Sintaxe e exemplos de políticas declarativas - AWS Organizations
ConsideraçõesSintaxe para políticas declarativasPolíticas declarativas suportadas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Sintaxe e exemplos de políticas declarativas

Esta página fornece sintaxe exemplos das políticas declarativas.

Considerações

  • Quando você configura um atributo de serviço usando uma política declarativa, isso pode afetar vários APIs. Qualquer ação não compatível falhará.

  • Os administradores da conta não poderão modificar o valor do atributo de serviço no nível da conta individual.

Sintaxe para políticas declarativas

Uma política declarativa é um arquivo de texto sem formatação estruturado de acordo com as regras de JSON. A sintaxe para políticas declarativas segue a sintaxe para todos os tipos de política de gerenciamento. Para obter uma discussão completa sobre essa sintaxe, consulte Sintaxe de política e herança para tipos de política de gerenciamento. Este tópico se concentra na aplicação dessa sintaxe geral aos requisitos específicos do tipo de política declarativa.

O exemplo a seguir mostra a sintaxe da política declarativa:

{
    "ec2_attributes": {
        "exception_message": {
            "@@assign": "Your custom error message.https://myURL"
        },
    
        ... 
    
        [Insert supported service attributes]
   
        ...
    }   
}

  • O nome da chave de campo ec2_attributes. As políticas declarativas sempre começam com um nome de chave fixo para o determinado AWS service (Serviço da AWS). É a linha superior na política de exemplo acima. Atualmente, as políticas declarativas só oferecem suporte EC2 aos serviços relacionados à Amazon.

  • Emec2_attributes, você pode usar exception_message para definir uma mensagem de erro personalizada. Para obter mais informações, consulte Mensagens de erro personalizadas para políticas declarativas.

  • Emec2_attributes, você pode inserir uma ou mais das políticas declarativas suportadas. Para esses esquemas, consultePolíticas declarativas suportadas.

Políticas declarativas suportadas

A seguir estão os atributos Serviços da AWS e que as políticas declarativas suportam. Em alguns dos exemplos a seguir, a formatação de espaço em branco JSON pode ser compactada para economizar espaço.

  • Bloquear o Acesso Público da VPC

  • Acesso ao console serial

  • Bloquear o Acesso Público de Imagem

  • Configurações de imagem permitidas

  • Padrões de metadados da instância

  • Bloquear o Acesso Público do Snapshot

VPC Block Public Access

Efeito político

Controla se os recursos na Amazon VPCs e nas sub-redes podem acessar a Internet por meio de gateways da Internet (). IGWs Para obter mais informações, consulte Configuração para acesso à Internet no Guia do usuário da Amazon Virtual Private Cloud.

Conteúdo da política

"vpc_block_public_access": {
    "internet_gateway_block": { // (optional)
        "mode": { // (required)
            "@@assign": "block_ingress" // off | block_ingress | block_bidirectional
        },
        "exclusions_allowed": { // (required)
            "@@assign": "enabled" // enabled | disabled
        }
    }
}

Estes são os campos disponíveis para esse atributo:

  • "internet_gateway":

    • "mode":

      • "off": o VPC BPA não está ativado.

      • "block_ingress": todo o tráfego de Internet para o VPCs (exceto VPCs para as sub-redes excluídas) é bloqueado. Apenas o tráfego de e para gateways NAT e gateways da Internet somente de saída é permitido porque esses gateways só permitem o estabelecimento de conexões de saída.

      • "block_bidirectional": todo o tráfego de e para os gateways da Internet e os gateways da Internet (exceto os gateways da Internet e os gateways da Internet somente de saída) é VPCs bloqueado.

  • "exclusions_allowed": uma exclusão é um modo que pode ser aplicado a uma única VPC ou sub-rede que a isenta do modo BPA da VPC da conta e permitirá acesso bidirecional ou somente de saída.

    • "enabled": as exclusões podem ser criadas pela conta.

    • "disabled": as exclusões não podem ser criadas pela conta.

    nota

    É possível usar o atributo para configurar se as exclusões são permitidas, mas não é possível criar exclusões com esse atributo em si. Para criar exclusões, é necessário fazê-lo na conta proprietária da VPC. Para obter mais informações sobre como criar exclusões do BPA da VPC, consulte Criar e excluir exclusões no Manual do usuário da Amazon VPC.

Considerações

Se você usar esse atributo em uma política declarativa, não poderá usar as operações a seguir para modificar a configuração imposta para as contas no escopo. Essa lista não é exaustiva:

  • ModifyVpcBlockPublicAccessOptions

  • CreateVpcBlockPublicAccessExclusion

  • ModifyVpcBlockPublicAccessExclusion

Serial Console Access

Efeito político

Controla se o console EC2 serial está acessível. Para obter mais informações sobre o console EC2 serial, consulte o console EC2 serial no Guia do usuário do Amazon Elastic Compute Cloud.

Conteúdo da política

"serial_console_access": {
    "status": { // (required)
        "@@assign": "enabled" // enabled | disabled
    }
}

Estes são os campos disponíveis para esse atributo:

  • "status":

    • "enabled": o acesso ao console EC2 serial é permitido.

    • "disabled": o acesso ao console EC2 serial está bloqueado.

Considerações

Se você usar esse atributo em uma política declarativa, não poderá usar as operações a seguir para modificar a configuração imposta para as contas no escopo. Essa lista não é exaustiva:

  • EnableSerialConsoleAccess

  • DisableSerialConsoleAccess

Image Block Public Access

Efeito político

Controla se as Amazon Machine Images (AMIs) podem ser compartilhadas publicamente. Para obter mais informações sobre AMIs, consulte Amazon Machine Images (AMIs) no Guia do usuário do Amazon Elastic Compute Cloud.

Conteúdo da política

"image_block_public_access": {
    "state": { // (required)
        "@@assign": "block_new_sharing" // unblocked | block_new_sharing
    }
}

Estes são os campos disponíveis para esse atributo:

  • "state":

    • "unblocked": Sem restrições ao compartilhamento público de AMIs.

    • "block_new_sharing": Bloqueia o novo compartilhamento público de AMIs. AMIs que já foram compartilhados publicamente permanecem disponíveis publicamente.

Considerações

Se você usar esse atributo em uma política declarativa, não poderá usar as operações a seguir para modificar a configuração imposta para as contas no escopo. Essa lista não é exaustiva:

  • EnableImageBlockPublicAccess

  • DisableImageBlockPublicAccess

Allowed Images Settings

Efeito político

Controla a descoberta e o uso de Amazon Machine Images (AMI) na Amazon EC2 com Allowed AMIs.. Para obter mais informações sobre AMIs, consulte Amazon Machine Images (AMIs) no Guia do usuário do Amazon Elastic Compute Cloud.

Conteúdo da política

Estes são os campos disponíveis para esse atributo:

"allowed_images_settings": {
    "state": { // (required)
        "@@assign": "enabled" // enabled | disabled | audit_mode
    },
    "image_criteria": { // (optional)
        "criteria_1": {
            "allowed_image_providers": { // limit 200
                "@@append": [
                    "amazon" // amazon | aws_marketplace | aws_backup_vault | 12 digit account ID
                ]
            }
        }
    }
}

  • "state":

    • "enabled": O atributo está ativo e obrigatório.

    • "disabled": o atributo está inativo e não é obrigatório.

    • "audit_mode": O atributo está no modo de auditoria. Isso significa que ele identificará imagens não compatíveis, mas não bloqueará seu uso.

  • "image_criteria": uma lista de allowed_image_providers objetos que definem as fontes de AMI permitidas.

    • "allowed_image_providers": uma lista separada por vírgulas de nomes de provedores ou contas. IDs

Considerações

Se você usar esse atributo em uma política declarativa, não poderá usar as operações a seguir para modificar a configuração imposta para as contas no escopo. Essa lista não é exaustiva:

  • EnableAllowedImagesSettings

  • ReplaceImageCriteriaInAllowedImagesSettings

  • DisableAllowedImagesSettings

Instance Metadata Defaults

Efeito político

Controla os padrões do IMDS para todas as novas EC2 execuções de instâncias. Observe que essa configuração define somente padrões e não impõe as configurações de versão do IMDS. Para obter mais informações sobre os padrões do IMDS, consulte o IMDS no Guia do usuário do Amazon Elastic Compute Cloud.

Conteúdo da política

Estes são os campos disponíveis para esse atributo:

"instance_metadata_defaults": {
    "http_tokens": { // (required)
        "@@assign": "required" // no_preference | required | optional
    },
    "http_put_response_hop_limit": { // (required)
        "@@assign": "4" // -1 | 1 -> 64
    },
    "http_endpoint": { // (required)
        "@@assign": "enabled" // no_preference | enabled | disabled
    },
    "instance_metadata_tags": { // (required)
        "@@assign": "enabled" // no_preference | enabled | disabled
    }
}

  • "http_tokens":

    • "no_preference": Outros padrões se aplicam. Por exemplo, a AMI usa como padrão, se aplicável.

    • "required": IMDSv2 deve ser usado. IMDSv1 não é permitido.

    • "optional": Ambos IMDSv1 IMDSv2 são permitidos.

    nota

    Versão de metadados

    Antes de http_tokens configurar como required (IMDSv2 deve ser usado), certifique-se de que nenhuma das suas instâncias esteja fazendo IMDSv1 chamadas.

  • "http_put_response_hop_limit":

    • "Integer": valor inteiro de -1 a 64, representando o número máximo de saltos que o token de metadados pode percorrer. Para indicar que não há preferência, especifique -1.

      nota

      Limite de salto

      Se http_tokens estiver definido comorequired, é recomendável http_put_response_hop_limit definir no mínimo 2. Para obter mais informações, consulte Considerações sobre o acesso aos metadados da instância no Guia do usuário do Amazon Elastic Compute Cloud.

  • "http_endpoint":

    • "no_preference": Outros padrões se aplicam. Por exemplo, a AMI usa como padrão, se aplicável.

    • "enabled": o endpoint do serviço de metadados da instância está acessível.

    • "disabled": o endpoint do serviço de metadados da instância não está acessível.

  • "instance_metadata_tags":

    • "no_preference": Outros padrões se aplicam. Por exemplo, a AMI usa como padrão, se aplicável.

    • "enabled": as tags de instância podem ser acessadas a partir dos metadados da instância.

    • "disabled": as tags da instância não podem ser acessadas a partir dos metadados da instância.

Snapshot Block Public Access

Efeito político

Controla se os snapshots do Amazon EBS são acessíveis publicamente. Para obter mais informações sobre os snapshots do EBS, consulte os snapshots do Amazon EBS no Guia do usuário do Amazon Elastic Block Store.

Conteúdo da política

"snapshot_block_public_access": {
    "state": { // (required)
        "@@assign": "block_new_sharing" // unblocked | block_new_sharing | block_all_sharing
    }
}

Estes são os campos disponíveis para esse atributo:

  • "state":

    • "block_all_sharing": bloqueia todos os compartilhamentos de snapshots. Os snapshots que já foram compartilhados publicamente são tratados como privados e não estão mais disponíveis publicamente.

    • "block_new_sharing": bloqueia o novo compartilhamento público de instantâneos. Os snapshots que já foram compartilhados publicamente permanecem disponíveis publicamente.

    • "unblocked": sem restrições ao compartilhamento público dos snapshots.

Considerações

Se você usar esse atributo em uma política declarativa, não poderá usar as operações a seguir para modificar a configuração imposta para as contas no escopo. Essa lista não é exaustiva:

  • EnableSnapshotBlockPublicAccess

  • DisableSnapshotBlockPublicAccess