Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Syntax und Beispiele für deklarative Richtlinien
Diese Seite beschreibt die Syntax deklarativer Richtlinien und enthält Beispiele.
## Überlegungen
+ Wenn Sie ein Dienstattribut mithilfe einer deklarativen Richtlinie konfigurieren, kann sich dies auf mehrere auswirken. APIs Alle Aktionen, die nicht konform sind, schlagen fehl.
+ Kontoadministratoren können den Wert des Dienstattributs nicht auf individueller Kontoebene ändern.
## Syntax für deklarative Richtlinien
[Eine deklarative Richtlinie ist eine Klartextdatei, die nach den Regeln von JSON strukturiert ist.](http://json.org) Die Syntax für deklarative Richtlinien folgt der Syntax für alle Verwaltungsrichtlinientypen. Eine umfassende Erläuterung dieser Syntax finden Sie unter [Richtliniensyntax und Vererbung für Verwaltungsrichtlinientypen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_mgmt.html). Dieses Thema konzentriert sich auf die Anwendung dieser allgemeinen Syntax auf die spezifischen Anforderungen des deklarativen Richtlinientyps.
Das folgende Beispiel zeigt die grundlegende Syntax für deklarative Richtlinien:
```
{
"ec2_attributes": {
"exception_message": {
"@@assign": "Your custom error message.https://myURL"
}
}
}
```
+ Der Schlüsselname des Feldes `ec2_attributes`. Deklarative Richtlinien beginnen immer mit einem festen Schlüsselnamen für den angegebenen Schlüssel. AWS-Service Er befindet sich in der obersten Zeile der aufgeführten Beispielrichtlinie. Derzeit unterstützten deklarative Richtlinien nur Dienste im Zusammenhang mit Amazon EC2.
+ Unter können Sie verwenden`ec2_attributes`, `exception_message` um eine benutzerdefinierte Fehlermeldung festzulegen. Weitere Informationen finden Sie unter [Benutzerdefinierte Fehlermeldungen für deklarative Richtlinien](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-custom-message).
+ Unter `ec2_attributes` können Sie eine oder mehrere der unterstützten deklarativen Richtlinien einfügen. Informationen zu diesen Schemas finden Sie unter. [Unterstützte deklarative Richtlinien](#declarative-policy-examples)
## Unterstützte deklarative Richtlinien
Im Folgenden sind die Attribute AWS-Services und aufgeführt, die von deklarativen Richtlinien unterstützt werden. In einigen der folgenden Beispiele kann die JSON-Leerzeichenformatierung komprimiert sein, um Platz zu sparen.
+ VPC blockiert öffentlichen Zugriff
+ Zugriff auf serielle Konsole
+ Öffentlicher Zugriff auf Bild blockieren
+ Einstellungen für zulässige Bilder
+ Instance-Metadaten
+ Snapshot: Öffentlichen Zugriff blockieren
------
#### [ VPC Block Public Access ]
**Auswirkung auf die Richtlinie**
Steuert, ob Ressourcen in Amazon VPCs und Subnetzen über Internet-Gateways () IGWs auf das Internet zugreifen können. Weitere Informationen finden Sie unter [Konfiguration für den Internetzugang](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-igw-internet-access.html) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*.
**Inhalt der Richtlinie**
```
{
"ec2_attributes": {
"vpc_block_public_access": {
"internet_gateway_block": {
"mode": {
"@@assign": "block_ingress"
},
"exclusions_allowed": {
"@@assign": "enabled"
}
}
}
}
}
```
Die folgenden Felder sind für dieses Attribut verfügbar:
+ `"internet_gateway"`:
+ `"mode"`:
+ `"off"`: VPC BPA ist nicht aktiviert.
+ `"block_ingress"`: Der gesamte Internetverkehr zu den VPCs (mit Ausnahme VPCs der ausgeschlossenen Subnetze) ist blockiert. Nur der Datenverkehr von und zu NAT-Gateways und Internet-Gateways nur für ausgehenden Verkehr wird zugelassen, da diese Gateways nur den Aufbau von ausgehenden Verbindungen erlauben.
+ `"block_bidirectional"`: Der gesamte Verkehr zu und von Internet-Gateways und Internet-Gateways, die nur für ausgehenden Datenverkehr bestimmt sind (mit Ausnahme von ausgeschlossenen VPCs Verbindungen und Subnetzen), ist blockiert.
+ `"exclusions_allowed"`: Ein Ausschluss ist ein Modus, der auf eine einzelne VPC oder ein einzelnes Subnetz angewendet werden kann und diese vom VPC-BPA-Modus des Kontos ausnimmt und bidirektionalen Zugriff oder nur ausgehenden Zugriff ermöglicht.
+ `"enabled"`: Ausschlüsse können vom Konto erstellt werden.
+ `"disabled"`: Ausschlüsse können nicht vom Konto erstellt werden.
**Anmerkung**
Sie können das Attribut verwenden, um zu konfigurieren, ob Ausschlüsse zulässig sind, Sie können jedoch keine Ausschlüsse mit diesem Attribut selbst erstellen. Um Ausschlüsse zu erstellen, müssen Sie sie in dem Konto erstellen, dem die VPC gehört. Weitere Informationen zum Erstellen von VPC-BPA-Ausschlüssen finden Sie unter [Ausnahmen erstellen und löschen](https://docs.aws.amazon.com//vpc/latest/userguide/security-vpc-bpa.html#security-vpc-bpa-exclusions) im *Amazon* VPC-Benutzerhandbuch.
**Überlegungen**
Wenn Sie dieses Attribut in einer deklarativen Richtlinie verwenden, können Sie die folgenden Operationen nicht verwenden, um die erzwungene Konfiguration für die Konten im Gültigkeitsbereich zu ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:
+ `ModifyVpcBlockPublicAccessOptions`
+ `CreateVpcBlockPublicAccessExclusion`
+ `ModifyVpcBlockPublicAccessExclusion`
------
#### [ Serial Console Access ]
**Politische Wirkung**
Steuert, ob auf die serielle EC2-Konsole zugegriffen werden kann. Weitere Informationen zur seriellen EC2-Konsole finden Sie unter [EC2 Serial Console](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-serial-console.html) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*.
**Inhalt der Richtlinie**
```
{
"ec2_attributes": {
"serial_console_access": {
"status": {
"@@assign": "enabled"
}
}
}
}
```
Die folgenden Felder sind für dieses Attribut verfügbar:
+ `"status"`:
+ `"enabled"`: Der Zugriff auf die serielle EC2-Konsole ist zulässig.
+ `"disabled"`: Der Zugriff auf die serielle EC2-Konsole ist blockiert.
**Überlegungen**
Wenn Sie dieses Attribut in einer deklarativen Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:
+ `EnableSerialConsoleAccess`
+ `DisableSerialConsoleAccess`
------
#### [ Image Block Public Access ]
**Politische Wirkung**
Steuert, ob Amazon Machine Images (AMIs) öffentlich geteilt werden können. Weitere Informationen zu AMIs finden Sie unter [Amazon Machine Images (AMIs)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*.
**Inhalt der Richtlinie**
```
{
"ec2_attributes": {
"image_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Die folgenden Felder sind für dieses Attribut verfügbar:
+ `"state"`:
+ `"unblocked"`: Keine Einschränkungen beim öffentlichen Teilen von AMIs.
+ `"block_new_sharing"`: Blockiert das neue öffentliche Teilen von AMIs. AMIs die bereits öffentlich geteilt wurden, bleiben weiterhin öffentlich verfügbar.
**Überlegungen**
Wenn Sie dieses Attribut in einer deklarativen Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:
+ `EnableImageBlockPublicAccess`
+ `DisableImageBlockPublicAccess`
------
#### [ Allowed Images Settings ]
**Politische Wirkung**
Steuert die Erkennung und Verwendung von Amazon Machine Images (AMI) in Amazon EC2 mit Allowed AMIs. Weitere Informationen AMIs dazu finden Sie unter [Steuern der Erkennung und Verwendung von AMIs in Amazon EC2 mit Allowed AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-allowed-amis.html) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*.
**Inhalt der Richtlinie**
Die folgenden Felder sind für dieses Attribut verfügbar:
```
{
"ec2_attributes": {
"allowed_images_settings": {
"state": {
"@@assign": "enabled"
},
"image_criteria": {
"criteria_1": {
"allowed_image_providers": {
"@@append": [
"amazon"
]
}
}
}
}
}
}
```
+ `"state"`:
+ `"enabled"`: Das Attribut ist aktiv und wird erzwungen.
+ `"disabled"`: Das Attribut ist inaktiv und wird nicht erzwungen.
+ `"audit_mode"`: Das Attribut befindet sich im Überwachungsmodus. Das bedeutet, dass es nicht konforme Bilder identifiziert, deren Verwendung jedoch nicht blockiert.
+ `"image_criteria"`: Eine Liste von Kriterien. Support bis zu 10 Kriterien mit dem Namen von Kriteria\$11 bis Kriteria\$110
+ `"allowed_image_providers"`: Eine durch Kommas getrennte Liste mit 12-stelligen Konto IDs - oder Inhaber-Alias von Amazon, aws\$1marketplace, aws\$1backup\$1vault.
+ `"image_names"`: Die Namen der erlaubten Bilder. Namen können Platzhalter enthalten (? und \$1). Länge: 1—128 Zeichen. Mit? , das Minimum sind 3 Zeichen.
+ `"marketplace_product_codes"`: Die AWS Marketplace-Produktcodes für zulässige Bilder. Länge: 1—25 Zeichen Gültige Zeichen: Buchstaben (A—Z, a—z) und Zahlen (0—9)
+ `"creation_date_condition"`: Das Höchstalter für erlaubte Bilder.
+ `"maximum_days_since_created"`: Die maximale Anzahl von Tagen, die seit der Erstellung des Images vergangen sind. Gültiger Bereich: Mindestwert 0. Maximalwert: 2147483647.
+ `"deprecation_time_condition"`: Der maximale Zeitraum seit dem Verfallsdatum für zulässige Bilder.
+ `"maximum_days_since_deprecated"`: Die maximale Anzahl von Tagen, die vergangen sind, seit das Bild veraltet ist. Gültiger Bereich: Mindestwert 0. Der Maximalwert ist 2147483647.
**Überlegungen**
Wenn Sie dieses Attribut in einer deklarativen Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:
+ `EnableAllowedImagesSettings`
+ `ReplaceImageCriteriaInAllowedImagesSettings`
+ `DisableAllowedImagesSettings`
------
#### [ Instance Metadata ]
**Politische Wirkung**
Steuert die IMDS-Standardeinstellungen und die IMDSv2-Durchsetzung für alle neuen EC2-Instance-Starts. Weitere Informationen zu IMDS-Standardeinstellungen und deren IMDSv2 Durchsetzung finden Sie unter [Verwenden von Instance-Metadaten zur Verwaltung Ihrer EC2-Instance im Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) *EC2-Benutzerhandbuch*.
**Inhalt der Richtlinie**
Die folgenden Felder sind für dieses Attribut verfügbar:
```
{
"ec2_attributes": {
"instance_metadata_defaults": {
"http_tokens": {
"@@assign": "required"
},
"http_put_response_hop_limit": {
"@@assign": "4"
},
"http_endpoint": {
"@@assign": "enabled"
},
"instance_metadata_tags": {
"@@assign": "enabled"
},
"http_tokens_enforced": {
"@@assign": "enabled"
}
}
}
}
```
+ `"http_tokens"`:
+ `"no_preference"`: Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.
+ `"required"`: IMDSv2 muss verwendet werden. IMDSv1 ist nicht erlaubt.
+ `"optional"`: Beides IMDSv1 und IMDSv2 sind erlaubt.
**Anmerkung**
**Version der Metadaten**
Stellen Sie vor der Einstellung `http_tokens` auf `required` (IMDSv2 muss verwendet werden) sicher, dass keine Ihrer Instanzen IMDSv1 Aufrufe tätigt. Weitere Informationen finden Sie unter [Schritt 1: Identifizieren von Instances mit IMDSv2 =optional und Audit der IMDSv1 Nutzung](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#path-step-1) im *Amazon EC2 EC2-Benutzerhandbuch*.
+ `"http_put_response_hop_limit"`:
+ `"Integer"`: Ganzzahlwert zwischen -1 und 64, der die maximale Anzahl von Hops darstellt, die das Metadaten-Token zurücklegen kann. Wenn Sie keine Präferenz angeben möchten, geben Sie -1 an.
**Anmerkung**
**Hop-Limit**
Wenn auf gesetzt `http_tokens` ist`required`, wird empfohlen, einen `http_put_response_hop_limit` Wert von mindestens 2 einzustellen. Weitere Informationen finden Sie unter [Überlegungen zum Zugriff auf Instance-Metadaten](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-data-retrieval.html#imds-considerations) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*.
+ `"http_endpoint"`:
+ `"no_preference"`: Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.
+ `"enabled"`: Auf den Endpunkt des Instanz-Metadatendienstes kann zugegriffen werden.
+ `"disabled"`: Auf den Endpunkt des Instanz-Metadatendienstes kann nicht zugegriffen werden.
+ `"instance_metadata_tags"`:
+ `"no_preference"`: Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.
+ `"enabled"`: Auf Instance-Tags kann über Instance-Metadaten zugegriffen werden.
+ `"disabled"`: Über Instanz-Metadaten kann nicht auf Instanz-Tags zugegriffen werden.
+ `"http_tokens_enforced":`
+ `"no_preference"`: Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.
+ `"enabled"`: IMDSv2 muss verwendet werden. Versuche, eine IMDSv1 Instance zu starten oder sie IMDSv1 auf vorhandenen Instances zu aktivieren, schlagen fehl.
+ `"disabled"`: Beides IMDSv1 und IMDSv2 sind erlaubt.
**Warnung**
**IMDSv2 Durchsetzung**
Die Aktivierung der IMDSv2 Erzwingung bei gleichzeitigem Zulassen von IMDSv1 und IMDSv2 (Token optional) führt zu Startfehlern, sofern dies nicht ausdrücklich deaktiviert IMDSv1 ist, entweder über Startparameter oder AMI-Standardeinstellungen. Weitere Informationen finden Sie unter [Launching an IMDSv1 -enabled instance failed im](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/troubleshooting-launch.html#launching-an-imdsv1-enabled-instance-fails) *Amazon EC2 EC2-Benutzerhandbuch*.
------
#### [ Snapshot Block Public Access ]
**Auswirkung der Richtlinie**
Steuert, ob Amazon EBS-Snapshots öffentlich zugänglich sind. Weitere Informationen zu EBS-Snapshots finden Sie unter [Amazon EBS-Snapshots](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html) im *Amazon Elastic Block* Store-Benutzerhandbuch.
**Inhalt der Richtlinie**
```
{
"ec2_attributes": {
"snapshot_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Die folgenden Felder sind für dieses Attribut verfügbar:
+ `"state"`:
+ `"block_all_sharing"`: Blockiert das öffentliche Teilen von Schnappschüssen. Schnappschüsse, die bereits öffentlich geteilt wurden, werden als privat behandelt und sind nicht mehr öffentlich verfügbar.
+ `"block_new_sharing"`: Blockiert das neue öffentliche Teilen von Schnappschüssen. Schnappschüsse, die bereits öffentlich geteilt wurden, bleiben öffentlich verfügbar.
+ `"unblocked"`: Keine Einschränkungen beim öffentlichen Teilen von Schnappschüssen.
**Überlegungen**
Wenn Sie dieses Attribut in einer deklarativen Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:
+ `EnableSnapshotBlockPublicAccess`
+ `DisableSnapshotBlockPublicAccess`
------