本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

EC2 政策

EC2 策略允许您在整个组织中大规模集中声明和强制执行 Amazon EC2、Amazon VPC 和 Amazon EBS 所需的配置。一旦附加后，即使服务添加了新功能或 API，该配置都将始终保持不变。

EC2 策略的自定义错误消息

EC2 策略允许您创建自定义错误消息。例如，如果 API 操作因 EC2 策略而失败，则可以设置错误消息或提供自定义 URL，例如指向内部 wiki 的链接或描述失败的消息的链接。如果您未指定自定义错误消息，则会 AWS Organizations 提供以下默认错误消息：Example: This action is denied due to an organizational policy in effect。

您还可以使用审核创建 EC2 策略、更新 EC2 策略和删除 EC2 策略的过程 AWS CloudTrail。 CloudTrail 可以标记由于 EC2 策略导致的 API 操作失败。有关更多信息，请参阅日志记录和监控。

EC2 策略的账户状态报告

账户状态报告允许您查看范围内账户的 EC2 策略支持的所有属性的当前状态。您可以选择要包含在报告范围内的账户和组织单元（OU），也可以通过选择根来选择整个组织。

此报告提供区域细分来帮助您评估就绪情况，并评测属性的当前状态是跨账户统一（通过 numberOfMatchedAccounts）还是不一致（通过 numberOfUnmatchedAccounts）。您还可以看到最常见值，即该属性中最常观察到的配置值。

图 1 中生成了一份账户状态报告，其中显示了以下属性的账户间一致性：VPC 屏蔽公共访问权限和映像屏蔽公共访问权限。这意味着，对于每个属性，范围内的所有账户对该属性的配置都相同。

生成的账户状态报告显示了以下属性的不一致账户：允许的映像设置、实例元数据默认值、Serial Console 访问权限和快照屏蔽公共访问权限。在此示例中，不一致账户的每个属性都是因为存在一个账户具有不同的配置值。

如果存在最常见值，则会显示在相应的列中。有关每个属性控制内容的更多详细信息，请参阅 EC2 策略语法和示例策略。

您也可以展开属性查看区域明细。在此示例中，展开了“映像屏蔽公共访问权限”项，在每个区域中，您都可以看到具备账户间的统一性。

选择附加用于强制执行基准配置的 EC2 策略取决于您的具体使用案例。在附加 EC2 策略之前，使用账户状态报告来帮助你评估准备情况。

有关更多信息，请参阅生成账户状态报告。

图 1：VPC 屏蔽公共访问权限和映像屏蔽公共访问权限具备跨账户一致性的示例账户状态报告。

EC2 策略支持的属性

下表显示了 Amazon EC2 相关服务支持的属性。