As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Sintaxe e exemplos de políticas declarativas
Esta página fornece sintaxe e exemplos das políticas declarativas.
Considerações
-
Quando você configura um atributo de serviço usando uma política declarativa, isso pode afetar vários APIs. Qualquer ação não compatível falhará.
-
Os administradores da conta não poderão modificar o valor do atributo de serviço no nível da conta individual.
Sintaxe para políticas declarativas
Uma política declarativa é um arquivo de texto sem formatação estruturado de acordo com as regras do JSON. A sintaxe para políticas declarativas segue a sintaxe para todos os tipos de política de gerenciamento. Para obter uma discussão completa sobre essa sintaxe, consulte Sintaxe de política e herança para tipos de política de gerenciamento. Este tópico se concentra na aplicação dessa sintaxe geral aos requisitos específicos do tipo de política declarativa.
O exemplo a seguir mostra a sintaxe básica para uma política declarativa:
{
"ec2_attributes": {
"exception_message": {
"@@assign": "Your custom error message.https://myURL"
}
}
}
-
O nome da chave de campo ec2_attributes. As políticas declarativas sempre começam com um nome de chave fixo para o determinado AWS service (Serviço da AWS). É a linha superior na política de exemplo acima. Atualmente, as políticas declarativas só oferecem suporte EC2 aos serviços relacionados à Amazon.
-
Em ec2_attributes, você pode usar exception_message para definir uma mensagem de erro personalizada. Para obter mais informações, consulte Mensagens de erro personalizadas para políticas declarativas.
-
Em ec2_attributes, você pode inserir uma ou mais das políticas declarativas compatíveis. Para esses esquemas, consulte Políticas declarativas compatíveis.
Políticas declarativas compatíveis
A seguir estão os atributos Serviços da AWS e que as políticas declarativas suportam. Em alguns dos exemplos a seguir, a formatação de espaço em branco JSON pode ser compactada para economizar espaço.
-
Bloqueio de acesso público a VPC
-
Acesso ao console de série
-
Bloqueio de acesso público a imagens
-
Configurações de imagens permitidas
-
Padrões de metadados de instância
-
Bloqueio do acesso público a snapshots
- VPC Block Public Access
-
Efeito da política
Controla se os recursos na Amazon VPCs e nas sub-redes podem acessar a Internet por meio de gateways da Internet (). IGWs Para obter mais informações, consulte Configuração para acesso à Internet no Guia do usuário da Amazon Virtual Private Cloud.
Conteúdo da política
{
"ec2_attributes": {
"vpc_block_public_access": {
"internet_gateway_block": {
"mode": {
"@@assign": "block_ingress"
},
"exclusions_allowed": {
"@@assign": "enabled"
}
}
}
}
}
Os campos disponíveis para este atributo são os seguintes:
Considerações
Se você usar esse atributo em uma política declarativa, não poderá usar as operações a seguir para modificar a configuração imposta para as contas no escopo. Essa lista não é exaustiva:
-
ModifyVpcBlockPublicAccessOptions
-
CreateVpcBlockPublicAccessExclusion
-
ModifyVpcBlockPublicAccessExclusion
- Serial Console Access
-
Efeito da política
Controla se o console EC2 serial está acessível. Para obter mais informações sobre o console EC2 serial, consulte o console EC2 serial no Guia do usuário do Amazon Elastic Compute Cloud.
Conteúdo da política
{
"ec2_attributes": {
"serial_console_access": {
"status": {
"@@assign": "enabled"
}
}
}
}
Os campos disponíveis para este atributo são os seguintes:
Considerações
Se você usar esse atributo em uma política declarativa, não poderá usar as operações a seguir para modificar a configuração imposta para as contas no escopo. Essa lista não é exaustiva:
- Image Block Public Access
-
Efeito da política
Controla se as Amazon Machine Images (AMIs) podem ser compartilhadas publicamente. Para obter mais informações sobre AMIs, consulte Amazon Machine Images (AMIs) no Guia do usuário do Amazon Elastic Compute Cloud.
Conteúdo da política
{
"ec2_attributes": {
"image_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
Os campos disponíveis para este atributo são os seguintes:
-
"state":
-
"unblocked": Sem restrições ao compartilhamento público de AMIs.
-
"block_new_sharing": Bloqueia o novo compartilhamento público de AMIs. AMIs que já foram compartilhados publicamente permanecem disponíveis publicamente.
Considerações
Se você usar esse atributo em uma política declarativa, não poderá usar as operações a seguir para modificar a configuração imposta para as contas no escopo. Essa lista não é exaustiva:
- Allowed Images Settings
-
Efeito da política
Controla a descoberta e o uso de Amazon Machine Images (AMI) na Amazon EC2 com Allowed AMIs. Para obter mais informações sobre AMIs, consulte Controle a descoberta e o uso de AMIs na Amazon EC2 com Allowed AMIs no Guia do usuário do Amazon Elastic Compute Cloud.
Conteúdo da política
Os campos disponíveis para este atributo são os seguintes:
{
"ec2_attributes": {
"allowed_images_settings": {
"state": {
"@@assign": "enabled"
},
"image_criteria": {
"criteria_1": {
"allowed_image_providers": {
"@@append": [
"amazon"
]
}
}
}
}
}
}
Considerações
Se você usar esse atributo em uma política declarativa, não poderá usar as operações a seguir para modificar a configuração imposta para as contas no escopo. Essa lista não é exaustiva:
-
EnableAllowedImagesSettings
-
ReplaceImageCriteriaInAllowedImagesSettings
-
DisableAllowedImagesSettings
- Instance Metadata Defaults
-
Efeito da política
Controla os padrões do IMDS para todas as novas EC2 execuções de instâncias. Observe que essa configuração define somente padrões e não impõe as configurações de versão do IMDS. Para obter mais informações sobre padrões do IMDS, consulte IMDS no Guia do usuário do Amazon Elastic Compute Cloud.
Conteúdo da política
Os campos disponíveis para este atributo são os seguintes:
{
"ec2_attributes": {
"instance_metadata_defaults": {
"http_tokens": {
"@@assign": "required"
},
"http_put_response_hop_limit": {
"@@assign": "4"
},
"http_endpoint": {
"@@assign": "enabled"
},
"instance_metadata_tags": {
"@@assign": "enabled"
}
}
}
}
- Snapshot Block Public Access
-
Efeito da política
Controla se os snapshots do Amazon EBS estão acessíveis ao público. Consulte mais informações sobre snapshots do EBS, consulte Snapshots do Amazon Elastic Block Store no Guia do usuário do Amazon Elastic Block Store.
Conteúdo da política
{
"ec2_attributes": {
"snapshot_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
Os campos disponíveis para este atributo são os seguintes:
-
"state":
-
"block_all_sharing": bloqueia todos os compartilhamentos públicos dos snapshots. Os snapshots que já foram compartilhados publicamente são tratados como privados e não estão mais disponíveis publicamente.
-
"block_new_sharing": bloqueia o novo compartilhamento público de snapshots. Os snapshots que já foram compartilhados publicamente permanecem disponíveis publicamente.
-
"unblocked": sem restrições ao compartilhamento público de snapshots.
Considerações
Se você usar esse atributo em uma política declarativa, não poderá usar as operações a seguir para modificar a configuração imposta para as contas no escopo. Essa lista não é exaustiva:
