_days_since_created"`: Il numero massimo di giorni trascorsi dalla creazione dell'immagine. Intervallo valido: valore minimo di 0. Valore massimo di 2147483647.
+ `"deprecation_time_condition"`: periodo massimo di deprecazione per le immagini consentite.
+ `"maximum_days_since_deprecated"`: Il numero massimo di giorni trascorsi da quando l'immagine è diventata obsoleta. Intervallo valido: valore minimo di 0. Valore massimo di 2147483647.
**Considerazioni**
Se si utilizza questo attributo in una politica dichiarativa, non è possibile utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:
+ `EnableAllowedImagesSettings`
+ `ReplaceImageCriteriaInAllowedImagesSettings`
+ `DisableAllowedImagesSettings`
------
#### [ Instance Metadata ]
**Effetto politico**
Controlla le impostazioni predefinite IMDS e l'applicazione di IMDSv2 per tutti i lanci di nuove istanze EC2. *Per ulteriori informazioni sulle impostazioni predefinite e sull' IMDSv2 applicazione dell'IMDS, consulta [Use i metadati delle istanze per gestire l'istanza EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) User Guide.*
**Contenuti della policy**
Di seguito sono riportati i campi disponibili per questo attributo:
```
{
"ec2_attributes": {
"instance_metadata_defaults": {
"http_tokens": {
"@@assign": "required"
},
"http_put_response_hop_limit": {
"@@assign": "4"
},
"http_endpoint": {
"@@assign": "enabled"
},
"instance_metadata_tags": {
"@@assign": "enabled"
},
"http_tokens_enforced": {
"@@assign": "enabled"
}
}
}
}
```
+ `"http_tokens"`:
+ `"no_preference"`: si applicano altre impostazioni predefinite. Ad esempio, i valori predefiniti AMI, se applicabile.
+ `"required"`: IMDSv2 deve essere usato. IMDSv1 non è consentito.
+ `"optional"`: Sono IMDSv1 IMDSv2 consentiti entrambi.
**Nota**
**Versione dei metadati**
Prima di `http_tokens` impostare su `required` (IMDSv2 deve essere usato), assicurati che nessuna delle tue istanze stia effettuando IMDSv1 chiamate. Per ulteriori informazioni, consulta la [Fase 1: Identifica le istanze con IMDSv2 =optional e verifica IMDSv1 l'utilizzo](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#path-step-1) nella *Amazon EC2* User Guide.
+ `"http_put_response_hop_limit"`:
+ `"Integer"`: Valore intero compreso tra -1 e 64, che rappresenta il numero massimo di hop che il token di metadati può percorrere. Per non indicare alcuna preferenza, specificare -1.
**Nota**
**Limite di hop**
Se `http_tokens` è impostato su`required`, si consiglia di `http_put_response_hop_limit` impostarlo su un minimo di 2. Per ulteriori informazioni, consulta [Considerazioni sull'accesso ai metadati dell'istanza nella Guida](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-data-retrieval.html#imds-considerations) per l'utente di *Amazon Elastic Compute Cloud*.
+ `"http_endpoint"`:
+ `"no_preference"`: si applicano altre impostazioni predefinite. Ad esempio, i valori predefiniti AMI, se applicabile.
+ `"enabled"`: L'endpoint del servizio di metadati dell'istanza è accessibile.
+ `"disabled"`: l'endpoint del servizio di metadati dell'istanza non è accessibile.
+ `"instance_metadata_tags"`:
+ `"no_preference"`: si applicano altre impostazioni predefinite. Ad esempio, i valori predefiniti AMI, se applicabile.
+ `"enabled"`: È possibile accedere ai tag di istanza dai metadati dell'istanza.
+ `"disabled"`: Non è possibile accedere ai tag di istanza dai metadati dell'istanza.
+ `"http_tokens_enforced":`
+ `"no_preference"`: si applicano altre impostazioni predefinite. Ad esempio, i valori predefiniti AMI, se applicabile.
+ `"enabled"`: IMDSv2 deve essere usato. I tentativi di avviare un' IMDSv1 istanza o di attivarla IMDSv1 su istanze esistenti falliranno.
+ `"disabled"`: entrambi IMDSv1 IMDSv2 sono consentiti.
**avvertimento**
**IMDSv2 esecuzione**
Abilitare IMDSv2 l'imposizione mentre si consente IMDSv1 e IMDSv2 (token opzionale) causerà errori di avvio, a meno che non IMDSv1 sia esplicitamente disabilitato, tramite i parametri di avvio o le impostazioni predefinite dell'AMI. Per ulteriori informazioni, consulta [Launching an IMDSv1 -enabled instance fail](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/troubleshooting-launch.html#launching-an-imdsv1-enabled-instance-fails) nella *Amazon EC2* User Guide.
------
#### [ Snapshot Block Public Access ]
**Effetto delle politiche**
Controlla se gli snapshot di Amazon EBS sono accessibili pubblicamente. Per ulteriori informazioni sugli snapshot EBS, consulta gli snapshot di [Amazon EBS nella](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html) *Amazon Elastic Block* Store User Guide.
**Contenuto della policy**
```
{
"ec2_attributes": {
"snapshot_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Di seguito sono riportati i campi disponibili per questo attributo:
+ `"state"`:
+ `"block_all_sharing"`: blocca tutte le condivisioni pubbliche di istantanee. Le istantanee che erano già condivise pubblicamente vengono trattate come private e non sono più disponibili pubblicamente.
+ `"block_new_sharing"`: blocca la nuova condivisione pubblica di istantanee. Le istantanee che erano già condivise pubblicamente rimangono disponibili pubblicamente.
+ `"unblocked"`: nessuna restrizione alla condivisione pubblica delle istantanee.
**Considerazioni**
Se si utilizza questo attributo in una politica dichiarativa, non è possibile utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:
+ `EnableSnapshotBlockPublicAccess`
+ `DisableSnapshotBlockPublicAccess`
------