View a markdown version of this page

Sintaxe e exemplos de políticas do EC2 - AWS Organizations
ConsideraçõesSintaxe para políticas do EC2Políticas EC2 suportadas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Sintaxe e exemplos de políticas do EC2

Esta página descreve a sintaxe da política do EC2 e fornece exemplos.

Considerações

  • Quando você configura um atributo de serviço usando uma política do EC2, isso pode afetar várias APIs. Qualquer ação não compatível falhará.

  • Os administradores da conta não poderão modificar o valor do atributo de serviço no nível da conta individual.

Sintaxe para políticas do EC2

Uma política do EC2 é um arquivo de texto simples estruturado de acordo com as regras do JSON. A sintaxe das políticas do EC2 segue a sintaxe de todos os tipos de políticas declarativas. Para uma discussão completa sobre essa sintaxe, consulte Sintaxe e herança de políticas para tipos de políticas declarativas. Este tópico se concentra na aplicação dessa sintaxe geral aos requisitos específicos do tipo de política EC2.

O exemplo a seguir mostra a sintaxe básica da política do EC2:

{
  "ec2_attributes": {
    "exception_message": {
      "@@assign": "Your custom error message.https://myURL"
    }
  }
}

  • O nome da chave de campo ec2_attributes. As políticas declarativas sempre começam com um nome de chave fixo para o determinado AWS service (Serviço da AWS). É a linha superior na política de exemplo acima.

  • Em ec2_attributes, você pode usar exception_message para definir uma mensagem de erro personalizada. Para obter mais informações, consulte Mensagens de erro personalizadas para políticas do EC2.

  • Emec2_attributes, você pode inserir uma ou mais das políticas do EC2 suportadas. Para esses esquemas, consulte Políticas EC2 suportadas.

Políticas EC2 suportadas

A seguir estão os atributos Serviços da AWS e aos quais as políticas do EC2 oferecem suporte. Em alguns dos exemplos a seguir, a formatação de espaço em branco JSON pode ser compactada para economizar espaço.

  • Bloqueio de acesso público a VPC

  • Acesso ao console de série

  • Bloqueio de acesso público a imagens

  • Configurações de imagens permitidas

  • Metadados da instância

  • Bloqueio do acesso público a snapshots

VPC Block Public Access

Efeito da política

Controla se os recursos em VPCs e sub-redes da Amazon podem acessar a internet por meio de gateways de internet (IGWs). Para obter mais informações, consulte Configuração para acesso à Internet no Guia do usuário da Amazon Virtual Private Cloud.

Conteúdo da política

{
  "ec2_attributes": {
    "vpc_block_public_access": {
      "internet_gateway_block": {
        "mode": {
          "@@assign": "block_ingress"
        },
        "exclusions_allowed": {
          "@@assign": "enabled"
        }
      }
    }
  }
}

Os campos disponíveis para este atributo são os seguintes:

  • "internet_gateway":

    • "mode":

      • "off": o bloqueio de acesso público a VPC não está habilitado.

      • "block_ingress": todo o tráfego de internet para as VPCs (exceto para VPCs ou sub-redes que estejam excluídas) está bloqueado. Apenas o tráfego de e para gateways NAT e gateways da Internet somente de saída é permitido porque esses gateways só permitem o estabelecimento de conexões de saída.

      • "block_bidirectional": todo o tráfego de e para gateways de internet e gateways de internet somente de saída (exceto para VPCs e sub-redes excluídas) é bloqueado.

  • "exclusions_allowed": uma exclusão é um modo que pode ser aplicado a uma única VPC ou sub-rede, isentando-a do modo BPA da VPC da conta e permitindo acesso bidirecional ou somente de saída.

    • "enabled": as exclusões podem ser criadas pela conta.

    • "disabled": as exclusões não podem ser criadas pela conta.

    nota

    É possível usar o atributo para configurar se as exclusões são permitidas, mas não é possível criar exclusões com o próprio atributo. Para criar exclusões, você deve criá-las na conta proprietária da VPC. Para obter mais informações sobre como criar exclusões de BPA na VPC, consulte Criar e excluir exclusões no Manual do usuário da Amazon VPC.

Considerações

Se você usar esse atributo em uma política do EC2, não poderá usar as seguintes operações para modificar a configuração imposta para as contas no escopo. Essa lista não é exaustiva:

  • ModifyVpcBlockPublicAccessOptions

  • CreateVpcBlockPublicAccessExclusion

  • ModifyVpcBlockPublicAccessExclusion

Serial Console Access

Efeito da política

Controla se o console de série do EC2 está acessível. Para obter mais informações sobre o console de série do EC2, consulte Console de série do EC2 no Guia do usuário do Amazon Elastic Compute Cloud.

Conteúdo da política

{
  "ec2_attributes": {
    "serial_console_access": {
      "status": {
        "@@assign": "enabled"
      }
    }
  }
}

Os campos disponíveis para este atributo são os seguintes:

  • "status":

    • "enabled": o acesso ao console de série do EC2 é permitido.

    • "disabled": o acesso ao console de série do EC2 está bloqueado.

Considerações

Se você usar esse atributo em uma política do EC2, não poderá usar as seguintes operações para modificar a configuração imposta para as contas no escopo. Essa lista não é exaustiva:

  • EnableSerialConsoleAccess

  • DisableSerialConsoleAccess

Image Block Public Access

Efeito da política

Controla se imagens de máquina da Amazon (AMIs) podem ser compartilhadas publicamente. Para obter mais informações sobre AMIs, consulte Imagens de máquina da Amazon (AMI) no Manual do usuário do Amazon Elastic Compute Cloud.

Conteúdo da política

{
  "ec2_attributes": {
    "image_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

Os campos disponíveis para este atributo são os seguintes:

  • "state":

    • "unblocked": sem restrições ao compartilhamento público de AMIs.

    • "block_new_sharing": bloqueia novos compartilhamentos públicos de AMIs. As AMIs que já foram compartilhadas publicamente continuam disponíveis ao público.

Considerações

Se você usar esse atributo em uma política do EC2, não poderá usar as seguintes operações para modificar a configuração imposta para as contas no escopo. Essa lista não é exaustiva:

  • EnableImageBlockPublicAccess

  • DisableImageBlockPublicAccess

Allowed Images Settings

Efeito da política

Controla a descoberta e o uso de imagens de máquina da Amazon (AMI) no Amazon EC2 com AMIs permitidas. Para obter mais informações sobre AMIs, consulte Controlar a descoberta e o uso de AMIs no Amazon EC2 com AMIs permitidas no Guia do usuário do Amazon Elastic Compute Cloud.

Conteúdo da política

Os campos disponíveis para este atributo são os seguintes:

{
  "ec2_attributes": {
    "allowed_images_settings": {
      "state": {
        "@@assign": "enabled"
      },
      "image_criteria": {
        "criteria_1": {
          "allowed_image_providers": {
            "@@append": [
              "amazon"
            ]
          }
        }
      }
    }
  }
}

  • "state":

    • "enabled": o atributo está ativo e em vigor.

    • "disabled": o atributo está inativo e não está em vigor.

    • "audit_mode": o atributo está no modo de auditoria. Isso significa que o sistema identificará imagens não conformes, mas não bloqueará o uso delas.

  • "image_criteria": uma lista de critérios. Suporte para até 10 critérios com nomes de criteria_1 a criteria_10.

    • "allowed_image_providers": uma lista separada por vírgulas contendo IDs de conta de 12 dígitos ou o alias do proprietário de amazon, aws_marketplace e aws_backup_vault.

    • "image_names": os nomes das imagens permitidas. Os nomes podem incluir curingas (? e *). Comprimento: 1–128 caracteres. Com o caractere ?, o mínimo é de 3 caracteres.

    • "marketplace_product_codes": Os códigos de produto do AWS Marketplace para imagens permitidas. Comprimento: 1-25 caracteres Caracteres válidos: letras (A-Z, a-z) e números (0-9)

    • "creation_date_condition": idade máxima permitida para as imagens.

      • "maximum_days_since_created": o número máximo de dias que se passaram desde que a imagem foi criada. Intervalo válido: valor mínimo de 0. Valor máximo de 2147483647.

    • "deprecation_time_condition": o período máximo desde a descontinuação para imagens permitidas.

      • "maximum_days_since_deprecated": o número máximo de dias que se passaram desde que a imagem foi descontinuada. Intervalo válido: valor mínimo de 0. Valor máximo de 2147483647.

Considerações

Se você usar esse atributo em uma política do EC2, não poderá usar as seguintes operações para modificar a configuração imposta para as contas no escopo. Essa lista não é exaustiva:

  • EnableAllowedImagesSettings

  • ReplaceImageCriteriaInAllowedImagesSettings

  • DisableAllowedImagesSettings

Instance Metadata

Efeito da política

Controla os padrões do IMDS e a aplicação do IMDSv2 para todas as novas inicializações de instâncias do EC2. Para obter mais informações sobre os padrões do IMDS e a aplicação do IMDSv2, consulte Usar metadados da instância para gerenciar sua instância do EC2 no Guia do usuário do Amazon EC2.

Conteúdo da política

Os campos disponíveis para este atributo são os seguintes:

{
  "ec2_attributes": {
    "instance_metadata_defaults": {
      "http_tokens": {
        "@@assign": "required"
      },
      "http_put_response_hop_limit": {
        "@@assign": "4"
      },
      "http_endpoint": {
        "@@assign": "enabled"
      },
      "instance_metadata_tags": {
        "@@assign": "enabled"
      },
      "http_tokens_enforced": {
        "@@assign": "enabled"
      }
    }
  }
}

  • "http_tokens":

    • "no_preference": outros padrões se aplicam. Por exemplo, a AMI usa como padrão, se aplicável.

    • "required": o IMDSv2 deve ser usado. O IMDSv1 não é permitido.

    • "optional": são permitidos o IMDSv1 e o IMDSv2.

    nota

    Versão de metadados

    Antes de definir http_tokens como required (é necessário usar o IMDSv2), certifique-se de que nenhuma de suas instâncias esteja fazendo chamadas do IMDSv1. Para obter mais informações, consulte Etapa 1: Identificar instâncias com IMDSv2=opcional e auditar o uso do IMDSv1 no Guia do usuário do Amazon EC2.

  • "http_put_response_hop_limit":

    • "Integer": valor inteiro de -1 a 64, representando o número máximo de saltos que o token de metadados pode percorrer. Para indicar que não há preferência, especifique -1.

    nota

    Limite de salto

    Se http_tokens estiver definido como required, é recomendável definir http_put_response_hop_limit para um mínimo de 2. Para obter mais informações, consulte Considerações sobre o acesso aos metadados da instância no Guia do usuário do Amazon Elastic Compute Cloud.

  • "http_endpoint":

    • "no_preference": outros padrões se aplicam. Por exemplo, a AMI usa como padrão, se aplicável.

    • "enabled": o endpoint do serviço de metadados da instância está acessível.

    • "disabled": o endpoint do serviço de metadados da instância não está acessível.

  • "instance_metadata_tags":

    • "no_preference": outros padrões se aplicam. Por exemplo, a AMI usa como padrão, se aplicável.

    • "enabled": as tags de instância podem ser acessadas a partir dos metadados da instância.

    • "disabled": as tags da instância não podem ser acessadas a partir dos metadados da instância.

  • "http_tokens_enforced":

    • "no_preference": outros padrões se aplicam. Por exemplo, a AMI usa como padrão, se aplicável.

    • "enabled": o IMDSv2 deve ser usado. As tentativas de iniciar uma instância do IMDSv1 ou habilitar o IMDSv1 nas instâncias existentes falharão.

    • "disabled": são permitidos o IMDSv1 e o IMDSv2.

    Atenção

    Imposição do IMDSv2

    Ativar a aplicação do IMDSv2 e permitir o IMDSv1 e o IMDSv2 (token opcional) causará falhas na inicialização, a menos que o IMDSv1 seja explicitamente desativado, seja por meio de parâmetros de inicialização ou padrões da AMI. Para obter mais informações, consulte Falha ao iniciar uma IMDSv1-enabled instância no Guia do usuário do Amazon EC2.

Snapshot Block Public Access

Efeito da política

Controla se os snapshots do Amazon EBS estão acessíveis ao público. Consulte mais informações sobre snapshots do EBS, consulte Snapshots do Amazon Elastic Block Store no Guia do usuário do Amazon Elastic Block Store.

Conteúdo da política

{
  "ec2_attributes": {
    "snapshot_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

Os campos disponíveis para este atributo são os seguintes:

  • "state":

    • "block_all_sharing": bloqueia todos os compartilhamentos públicos dos snapshots. Os snapshots que já foram compartilhados publicamente são tratados como privados e não estão mais disponíveis publicamente.

    • "block_new_sharing": bloqueia o novo compartilhamento público de snapshots. Os snapshots que já foram compartilhados publicamente permanecem disponíveis publicamente.

    • "unblocked": sem restrições ao compartilhamento público de snapshots.

Considerações

Se você usar esse atributo em uma política do EC2, não poderá usar as seguintes operações para modificar a configuração imposta para as contas no escopo. Essa lista não é exaustiva:

  • EnableSnapshotBlockPublicAccess

  • DisableSnapshotBlockPublicAccess