Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Deklarative Richtlinien
Mit deklarativen Richtlinien können Sie Ihre gewünschte Konfiguration für eine bestimmte Größe AWS-Service im gesamten Unternehmen zentral deklarieren und durchsetzen. Einmal hinzugefügt, wird die Konfiguration immer beibehalten, wenn der Service neue Funktionen hinzufügt oder APIs. Verwenden Sie deklarative Richtlinien, um nicht konforme Aktionen zu verhindern. Sie können beispielsweise den öffentlichen Internetzugang zu Amazon VPC-Ressourcen in Ihrer gesamten Organisation blockieren.
Die wichtigsten Vorteile der Verwendung deklarativer Richtlinien sind:
+ **Benutzerfreundlichkeit**: Sie können die Basiskonfiguration für eine AWS-Service mit wenigen Auswahlen in den AWS Organizations und AWS Control Tower -Konsolen oder mit einigen Befehlen mithilfe von & erzwingen. AWS CLI AWS SDKs
+ **Einmal einrichten und vergessen**: Die Basiskonfiguration für eine AWS-Service wird immer beibehalten, auch wenn der Dienst neue Funktionen einführt oder APIs. Die Basiskonfiguration wird auch beibehalten, wenn einer Organisation neue Konten hinzugefügt werden oder wenn neue Prinzipale und Ressourcen erstellt werden.
+ **Transparenz**: Mit dem Kontostatusbericht können Sie den aktuellen Status aller Attribute überprüfen, die durch deklarative Richtlinien für die betreffenden Konten unterstützt werden. Sie können auch anpassbare Fehlermeldungen erstellen, die Administratoren dabei helfen können, Endbenutzer auf interne Wiki-Seiten weiterzuleiten, oder eine beschreibende Meldung bereitstellen, die Endbenutzern hilft, zu verstehen, warum eine Aktion fehlgeschlagen ist.
Eine vollständige Liste der unterstützten Attribute AWS-Services und Attribute finden Sie unter[Unterstützte Eigenschaften AWS-Services und Attribute](#orgs_manage_policies_declarative-supported-controls).
**Topics**
+ [Wie funktionieren deklarative Richtlinien](#orgs_manage_policies_declarative-how-work)
+ [Benutzerdefinierte Fehlermeldungen](#orgs_manage_policies_declarative-custom-message)
+ [Bericht über den Kontostatus](#orgs_manage_policies_declarative-account-status-report)
+ [Unterstützte Services](#orgs_manage_policies_declarative-supported-controls)
+ [Erste Schritte](orgs_manage_policies-declarative_getting-started.md)
+ [Best Practices](orgs_manage_policies_declarative_best-practices.md)
+ [Generierung des Kontostatusberichts](orgs_manage_policies_declarative_status-report.md)
+ [Syntax und Beispiele für deklarative Richtlinien](orgs_manage_policies_declarative_syntax.md)
## Wie funktionieren deklarative Richtlinien
Deklarative Richtlinien werden in der Steuerungsebene des Dienstes durchgesetzt. Dies ist ein wichtiger Unterschied zu [Autorisierungsrichtlinien wie Dienststeuerungsrichtlinien (SCPs) und Ressourcenkontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_authorization_policies.html) (). RCPs Autorisierungsrichtlinien regeln zwar den Zugriff auf APIs, deklarative Richtlinien werden jedoch direkt auf Serviceebene angewendet, um dauerhafte Absichten durchzusetzen. Dadurch wird sichergestellt, dass die Basiskonfiguration immer durchgesetzt wird, auch wenn neue Funktionen oder APIs Dienste eingeführt werden.
Die folgende Tabelle verdeutlicht diesen Unterschied und enthält einige Anwendungsfälle.
****
| | Service-Kontrollrichtlinien | Ressourcen-Kontrollrichtlinien | Deklarative Richtlinien |
| --- | --- | --- | --- |
| Warum? | Um konsistente Zugriffskontrollen für Prinzipale (wie IAM-Benutzer und IAM-Rollen) zentral und in großem Umfang zu definieren und durchzusetzen. | Zentrale Definition und Durchsetzung einheitlicher Zugriffskontrollen für Ressourcen in großem Umfang | Um die Basiskonfiguration für skalierbare AWS Services zentral zu definieren und durchzusetzen. |
| Wenn ja, wie? | Durch die Steuerung der maximal verfügbaren Zugriffsberechtigungen von Prinzipalen auf API-Ebene. | Durch die Steuerung der maximal verfügbaren Zugriffsberechtigungen für Ressourcen auf API-Ebene. | Durch die Durchsetzung der gewünschten Konfiguration von und AWS-Service ohne Verwendung von API-Aktionen. |
| Regelt serviceverknüpfte Rollen? | Nein | Nein | Ja |
| Feedback-Mechanismus | SCP-Fehler: Nicht anpassbarer Zugriff verweigert. | RCP-Fehler „Nicht anpassbarer Zugriff verweigert“. | Anpassbare Fehlermeldung. Weitere Informationen finden Sie unter [Benutzerdefinierte Fehlermeldungen für deklarative Richtlinien](#orgs_manage_policies_declarative-custom-message). |
| Beispielrichtline | [Verweigern Sie Mitgliedskonten, die Organisation zu verlassen](https://github.com/aws-samples/service-control-policy-examples/blob/main/Privileged-access-controls/Deny-member-accounts-from-leaving-your-AWS-organization.json) | [Beschränken Sie den Zugriff auf Ihre Ressourcen nur auf HTTPS-Verbindungen](https://github.com/aws-samples/resource-control-policy-examples/blob/main/Restrict-resource-access-patterns/Restrict-access-to-only-HTTPS-connections-to-your-resources.json) | [Einstellungen für zulässige Bilder](orgs_manage_policies_declarative_syntax.md#declarative-policy-ec2-ami-allowed-images) |
Nachdem Sie eine deklarative Richtlinie [erstellt](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-declarative-policy-procedure) und [angehängt](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html) haben, wird sie in Ihrer gesamten Organisation angewendet und durchgesetzt. Deklarative Richtlinien können auf eine gesamte Organisation, Organisationseinheiten (OUs) oder Konten angewendet werden. Konten, die einer Organisation beitreten, erben automatisch die deklarativen Richtlinien in der Organisation. Weitere Informationen finden Sie unter [Vererbung von Verwaltungsrichtlinien verstehen](orgs_manage_policies_inheritance_mgmt.md).
Bei der *effektiven Richtlinie* handelt es sich um eine Reihe von Regeln, die vom Stamm der Organisation übernommen und OUs zusammen mit den Regeln, die direkt mit dem Konto verknüpft sind, übernommen werden. Die gültige Richtlinie legt die endgültigen Regeln fest, die für das Konto gelten. Weitere Informationen finden Sie unter [Effektive Verwaltungsrichtlinien anzeigen](orgs_manage_policies_effective.md).
Wenn eine deklarative Richtlinie [getrennt](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html) wird, wird der Status des Attributs auf den vorherigen Status zurückgesetzt, bevor die deklarative Richtlinie angehängt wurde.
## Benutzerdefinierte Fehlermeldungen für deklarative Richtlinien
Mit deklarativen Richtlinien können Sie benutzerdefinierte Fehlermeldungen erstellen. Wenn beispielsweise ein API-Vorgang aufgrund einer deklarativen Richtlinie fehlschlägt, können Sie die Fehlermeldung festlegen oder eine benutzerdefinierte URL angeben, z. B. einen Link zu einem internen Wiki oder einen Link zu einer Meldung, die den Fehler beschreibt. Wenn Sie keine benutzerdefinierte Fehlermeldung angeben, wird die AWS Organizations folgende Standardfehlermeldung angezeigt:`Example: This action is denied due to an organizational policy in effect`.
Sie können den Prozess der Erstellung deklarativer Richtlinien, der Aktualisierung deklarativer Richtlinien und des Löschens deklarativer Richtlinien auch mit überprüfen. AWS CloudTrail CloudTrail kann API-Betriebsfehler aufgrund deklarativer Richtlinien kennzeichnen. Weitere Informationen finden Sie unter [Protokollierung und Überwachung](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_security_incident-response.html).
**Wichtig**
Nehmen Sie keine *personenbezogenen Daten (PII)* oder andere vertrauliche Informationen in eine benutzerdefinierte Fehlermeldung auf. PII umfassen allgemeine Informationen, die zur Identifizierung oder Lokalisierung einer Person verwendet werden können. Es umfasst Aufzeichnungen wie finanzielle, medizinische, schulische oder berufliche Daten. Zu den PII-Beispielen gehören Adressen, Bankkontonummern und Telefonnummern.
## Kontostatusbericht für deklarative Richtlinien
Mit dem *Kontostatusbericht* können Sie den aktuellen Status aller Attribute überprüfen, die durch deklarative Richtlinien für die betreffenden Konten unterstützt werden. Sie können die Konten und Organisationseinheiten (OUs) auswählen, die in den Berichtsbereich aufgenommen werden sollen, oder Sie können eine gesamte Organisation auswählen, indem Sie den Stamm auswählen.
Dieser Bericht hilft Ihnen bei der Bewertung der Bereitschaft, indem er eine Aufschlüsselung nach Regionen enthält und angibt, ob der aktuelle Status eines Attributs *kontenübergreifend einheitlich* (durch`numberOfMatchedAccounts`) oder *inkonsistent* (durch die`numberOfUnmatchedAccounts`) ist. Sie können auch den *häufigsten Wert* sehen, d. h. den Konfigurationswert, der für das Attribut am häufigsten beobachtet wird.
In Abbildung 1 gibt es einen generierten Kontostatusbericht, der die Einheitlichkeit der Konten für die folgenden Attribute zeigt: VPC Block Public Access und Image Block Public Access. Das bedeutet, dass für jedes Attribut alle Konten im Gültigkeitsbereich dieselbe Konfiguration für dieses Attribut haben.
Der generierte Kontostatusbericht zeigt inkonsistente Konten für die folgenden Attribute: Einstellungen für zulässige Bilder, Standardeinstellungen für Instanz-Metadaten, Zugriff auf serielle Konsole und Snapshot Block Public Access. In diesem Beispiel ist jedes Attribut mit einem inkonsistenten Konto darauf zurückzuführen, dass es ein Konto mit einem anderen Konfigurationswert gibt.
Wenn es einen häufigsten Wert gibt, wird dieser in der entsprechenden Spalte angezeigt. Ausführlichere Informationen darüber, was jedes Attribut steuert, finden Sie unter [Syntax für deklarative Richtlinien und Beispielrichtlinien](orgs_manage_policies_declarative_syntax.md).
Sie können ein Attribut auch erweitern, um eine Aufschlüsselung nach Regionen anzuzeigen. In diesem Beispiel wurde Image Block Public Access erweitert, und in jeder Region können Sie sehen, dass auch die Konten einheitlich sind.
Die Entscheidung, eine deklarative Richtlinie zur Durchsetzung einer Basiskonfiguration beizufügen, hängt von Ihrem spezifischen Anwendungsfall ab. Anhand des Kontostatusberichts können Sie beurteilen, ob Sie bereit sind, bevor Sie eine deklarative Richtlinie anhängen.
Weitere Informationen finden Sie unter [Kontostatusbericht](orgs_manage_policies_declarative_status-report.md) erstellen.
![\[Beispiel für einen Kontostatusbericht mit einheitlicher Darstellung aller Konten für VPC Block Public Access und Image Block Public Access\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/declarative-status-report.png)
*Abbildung 1: Beispiel für einen Kontostatusbericht mit einheitlicher Darstellung aller Konten für VPC Block Public Access und Image Block Public Access.*
## Unterstützte Eigenschaften AWS-Services und Attribute
### Unterstützte Attribute für deklarative Richtlinien für EC2
Die folgende Tabelle zeigt die Attribute, die für Amazon EC2 EC2-bezogene Services unterstützt werden.
**Deklarative Richtlinien für EC2**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/orgs_manage_policies_declarative.html)
# Erste Schritte mit deklarativen Richtlinien
Gehen Sie wie folgt vor, um mit der Verwendung deklarativer Richtlinien zu beginnen.
1. [Erfahren Sie mehr über die Berechtigungen, die Sie für die Ausführung deklarativer Richtlinienaufgaben benötigen](orgs_manage_policies_prereqs.md).
1. [Aktivieren Sie deklarative Richtlinien für Ihre Organisation](enable-policy-type.md).
**Anmerkung**
**Die Aktivierung des vertrauenswürdigen Zugriffs ist erforderlich**
Sie müssen den vertrauenswürdigen Zugriff für den Dienst aktivieren, für den die deklarative Richtlinie eine Basiskonfiguration erzwingt. Dadurch wird eine mit dem Dienst verknüpfte, schreibgeschützte Rolle erstellt, die verwendet wird, um den Kontostatusbericht über die bestehende Konfiguration für Konten in Ihrer gesamten Organisation zu generieren.
**Verwenden der Konsole**
Wenn Sie die Organisationskonsole verwenden, ist dieser Schritt Teil des Prozesses zur Aktivierung deklarativer Richtlinien.
**Verwenden der AWS CLI**
Wenn Sie den verwenden AWS CLI, gibt es zwei separate APIs:
[EnablePolicyType](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnablePolicyType.html), die Sie verwenden, um deklarative Richtlinien zu aktivieren.
[Aktivieren Sie AWSService Access](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html), mit dem Sie vertrauenswürdigen Zugriff aktivieren.
Weitere Informationen zum Aktivieren des vertrauenswürdigen Zugriffs für einen bestimmten Dienst finden Sie AWS CLI unter [AWS-Services , den Sie mit verwenden können AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html).
1. [Führen Sie den Kontostatusbericht](orgs_manage_policies_declarative_status-report.md) aus.
1. [Erstellen Sie eine deklarative Richtlinie](orgs_policies_create.md).
1. [Hängen Sie die deklarative Richtlinie an das Stammverzeichnis, die Organisationseinheit oder das Konto Ihrer Organisation](orgs_policies_attach.md) an.
1. [Sehen Sie sich die kombinierte wirksame deklarative Richtlinie an, die für ein Konto gilt](orgs_manage_policies_effective.md).
Für alle diese Schritte melden Sie sich als IAM-Benutzer an, übernehmen eine IAM-Rolle oder melden sich als Stammbenutzer ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) im Verwaltungskonto der Organisation an.
**Weitere Informationen**
+ [Lernen Sie die Syntax deklarativer Richtlinien kennen und sehen Sie sich Beispielrichtlinien an](orgs_manage_policies_declarative_syntax.md)
# Bewährte Methoden für die Verwendung deklarativer Richtlinien
AWS empfiehlt die folgenden bewährten Methoden für die Verwendung deklarativer Richtlinien.
## Nutzen Sie Eignungsbeurteilungen
Verwenden Sie den *Kontostatusbericht* für deklarative Richtlinien, um den aktuellen Status aller Attribute zu bewerten, die von deklarativen Richtlinien für die betroffenen Konten unterstützt werden. Sie können die Konten und Organisationseinheiten (OUs) auswählen, die in den Berichtsbereich aufgenommen werden sollen, oder Sie können eine gesamte Organisation auswählen, indem Sie den Stamm auswählen.
Dieser Bericht hilft Ihnen bei der Bewertung der Bereitschaft, indem er eine Aufschlüsselung nach Regionen enthält und angibt, ob der aktuelle Status eines Attributs *kontenübergreifend einheitlich* (durch`numberOfMatchedAccounts`) oder *inkonsistent* (durch den`numberOfUnmatchedAccounts`) ist. Sie können auch den *häufigsten Wert* sehen, d. h. den Konfigurationswert, der für das Attribut am häufigsten beobachtet wird.
Die Entscheidung, eine deklarative Richtlinie zur Durchsetzung einer Basiskonfiguration anzuhängen, hängt von Ihrem spezifischen Anwendungsfall ab.
Weitere Informationen und ein anschauliches Beispiel finden Sie unter. [Kontostatusbericht für deklarative Richtlinien](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-account-status-report)
## Fangen Sie klein an und skalieren Sie dann
Um das Debuggen zu vereinfachen, beginnen Sie mit einer Testrichtlinie. Überprüfen Sie das Verhalten und die Auswirkungen jeder Änderung, bevor Sie die nächste Änderung vornehmen. Dieser Ansatz reduziert die Anzahl der Variablen, die Sie berücksichtigen müssen, wenn ein Fehler oder ein unerwartetes Ergebnis auftritt.
In einer unkritischen Testumgebung können Sie beispielsweise mit einer Testrichtlinie beginnen, die an ein einzelnes Konto angehängt ist. Nachdem Sie bestätigt haben, dass sie Ihren Spezifikationen entspricht, können Sie die Richtlinie schrittweise in der Organisationsstruktur nach oben verschieben, sodass mehr Konten und mehr Organisationseinheiten vorhanden sind ()OUs.
## Richten Sie Überprüfungsprozesse ein
Implementieren Sie Prozesse zur Überwachung neuer deklarativer Merkmale, zur Bewertung von Richtlinienausnahmen und zur Anpassung an Ihre organisatorischen Sicherheits- und Betriebsanforderungen.
## Validieren Sie Änderungen mit `DescribeEffectivePolicy`
Nachdem Sie eine Änderung an einer deklarativen Richtlinie vorgenommen haben, überprüfen Sie die geltenden Richtlinien für Kundenbetreuer unter der Ebene, auf der Sie die Änderung vorgenommen haben. Sie können [die effektive Richtlinie mithilfe der oder mithilfe des AWS-Managementkonsole[DescribeEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeEffectivePolicy.html)API-Vorgangs oder einer seiner AWS CLI oder AWS SDK-Varianten anzeigen](orgs_manage_policies_effective.md). Stellen Sie sicher, dass die vorgenommene Änderung die beabsichtigten Auswirkungen auf die effektive Richtlinie hatte.
## Kommunizieren und trainieren
Stellen Sie sicher, dass Ihre Organisationen den Zweck und die Auswirkungen Ihrer deklarativen Richtlinien verstehen. Geben Sie klare Hinweise zu den zu erwartenden Verhaltensweisen und zum Umgang mit Fehlern aufgrund der Durchsetzung von Richtlinien.
# Generierung des Kontostatusberichts für deklarative Policen
Mit dem *Kontostatusbericht* können Sie den aktuellen Status aller Attribute überprüfen, die durch deklarative Richtlinien für die betreffenden Konten unterstützt werden. Sie können die Konten und Organisationseinheiten (OUs) auswählen, die in den Berichtsbereich aufgenommen werden sollen, oder Sie können eine gesamte Organisation auswählen, indem Sie den Stamm auswählen.
Dieser Bericht hilft Ihnen bei der Bewertung der Bereitschaft, indem er eine Aufschlüsselung nach Regionen enthält und angibt, ob der aktuelle Status eines Attributs *kontenübergreifend einheitlich* (durch`numberOfMatchedAccounts`) oder *inkonsistent* (durch die`numberOfUnmatchedAccounts`) ist. Sie können auch den *häufigsten Wert* sehen, d. h. den Konfigurationswert, der für das Attribut am häufigsten beobachtet wird.
Die Entscheidung, eine deklarative Richtlinie zur Durchsetzung einer Basiskonfiguration anzuhängen, hängt von Ihrem spezifischen Anwendungsfall ab.
Weitere Informationen und ein anschauliches Beispiel finden Sie unter. [Kontostatusbericht für deklarative Richtlinien](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-account-status-report)
## Voraussetzungen
Bevor Sie einen Kontostatusbericht erstellen können, müssen Sie die folgenden Schritte ausführen
1. Die `StartDeclarativePoliciesReport` API kann nur vom Verwaltungskonto oder von delegierten Administratoren für eine Organisation aufgerufen werden.
1. Sie müssen über einen S3-Bucket verfügen, bevor Sie den Bericht generieren können (erstellen Sie einen neuen oder verwenden Sie einen vorhandenen), er muss sich in derselben Region befinden, in der die Anfrage gestellt wurde, und er muss über eine entsprechende S3-Bucket-Richtlinie verfügen. Ein Beispiel für eine S3-Richtlinie finden Sie unter [Beispiele](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartDeclarativePoliciesReport.html#API_StartDeclarativePoliciesReport_Examples) für eine *Amazon S3 S3-Richtlinie* in der *Amazon EC2 EC2-API-Referenz*
1. Sie müssen den vertrauenswürdigen Zugriff für den Service aktivieren, bei dem die deklarative Richtlinie eine Basiskonfiguration erzwingt. Dadurch wird eine schreibgeschützte, dienstverknüpfte Rolle erstellt, die verwendet wird, um den Kontostatusbericht über die bestehende Konfiguration für Konten in Ihrem Unternehmen zu generieren.
**Verwenden der Konsole**
Für die Organisationskonsole ist dieser Schritt Teil des Prozesses zur Aktivierung deklarativer Richtlinien.
**Mit dem AWS CLI**
Verwenden Sie für AWS CLI die die [Enable AWSService Access](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) API.
Weitere Informationen zum Aktivieren des vertrauenswürdigen Zugriffs für einen bestimmten Dienst finden Sie AWS CLI unter [AWS-Services , den Sie mit verwenden können AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html).
1. Pro Organisation kann jeweils nur ein Bericht generiert werden. Der Versuch, einen Bericht zu erstellen, während ein anderer gerade bearbeitet wird, führt zu einem Fehler.
## Greifen Sie auf den Compliance-Statusbericht zu
**Mindestberechtigungen**
Um einen Konformitätsstatusbericht zu erstellen, benötigen Sie die Erlaubnis, die folgenden Aktionen auszuführen:
`ec2:StartDeclarativePoliciesReport`
`ec2:DescribeDeclarativePoliciesReports`
`ec2:GetDeclarativePoliciesReportSummary`
`ec2:CancelDeclarativePoliciesReport`
`organizations:DescribeAccount`
`organizations:DescribeOrganization`
`organizations:DescribeOrganizationalUnit`
`organizations:ListAccounts`
`organizations:ListDelegatedAdministrators`
`organizations:ListAWSServiceAccessForOrganization`
`s3:PutObject`
**Anmerkung**
Wenn Ihr Amazon S3 S3-Bucket die SSE-KMS-Verschlüsselung verwendet, müssen Sie die `kms:GenerateDataKey` Genehmigung auch in die Richtlinie aufnehmen.
------
#### [ AWS-Managementkonsole ]
Verwenden Sie das folgende Verfahren, um einen Kontostatusbericht zu erstellen.
**Um einen Kontostatusbericht zu erstellen**
1. Melden Sie sich bei der [AWS Organizations -Konsole](https://console.aws.amazon.com/organizations/v2) an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)).
1. Wählen Sie auf der Seite **Richtlinien** die Option **Declarative Policies for EC2** aus.
1. **Wählen Sie auf der Seite **Declarative Policies for EC2** im Dropdownmenü Aktionen die Option **Kontostatusbericht anzeigen** aus.**
1. Wählen Sie auf der Seite **Kontostatusbericht anzeigen die Option Statusbericht** **generieren** aus.
1. Geben Sie im Widget „**Organisationsstruktur**“ an, welche Organisationseinheiten (OUs) Sie in den Bericht aufnehmen möchten.
1. Wählen Sie **Absenden** aus.
------
#### [ AWS CLI & AWS SDKs ]
**Um einen Kontostatusbericht zu erstellen**
Gehen Sie wie folgt vor, um einen Compliance-Statusbericht zu erstellen, seinen Status zu überprüfen und den Bericht anzuzeigen:
+ `ec2:start-declarative-policies-report`: Generiert einen Kontostatusbericht. Der Bericht wird asynchron generiert und kann mehrere Stunden dauern. Weitere Informationen finden Sie [StartDeclarativePoliciesReport](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartDeclarativePoliciesReport.html)in der *Amazon EC2 API-Referenz.*
+ `ec2:describe-declarative-policies-report`: Beschreibt die Metadaten eines Kontostatusberichts, einschließlich des Status des Berichts. Weitere Informationen finden Sie [DescribeDeclarativePoliciesReports](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeDeclarativePoliciesReports.html)in der *Amazon EC2 API-Referenz.*
+ `ec2:get-declarative-policies-report-summary`: Ruft eine Zusammenfassung des Kontostatusberichts ab. Weitere Informationen finden Sie [GetDeclarativePoliciesReportSummary](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetDeclarativePoliciesReportSummary.html)in der *Amazon EC2 API-Referenz.*
+ `ec2:cancel-declarative-policies-report`: Bricht die Generierung eines Kontostatusberichts ab. Weitere Informationen finden Sie [CancelDeclarativePoliciesReport](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CancelDeclarativePoliciesReport.html)in der *Amazon EC2 API-Referenz.*
Bevor Sie einen Bericht generieren, gewähren Sie den deklarativen EC2-Richtlinien den Hauptzugriff auf den Amazon S3 S3-Bucket, in dem der Bericht gespeichert wird. Fügen Sie dazu dem Bucket die folgende Richtlinie hinzu. `amzn-s3-demo-bucket`Ersetzen Sie durch Ihren tatsächlichen Amazon S3 S3-Bucket-Namen und `identity_ARN` durch die IAM-Identität, die zum Aufrufen der `StartDeclarativePoliciesReport` API verwendet wurde.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DeclarativePoliciesReportDelivery",
"Effect": "Allow",
"Principal": {
"AWS": "identity_ARN"
},
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "organizations.amazonaws.com"
}
}
}
]
}
```
------
------
# Syntax und Beispiele für deklarative Richtlinien
Diese Seite beschreibt die Syntax deklarativer Richtlinien und enthält Beispiele.
## Überlegungen
+ Wenn Sie ein Dienstattribut mithilfe einer deklarativen Richtlinie konfigurieren, kann sich dies auf mehrere auswirken. APIs Alle Aktionen, die nicht konform sind, schlagen fehl.
+ Kontoadministratoren können den Wert des Dienstattributs nicht auf individueller Kontoebene ändern.
## Syntax für deklarative Richtlinien
[Eine deklarative Richtlinie ist eine Klartextdatei, die nach den Regeln von JSON strukturiert ist.](http://json.org) Die Syntax für deklarative Richtlinien folgt der Syntax für alle Verwaltungsrichtlinientypen. Eine umfassende Erläuterung dieser Syntax finden Sie unter [Richtliniensyntax und Vererbung für Verwaltungsrichtlinientypen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_mgmt.html). Dieses Thema konzentriert sich auf die Anwendung dieser allgemeinen Syntax auf die spezifischen Anforderungen des deklarativen Richtlinientyps.
Das folgende Beispiel zeigt die grundlegende Syntax für deklarative Richtlinien:
```
{
"ec2_attributes": {
"exception_message": {
"@@assign": "Your custom error message.https://myURL"
}
}
}
```
+ Der Schlüsselname des Feldes `ec2_attributes`. Deklarative Richtlinien beginnen immer mit einem festen Schlüsselnamen für den angegebenen Schlüssel. AWS-Service Er befindet sich in der obersten Zeile der aufgeführten Beispielrichtlinie. Derzeit unterstützten deklarative Richtlinien nur Dienste im Zusammenhang mit Amazon EC2.
+ Unter können Sie verwenden`ec2_attributes`, `exception_message` um eine benutzerdefinierte Fehlermeldung festzulegen. Weitere Informationen finden Sie unter [Benutzerdefinierte Fehlermeldungen für deklarative Richtlinien](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-custom-message).
+ Unter `ec2_attributes` können Sie eine oder mehrere der unterstützten deklarativen Richtlinien einfügen. Informationen zu diesen Schemas finden Sie unter. [Unterstützte deklarative Richtlinien](#declarative-policy-examples)
## Unterstützte deklarative Richtlinien
Im Folgenden sind die Attribute AWS-Services und aufgeführt, die von deklarativen Richtlinien unterstützt werden. In einigen der folgenden Beispiele kann die JSON-Leerzeichenformatierung komprimiert sein, um Platz zu sparen.
+ VPC blockiert öffentlichen Zugriff
+ Zugriff auf serielle Konsole
+ Öffentlicher Zugriff auf Bild blockieren
+ Einstellungen für zulässige Bilder
+ Instance-Metadaten
+ Snapshot: Öffentlichen Zugriff blockieren
------
#### [ VPC Block Public Access ]
**Auswirkung auf die Richtlinie**
Steuert, ob Ressourcen in Amazon VPCs und Subnetzen über Internet-Gateways () IGWs auf das Internet zugreifen können. Weitere Informationen finden Sie unter [Konfiguration für den Internetzugang](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-igw-internet-access.html) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*.
**Inhalt der Richtlinie**
```
{
"ec2_attributes": {
"vpc_block_public_access": {
"internet_gateway_block": {
"mode": {
"@@assign": "block_ingress"
},
"exclusions_allowed": {
"@@assign": "enabled"
}
}
}
}
}
```
Die folgenden Felder sind für dieses Attribut verfügbar:
+ `"internet_gateway"`:
+ `"mode"`:
+ `"off"`: VPC BPA ist nicht aktiviert.
+ `"block_ingress"`: Der gesamte Internetverkehr zu den VPCs (mit Ausnahme VPCs der ausgeschlossenen Subnetze) ist blockiert. Nur der Datenverkehr von und zu NAT-Gateways und Internet-Gateways nur für ausgehenden Verkehr wird zugelassen, da diese Gateways nur den Aufbau von ausgehenden Verbindungen erlauben.
+ `"block_bidirectional"`: Der gesamte Verkehr zu und von Internet-Gateways und Internet-Gateways, die nur für ausgehenden Datenverkehr bestimmt sind (mit Ausnahme von ausgeschlossenen VPCs Verbindungen und Subnetzen), ist blockiert.
+ `"exclusions_allowed"`: Ein Ausschluss ist ein Modus, der auf eine einzelne VPC oder ein einzelnes Subnetz angewendet werden kann und diese vom VPC-BPA-Modus des Kontos ausnimmt und bidirektionalen Zugriff oder nur ausgehenden Zugriff ermöglicht.
+ `"enabled"`: Ausschlüsse können vom Konto erstellt werden.
+ `"disabled"`: Ausschlüsse können nicht vom Konto erstellt werden.
**Anmerkung**
Sie können das Attribut verwenden, um zu konfigurieren, ob Ausschlüsse zulässig sind, Sie können jedoch keine Ausschlüsse mit diesem Attribut selbst erstellen. Um Ausschlüsse zu erstellen, müssen Sie sie in dem Konto erstellen, dem die VPC gehört. Weitere Informationen zum Erstellen von VPC-BPA-Ausschlüssen finden Sie unter [Ausnahmen erstellen und löschen](https://docs.aws.amazon.com//vpc/latest/userguide/security-vpc-bpa.html#security-vpc-bpa-exclusions) im *Amazon* VPC-Benutzerhandbuch.
**Überlegungen**
Wenn Sie dieses Attribut in einer deklarativen Richtlinie verwenden, können Sie die folgenden Operationen nicht verwenden, um die erzwungene Konfiguration für die Konten im Gültigkeitsbereich zu ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:
+ `ModifyVpcBlockPublicAccessOptions`
+ `CreateVpcBlockPublicAccessExclusion`
+ `ModifyVpcBlockPublicAccessExclusion`
------
#### [ Serial Console Access ]
**Politische Wirkung**
Steuert, ob auf die serielle EC2-Konsole zugegriffen werden kann. Weitere Informationen zur seriellen EC2-Konsole finden Sie unter [EC2 Serial Console](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-serial-console.html) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*.
**Inhalt der Richtlinie**
```
{
"ec2_attributes": {
"serial_console_access": {
"status": {
"@@assign": "enabled"
}
}
}
}
```
Die folgenden Felder sind für dieses Attribut verfügbar:
+ `"status"`:
+ `"enabled"`: Der Zugriff auf die serielle EC2-Konsole ist zulässig.
+ `"disabled"`: Der Zugriff auf die serielle EC2-Konsole ist blockiert.
**Überlegungen**
Wenn Sie dieses Attribut in einer deklarativen Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:
+ `EnableSerialConsoleAccess`
+ `DisableSerialConsoleAccess`
------
#### [ Image Block Public Access ]
**Politische Wirkung**
Steuert, ob Amazon Machine Images (AMIs) öffentlich geteilt werden können. Weitere Informationen zu AMIs finden Sie unter [Amazon Machine Images (AMIs)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*.
**Inhalt der Richtlinie**
```
{
"ec2_attributes": {
"image_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Die folgenden Felder sind für dieses Attribut verfügbar:
+ `"state"`:
+ `"unblocked"`: Keine Einschränkungen beim öffentlichen Teilen von AMIs.
+ `"block_new_sharing"`: Blockiert das neue öffentliche Teilen von AMIs. AMIs die bereits öffentlich geteilt wurden, bleiben weiterhin öffentlich verfügbar.
**Überlegungen**
Wenn Sie dieses Attribut in einer deklarativen Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:
+ `EnableImageBlockPublicAccess`
+ `DisableImageBlockPublicAccess`
------
#### [ Allowed Images Settings ]
**Politische Wirkung**
Steuert die Erkennung und Verwendung von Amazon Machine Images (AMI) in Amazon EC2 mit Allowed AMIs. Weitere Informationen AMIs dazu finden Sie unter [Steuern der Erkennung und Verwendung von AMIs in Amazon EC2 mit Allowed AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-allowed-amis.html) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*.
**Inhalt der Richtlinie**
Die folgenden Felder sind für dieses Attribut verfügbar:
```
{
"ec2_attributes": {
"allowed_images_settings": {
"state": {
"@@assign": "enabled"
},
"image_criteria": {
"criteria_1": {
"allowed_image_providers": {
"@@append": [
"amazon"
]
}
}
}
}
}
}
```
+ `"state"`:
+ `"enabled"`: Das Attribut ist aktiv und wird erzwungen.
+ `"disabled"`: Das Attribut ist inaktiv und wird nicht erzwungen.
+ `"audit_mode"`: Das Attribut befindet sich im Überwachungsmodus. Das bedeutet, dass es nicht konforme Bilder identifiziert, deren Verwendung jedoch nicht blockiert.
+ `"image_criteria"`: Eine Liste von Kriterien. Support bis zu 10 Kriterien mit dem Namen von Kriteria\$11 bis Kriteria\$110
+ `"allowed_image_providers"`: Eine durch Kommas getrennte Liste mit 12-stelligen Konto IDs - oder Inhaber-Alias von Amazon, aws\$1marketplace, aws\$1backup\$1vault.
+ `"image_names"`: Die Namen der erlaubten Bilder. Namen können Platzhalter enthalten (? und \$1). Länge: 1—128 Zeichen. Mit? , das Minimum sind 3 Zeichen.
+ `"marketplace_product_codes"`: Die AWS Marketplace-Produktcodes für zulässige Bilder. Länge: 1—25 Zeichen Gültige Zeichen: Buchstaben (A—Z, a—z) und Zahlen (0—9)
+ `"creation_date_condition"`: Das Höchstalter für erlaubte Bilder.
+ `"maximum_days_since_created"`: Die maximale Anzahl von Tagen, die seit der Erstellung des Images vergangen sind. Gültiger Bereich: Mindestwert 0. Maximalwert: 2147483647.
+ `"deprecation_time_condition"`: Der maximale Zeitraum seit dem Verfallsdatum für zulässige Bilder.
+ `"maximum_days_since_deprecated"`: Die maximale Anzahl von Tagen, die vergangen sind, seit das Bild veraltet ist. Gültiger Bereich: Mindestwert 0. Der Maximalwert ist 2147483647.
**Überlegungen**
Wenn Sie dieses Attribut in einer deklarativen Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:
+ `EnableAllowedImagesSettings`
+ `ReplaceImageCriteriaInAllowedImagesSettings`
+ `DisableAllowedImagesSettings`
------
#### [ Instance Metadata ]
**Politische Wirkung**
Steuert die IMDS-Standardeinstellungen und die IMDSv2-Durchsetzung für alle neuen EC2-Instance-Starts. Weitere Informationen zu IMDS-Standardeinstellungen und deren IMDSv2 Durchsetzung finden Sie unter [Verwenden von Instance-Metadaten zur Verwaltung Ihrer EC2-Instance im Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) *EC2-Benutzerhandbuch*.
**Inhalt der Richtlinie**
Die folgenden Felder sind für dieses Attribut verfügbar:
```
{
"ec2_attributes": {
"instance_metadata_defaults": {
"http_tokens": {
"@@assign": "required"
},
"http_put_response_hop_limit": {
"@@assign": "4"
},
"http_endpoint": {
"@@assign": "enabled"
},
"instance_metadata_tags": {
"@@assign": "enabled"
},
"http_tokens_enforced": {
"@@assign": "enabled"
}
}
}
}
```
+ `"http_tokens"`:
+ `"no_preference"`: Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.
+ `"required"`: IMDSv2 muss verwendet werden. IMDSv1 ist nicht erlaubt.
+ `"optional"`: Beides IMDSv1 und IMDSv2 sind erlaubt.
**Anmerkung**
**Version der Metadaten**
Stellen Sie vor der Einstellung `http_tokens` auf `required` (IMDSv2 muss verwendet werden) sicher, dass keine Ihrer Instanzen IMDSv1 Aufrufe tätigt. Weitere Informationen finden Sie unter [Schritt 1: Identifizieren von Instances mit IMDSv2 =optional und Audit der IMDSv1 Nutzung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#path-step-1) im *Amazon EC2 EC2-Benutzerhandbuch*.
+ `"http_put_response_hop_limit"`:
+ `"Integer"`: Ganzzahlwert zwischen -1 und 64, der die maximale Anzahl von Hops darstellt, die das Metadaten-Token zurücklegen kann. Wenn Sie keine Präferenz angeben möchten, geben Sie -1 an.
**Anmerkung**
**Hop-Limit**
Wenn auf gesetzt `http_tokens` ist`required`, wird empfohlen, einen `http_put_response_hop_limit` Wert von mindestens 2 einzustellen. Weitere Informationen finden Sie unter [Überlegungen zum Zugriff auf Instance-Metadaten](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-data-retrieval.html#imds-considerations) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*.
+ `"http_endpoint"`:
+ `"no_preference"`: Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.
+ `"enabled"`: Auf den Endpunkt des Instanz-Metadatendienstes kann zugegriffen werden.
+ `"disabled"`: Auf den Endpunkt des Instanz-Metadatendienstes kann nicht zugegriffen werden.
+ `"instance_metadata_tags"`:
+ `"no_preference"`: Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.
+ `"enabled"`: Auf Instance-Tags kann über Instance-Metadaten zugegriffen werden.
+ `"disabled"`: Über Instanz-Metadaten kann nicht auf Instanz-Tags zugegriffen werden.
+ `"http_tokens_enforced":`
+ `"no_preference"`: Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.
+ `"enabled"`: IMDSv2 muss verwendet werden. Versuche, eine IMDSv1 Instance zu starten oder sie IMDSv1 auf vorhandenen Instances zu aktivieren, schlagen fehl.
+ `"disabled"`: Beides IMDSv1 und IMDSv2 sind erlaubt.
**Warnung**
**IMDSv2 Durchsetzung**
Die Aktivierung der IMDSv2 Erzwingung bei gleichzeitigem Zulassen von IMDSv1 und IMDSv2 (Token optional) führt zu Startfehlern, sofern dies nicht ausdrücklich deaktiviert IMDSv1 ist, entweder über Startparameter oder AMI-Standardeinstellungen. Weitere Informationen finden Sie unter [Launching an IMDSv1 -enabled instance failed im](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/troubleshooting-launch.html#launching-an-imdsv1-enabled-instance-fails) *Amazon EC2 EC2-Benutzerhandbuch*.
------
#### [ Snapshot Block Public Access ]
**Auswirkung der Richtlinie**
Steuert, ob Amazon EBS-Snapshots öffentlich zugänglich sind. Weitere Informationen zu EBS-Snapshots finden Sie unter [Amazon EBS-Snapshots](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html) im *Amazon Elastic Block* Store-Benutzerhandbuch.
**Inhalt der Richtlinie**
```
{
"ec2_attributes": {
"snapshot_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Die folgenden Felder sind für dieses Attribut verfügbar:
+ `"state"`:
+ `"block_all_sharing"`: Blockiert das öffentliche Teilen von Schnappschüssen. Schnappschüsse, die bereits öffentlich geteilt wurden, werden als privat behandelt und sind nicht mehr öffentlich verfügbar.
+ `"block_new_sharing"`: Blockiert das neue öffentliche Teilen von Schnappschüssen. Schnappschüsse, die bereits öffentlich geteilt wurden, bleiben öffentlich verfügbar.
+ `"unblocked"`: Keine Einschränkungen beim öffentlichen Teilen von Schnappschüssen.
**Überlegungen**
Wenn Sie dieses Attribut in einer deklarativen Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:
+ `EnableSnapshotBlockPublicAccess`
+ `DisableSnapshotBlockPublicAccess`
------