Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Syntax und Beispiele für EC2-Richtlinien
Auf dieser Seite wird die Syntax der EC2-Richtlinien beschrieben und Beispiele bereitgestellt.
## Überlegungen
+ Wenn Sie ein Dienstattribut mithilfe einer EC2-Richtlinie konfigurieren, kann sich dies auf mehrere APIs auswirken. Alle nicht konformen Aktionen schlagen fehl.
+ Kontoadministratoren können den Wert des Dienstattributs nicht auf individueller Kontoebene ändern.
## Syntax für EC2-Richtlinien
[Eine EC2-Richtlinie ist eine Klartextdatei, die gemäß den JSON-Regeln strukturiert ist.](http://json.org) Die Syntax für EC2-Richtlinien folgt der Syntax für alle deklarativen Richtlinientypen. Eine vollständige Erläuterung dieser Syntax finden Sie unter [Richtliniensyntax und Vererbung für deklarative](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_mgmt.html) Richtlinientypen. Dieses Thema konzentriert sich auf die Anwendung dieser allgemeinen Syntax auf die spezifischen Anforderungen des EC2-Richtlinientyps.
Das folgende Beispiel zeigt die grundlegende EC2-Richtliniensyntax:
```
{
"ec2_attributes": {
"exception_message": {
"@@assign": "Your custom error message.https://myURL"
}
}
}
```
+ Der Schlüsselname des Feldes `ec2_attributes`. Deklarative Richtlinien beginnen immer mit einem festen Schlüsselnamen für den angegebenen Schlüssel. AWS-Service Er befindet sich in der obersten Zeile der aufgeführten Beispielrichtlinie.
+ Unter `ec2_attributes` können Sie `exception_message` eine benutzerdefinierte Fehlermeldung festlegen. Weitere Informationen finden Sie unter [Benutzerdefinierte Fehlermeldungen für EC2-Richtlinien](orgs_manage_policies_ec2.md#orgs_manage_policies_ec2-custom-message).
+ Unter `ec2_attributes` können Sie eine oder mehrere der unterstützten EC2-Richtlinien einfügen. Informationen zu diesen Schemas finden Sie unter. [Unterstützte EC2-Richtlinien](#ec2-policy-examples)
## Unterstützte EC2-Richtlinien
Im Folgenden sind die Attribute AWS-Services und aufgeführt, die von EC2-Richtlinien unterstützt werden. In einigen der folgenden Beispiele kann die JSON-Leerzeichenformatierung komprimiert sein, um Platz zu sparen.
+ VPC blockiert öffentlichen Zugriff
+ Zugriff auf serielle Konsole
+ Öffentlicher Zugriff auf Bild blockieren
+ Einstellungen für zulässige Bilder
+ Instance-Metadaten
+ Snapshot: Öffentlichen Zugriff blockieren
------
#### [ VPC Block Public Access ]
**Auswirkung auf die Richtlinie**
Steuert, ob Ressourcen in Amazon-VPCs und -Subnetzen das Internet über Internet-Gateways (IGWs) erreichen können. Weitere Informationen finden Sie unter [Konfiguration für den Internetzugang](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-igw-internet-access.html) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*.
**Inhalt der Richtlinie**
```
{
"ec2_attributes": {
"vpc_block_public_access": {
"internet_gateway_block": {
"mode": {
"@@assign": "block_ingress"
},
"exclusions_allowed": {
"@@assign": "enabled"
}
}
}
}
}
```
Die folgenden Felder sind für dieses Attribut verfügbar:
+ `"internet_gateway"`:
+ `"mode"`:
+ `"off"`: VPC BPA ist nicht aktiviert.
+ `"block_ingress"`: Der gesamte Internetverkehr zu den VPCs (mit Ausnahme von VPCs oder Subnetzen, die ausgeschlossen sind) ist blockiert. Nur der Datenverkehr von und zu NAT-Gateways und Internet-Gateways nur für ausgehenden Verkehr wird zugelassen, da diese Gateways nur den Aufbau von ausgehenden Verbindungen erlauben.
+ `"block_bidirectional"`: Der gesamte Verkehr zu und von Internet-Gateways und Internet-Gateways, die nur für ausgehenden Datenverkehr bestimmt sind (mit Ausnahme von ausgeschlossenen VPCs und Subnetzen), ist blockiert.
+ `"exclusions_allowed"`: Ein Ausschluss ist ein Modus, der auf eine einzelne VPC oder ein einzelnes Subnetz angewendet werden kann und diese vom VPC-BPA-Modus des Kontos ausnimmt und bidirektionalen Zugriff oder nur ausgehenden Zugriff ermöglicht.
+ `"enabled"`: Ausschlüsse können vom Konto erstellt werden.
+ `"disabled"`: Ausschlüsse können nicht vom Konto erstellt werden.
**Anmerkung**
Sie können das Attribut verwenden, um zu konfigurieren, ob Ausschlüsse zulässig sind, Sie können jedoch keine Ausschlüsse mit diesem Attribut selbst erstellen. Um Ausschlüsse zu erstellen, müssen Sie sie in dem Konto erstellen, dem die VPC gehört. Weitere Informationen zum Erstellen von VPC-BPA-Ausschlüssen finden Sie unter [Ausnahmen erstellen und löschen](https://docs.aws.amazon.com//vpc/latest/userguide/security-vpc-bpa.html#security-vpc-bpa-exclusions) im *Amazon* VPC-Benutzerhandbuch.
**Überlegungen**
Wenn Sie dieses Attribut in einer EC2-Richtlinie verwenden, können Sie die folgenden Operationen nicht verwenden, um die erzwungene Konfiguration für die Konten im Gültigkeitsbereich zu ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:
+ `ModifyVpcBlockPublicAccessOptions`
+ `CreateVpcBlockPublicAccessExclusion`
+ `ModifyVpcBlockPublicAccessExclusion`
------
#### [ Serial Console Access ]
**Politische Wirkung**
Steuert, ob auf die serielle EC2-Konsole zugegriffen werden kann. Weitere Informationen zur seriellen EC2-Konsole finden Sie unter [EC2 Serial Console](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-serial-console.html) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*.
**Inhalt der Richtlinie**
```
{
"ec2_attributes": {
"serial_console_access": {
"status": {
"@@assign": "enabled"
}
}
}
}
```
Die folgenden Felder sind für dieses Attribut verfügbar:
+ `"status"`:
+ `"enabled"`: Der Zugriff auf die serielle EC2-Konsole ist zulässig.
+ `"disabled"`: Der Zugriff auf die serielle EC2-Konsole ist blockiert.
**Überlegungen**
Wenn Sie dieses Attribut in einer EC2-Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:
+ `EnableSerialConsoleAccess`
+ `DisableSerialConsoleAccess`
------
#### [ Image Block Public Access ]
**Politische Wirkung**
Steuert, ob Amazon Machine Images (AMIs) öffentlich geteilt werden können. Weitere Informationen zu AMIs finden Sie unter [Amazon Machine Images (AMIs)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*.
**Inhalt der Richtlinie**
```
{
"ec2_attributes": {
"image_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Die folgenden Felder sind für dieses Attribut verfügbar:
+ `"state"`:
+ `"unblocked"`: Keine Einschränkungen beim öffentlichen Teilen von AMIs.
+ `"block_new_sharing"`: Blockiert die gemeinsame Nutzung neuer AMIs in der Öffentlichkeit. AMIs, die bereits öffentlich geteilt wurden, bleiben öffentlich verfügbar.
**Überlegungen**
Wenn Sie dieses Attribut in einer EC2-Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:
+ `EnableImageBlockPublicAccess`
+ `DisableImageBlockPublicAccess`
------
#### [ Allowed Images Settings ]
**Politische Wirkung**
Steuert die Erkennung und Verwendung von Amazon Machine Images (AMI) in Amazon EC2 mit zugelassenen AMIs. Weitere Informationen zu AMIs finden Sie unter [Steuern der Erkennung und Verwendung von AMIs in Amazon EC2 mit zugelassenen AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-allowed-amis.html) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*.
**Inhalt der Richtlinie**
Die folgenden Felder sind für dieses Attribut verfügbar:
```
{
"ec2_attributes": {
"allowed_images_settings": {
"state": {
"@@assign": "enabled"
},
"image_criteria": {
"criteria_1": {
"allowed_image_providers": {
"@@append": [
"amazon"
]
}
}
}
}
}
}
```
+ `"state"`:
+ `"enabled"`: Das Attribut ist aktiv und wird erzwungen.
+ `"disabled"`: Das Attribut ist inaktiv und wird nicht erzwungen.
+ `"audit_mode"`: Das Attribut befindet sich im Überwachungsmodus. Das bedeutet, dass es nicht konforme Bilder identifiziert, deren Verwendung jedoch nicht blockiert.
+ `"image_criteria"`: Eine Liste von Kriterien. Support bis zu 10 Kriterien mit dem Namen von Kriteria\_1 bis Kriteria\_10
+ `"allowed_image_providers"`: Eine durch Kommas getrennte Liste mit 12-stelligen Konto-IDs oder Inhaber-Alias von Amazon, aws\_marketplace, aws\_backup\_vault.
+ `"image_names"`: Die Namen der erlaubten Bilder. Namen können Platzhalter enthalten (? und \*). Länge: 1—128 Zeichen. Mit? , das Minimum sind 3 Zeichen.
+ `"marketplace_product_codes"`: Die AWS Marketplace-Produktcodes für zulässige Bilder. Länge: 1—25 Zeichen Gültige Zeichen: Buchstaben (A—Z, a—z) und Zahlen (0—9)
+ `"creation_date_condition"`: Das Höchstalter für erlaubte Bilder.
+ `"maximum_days_since_created"`: Die maximale Anzahl von Tagen, die seit der Erstellung des Images vergangen sind. Gültiger Bereich: Mindestwert 0. Maximalwert: 2147483647.
+ `"deprecation_time_condition"`: Der maximale Zeitraum seit dem Verfallsdatum für zulässige Bilder.
+ `"maximum_days_since_deprecated"`: Die maximale Anzahl von Tagen, die vergangen sind, seit das Bild veraltet ist. Gültiger Bereich: Mindestwert 0. Maximalwert: 2147483647.
**Überlegungen**
Wenn Sie dieses Attribut in einer EC2-Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:
+ `EnableAllowedImagesSettings`
+ `ReplaceImageCriteriaInAllowedImagesSettings`
+ `DisableAllowedImagesSettings`
------
#### [ Instance Metadata ]
**Politische Wirkung**
Steuert die IMDS-Standardeinstellungen und die IMDSv2-Durchsetzung für alle neuen EC2-Instance-Starts. *Weitere Informationen zu IMDS-Standardeinstellungen und IMDSv2-Durchsetzung finden Sie unter [Verwenden von Instance-Metadaten zur Verwaltung Ihrer EC2-Instance im Amazon EC2 EC2-Benutzerhandbuch](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html).*
**Inhalt der Richtlinie**
Die folgenden Felder sind für dieses Attribut verfügbar:
```
{
"ec2_attributes": {
"instance_metadata_defaults": {
"http_tokens": {
"@@assign": "required"
},
"http_put_response_hop_limit": {
"@@assign": "4"
},
"http_endpoint": {
"@@assign": "enabled"
},
"instance_metadata_tags": {
"@@assign": "enabled"
},
"http_tokens_enforced": {
"@@assign": "enabled"
}
}
}
}
```
+ `"http_tokens"`:
+ `"no_preference"`: Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.
+ `"required"`: IMDSv2 muss verwendet werden. IMDSv1 ist nicht erlaubt.
+ `"optional"`: Sowohl IMDSv1 als auch IMDSv2 sind erlaubt.
**Anmerkung**
**Version der Metadaten**
Stellen Sie vor der Einstellung `http_tokens` auf `required` (IMDSv2 muss verwendet werden) sicher, dass keine Ihrer Instances IMDSv1-Aufrufe tätigt. *Weitere Informationen finden Sie unter [Schritt 1: Identifizieren von Instances mit IMDSv2=optional und Prüfen der IMDSv1-Nutzung im Amazon EC2 EC2-Benutzerhandbuch](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#path-step-1).*
+ `"http_put_response_hop_limit"`:
+ `"{{Integer}}"`: Ganzzahlwert zwischen -1 und 64, der die maximale Anzahl von Hops darstellt, die das Metadaten-Token zurücklegen kann. Wenn Sie keine Präferenz angeben möchten, geben Sie -1 an.
**Anmerkung**
**Hop-Limit**
Wenn auf gesetzt `http_tokens` ist`required`, wird empfohlen, einen `http_put_response_hop_limit` Wert von mindestens 2 einzustellen. Weitere Informationen finden Sie unter [Überlegungen zum Zugriff auf Instance-Metadaten](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-data-retrieval.html#imds-considerations) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*.
+ `"http_endpoint"`:
+ `"no_preference"`: Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.
+ `"enabled"`: Auf den Endpunkt des Instanz-Metadatendienstes kann zugegriffen werden.
+ `"disabled"`: Auf den Endpunkt des Instanz-Metadatendienstes kann nicht zugegriffen werden.
+ `"instance_metadata_tags"`:
+ `"no_preference"`: Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.
+ `"enabled"`: Auf Instance-Tags kann über Instance-Metadaten zugegriffen werden.
+ `"disabled"`: Über Instanz-Metadaten kann nicht auf Instanz-Tags zugegriffen werden.
+ `"http_tokens_enforced":`
+ `"no_preference"`: Es gelten andere Standardwerte. Beispielsweise sind AMI standardmäßig voreingestellt, falls zutreffend.
+ `"enabled"`: IMDSv2 muss verwendet werden. Versuche, eine IMDSv1-Instanz zu starten oder IMDSv1 auf vorhandenen Instances zu aktivieren, schlagen fehl.
+ `"disabled"`: Sowohl IMDSv1 als auch IMDSv2 sind zulässig.
**Warnung**
**IMDSv2-Durchsetzung**
Wenn Sie die IMDSv2-Erzwingung aktivieren und gleichzeitig IMDSv1 und IMDSv2 (Token optional) zulassen, führt dies zu Startfehlern, sofern IMDSv1 nicht explizit deaktiviert wurde, entweder über Startparameter oder AMI-Standardeinstellungen. Weitere Informationen finden Sie unter Das [Starten einer IMDSv1-enabled Instance schlägt fehl](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/troubleshooting-launch.html#launching-an-imdsv1-enabled-instance-fails) im *Amazon EC2 EC2-Benutzerhandbuch*.
------
#### [ Snapshot Block Public Access ]
**Auswirkung der Richtlinie**
Steuert, ob Amazon EBS-Snapshots öffentlich zugänglich sind. Weitere Informationen zu EBS-Snapshots finden Sie unter [Amazon EBS-Snapshots](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html) im *Amazon Elastic Block* Store-Benutzerhandbuch.
**Inhalt der Richtlinie**
```
{
"ec2_attributes": {
"snapshot_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Die folgenden Felder sind für dieses Attribut verfügbar:
+ `"state"`:
+ `"block_all_sharing"`: Blockiert das öffentliche Teilen von Schnappschüssen. Snapshots, die bereits öffentlich geteilt wurden, werden als privat behandelt und sind nicht mehr öffentlich verfügbar.
+ `"block_new_sharing"`: Blockiert das neue öffentliche Teilen von Schnappschüssen. Schnappschüsse, die bereits öffentlich geteilt wurden, bleiben öffentlich verfügbar.
+ `"unblocked"`: Keine Einschränkungen beim öffentlichen Teilen von Schnappschüssen.
**Überlegungen**
Wenn Sie dieses Attribut in einer EC2-Richtlinie verwenden, können Sie die erzwungene Konfiguration für die Konten im Gültigkeitsbereich nicht mit den folgenden Vorgängen ändern. Diese Liste erhebt keinen Anspruch auf Vollständigkeit:
+ `EnableSnapshotBlockPublicAccess`
+ `DisableSnapshotBlockPublicAccess`
------