Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Políticas declarativas
Las políticas declarativas le permiten declarar y aplicar de forma centralizada la configuración que desee para una determinada escala Servicio de AWS en toda la organización. Una vez conectada, la configuración siempre se mantiene cuando el servicio agrega nuevas funciones o APIs. Utilice las políticas declarativas para evitar acciones que no son compatibles. Por ejemplo, puede bloquear el acceso público a Internet a los recursos de Amazon VPC en su organización.
Las principales ventajas de utilizar las políticas declarativas son las siguientes:
+ **Facilidad de uso**: puede aplicar la configuración básica para una Servicio de AWS con unas cuantas selecciones en las AWS Control Tower consolas AWS Organizations y o con unos pocos comandos mediante la tecla AWS CLI & AWS SDKs.
+ **Configúrelo una vez y olvídese**: la configuración básica de an siempre Servicio de AWS se mantiene, incluso cuando el servicio introduce nuevas funciones o APIs. La configuración básica también se mantiene cuando se agregan nuevas cuentas a una organización o cuando se crean nuevas entidades principales y recursos.
+ **Transparencia**: el informe de estado de la cuenta permite revisar el estado actual de todos los atributos compatibles con las políticas declarativas de las cuentas incluidas en el ámbito de aplicación. Además, puede crear mensajes de error personalizables, que pueden ayudar a los administradores a redirigir a los usuarios finales a las páginas wiki internas o proporcionar un mensaje descriptivo que ayude a los usuarios finales a entender por qué se ha producido un error en una acción.
Para obtener una lista completa de los atributos Servicios de AWS y los compatibles, consulte[Soportadas Servicios de AWS y atributos](#orgs_manage_policies_declarative-supported-controls).
**Topics**
+ [Funcionamiento de las políticas declarativas](#orgs_manage_policies_declarative-how-work)
+ [Mensajes de error personalizados](#orgs_manage_policies_declarative-custom-message)
+ [Informe de estado de la cuenta](#orgs_manage_policies_declarative-account-status-report)
+ [Servicios admitidos](#orgs_manage_policies_declarative-supported-controls)
+ [Introducción](orgs_manage_policies-declarative_getting-started.md)
+ [Prácticas recomendadas](orgs_manage_policies_declarative_best-practices.md)
+ [Generación del informe de estado de la cuenta](orgs_manage_policies_declarative_status-report.md)
+ [Sintaxis y ejemplos de políticas declarativas](orgs_manage_policies_declarative_syntax.md)
## Funcionamiento de las políticas declarativas
Las políticas declarativas se aplican en el plano de control del servicio, lo que constituye una diferencia importante de las políticas de [autorización, como las políticas de control del servicio (SCPs) y las políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_authorization_policies.html). Si bien las políticas de autorización regulan el acceso APIs, las políticas declarativas se aplican directamente a nivel del servicio para garantizar una intención duradera. Esto garantiza que la configuración básica se aplique siempre, incluso cuando el servicio introduzca nuevas funciones o APIs cuando el servicio introduzca nuevas funciones.
La siguiente tabla ayuda a ilustrar esta distinción e indica algunos casos de uso.
****
| | Políticas de control de servicios | Políticas de control de recursos | Políticas declarativas |
| --- | --- | --- | --- |
| ¿Por qué? | Para definir y aplicar de forma centralizada los controles de acceso coherentes para las entidades principales (como los usuarios de IAM y los roles de IAM) a gran escala. | Para definir y aplicar de forma centralizada los controles de acceso coherentes a los recursos a gran escala | Para definir y aplicar de forma centralizada la configuración básica de los servicios de AWS a gran escala. |
| ¿Cómo? | Al controlar los permisos de acceso máximos disponibles de las entidades principales a nivel de API. | Al controlar los permisos de acceso máximos disponibles para los recursos a nivel de API. | Aplicando la configuración deseada Servicio de AWS sin utilizar acciones de la API. |
| ¿Controla los roles vinculados a servicios? | No | No | Sí |
| Mecanismo de respuesta | Error SCP de acceso denegado no personalizable. | Error RCP de acceso denegado no personalizable. | Mensaje de error personalizable. Para obtener más información, consulte [Mensajes de error personalizados para las políticas declarativas](#orgs_manage_policies_declarative-custom-message). |
| Ejemplo de política de | [Impida que las cuentas de los miembros abandonen la organización](https://github.com/aws-samples/service-control-policy-examples/blob/main/Privileged-access-controls/Deny-member-accounts-from-leaving-your-AWS-organization.json) | [Restrinja el acceso a sus recursos únicamente a las conexiones HTTPS](https://github.com/aws-samples/resource-control-policy-examples/blob/main/Restrict-resource-access-patterns/Restrict-access-to-only-HTTPS-connections-to-your-resources.json) | [Configuración de imágenes permitida](orgs_manage_policies_declarative_syntax.md#declarative-policy-ec2-ami-allowed-images) |
Una vez que haya [creado](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-declarative-policy-procedure) y [asociado](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html) una política declarativa, se aplicará en la organización. Las políticas declarativas se pueden aplicar a toda la organización, a las unidades organizativas (OUs) o a las cuentas. Las cuentas que se unan a una organización heredarán automáticamente la política declarativa de la organización. Para obtener más información, consulte [Descripción de la herencia de políticas de administración](orgs_manage_policies_inheritance_mgmt.md).
La *política efectiva* es el conjunto de reglas que se heredan de la raíz de la organización y OUs junto con las que se adjuntan directamente a la cuenta. La política en vigor especifica el conjunto de reglas final que se aplican a la cuenta. Para obtener más información, consulte [Visualización de políticas de administración en vigor](orgs_manage_policies_effective.md).
Si se [desvincula](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html) una política declarativa, el estado del atributo volverá a su estado anterior antes de que se asocie la política declarativa.
## Mensajes de error personalizados para las políticas declarativas
Las políticas declarativas permiten crear mensajes de error personalizados. Por ejemplo, si una operación de la API falla debido a una política declarativa, puede configurar el mensaje de error o proporcionar una URL personalizada, como, por ejemplo, un enlace a un wiki interno o un enlace a un mensaje que describa el error. Si no especifica un mensaje de error personalizado, AWS Organizations proporciona el siguiente mensaje de error predeterminado:`Example: This action is denied due to an organizational policy in effect`.
También puede auditar el proceso de creación de políticas declarativas, actualización de políticas declarativas y eliminación de políticas declarativas con. AWS CloudTrail CloudTrail puede señalar los errores de funcionamiento de la API debidos a políticas declarativas. Para obtener más información, consulte [Registro y supervisión](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_security_incident-response.html).
**importante**
No indique *información de identificación personal (PII)* ni ninguna otra información confidencial en un mensaje de error personalizado. La PII incluye información general que se puede utilizar para identificar o localizar a una persona. Abarca registros como los financieros, médicos, educativos o laborales. Los ejemplos de PII incluyen direcciones, números de cuentas bancarias y números de teléfono.
## Informe de estado de la cuenta para las políticas declarativas
El *informe de estado de la cuenta* permite revisar el estado actual de todos los atributos compatibles con las políticas declarativas de las cuentas incluidas en el ámbito de aplicación. Puedes elegir las cuentas y las unidades organizativas (OUs) que deseas incluir en el ámbito del informe, o bien elegir una organización completa seleccionando la raíz.
Este informe permite evaluar el grado de preparación al brindar un desglose por regiones y al indicar si el estado actual de un atributo es *uniforme en todas las cuentas* (a través de `numberOfMatchedAccounts`) o *incoherente* (a través de `numberOfUnmatchedAccounts`). También puede consultar el *valor más frecuente*, el cual es el valor de configuración que se observa con más frecuencia para el atributo.
En la figura 1, hay un informe de estado de la cuenta generado, que muestra la uniformidad entre las cuentas para los siguientes atributos: el bloqueo de acceso público a la VPC y el bloqueo de acceso público de la imagen. Esto significa que, para cada atributo, todas las cuentas incluidas en el ámbito tienen la misma configuración para ese atributo.
El informe de estado de la cuenta generado muestra cuentas incoherentes para los siguientes atributos: configuración de imágenes permitidas, valores predeterminados de metadatos de instancia, acceso a la consola en serie y bloqueo de acceso público de las instantáneas. En este ejemplo, cada atributo con una cuenta incoherente se debe a que hay una cuenta con un valor de configuración diferente.
En caso de que haya un valor más frecuente, se mostrará en su columna correspondiente. Para obtener información más detallada sobre lo que controla cada atributo, consulte [Sintaxis de políticas declarativas y ejemplos de políticas](orgs_manage_policies_declarative_syntax.md).
También es posible expandir un atributo para ver un desglose por región. En este ejemplo, se amplía el bloqueo de acceso público de la imagen y, en cada región, se puede ver que también hay uniformidad en todas las cuentas.
La opción de asociar una política declarativa para aplicar una configuración de referencia depende de su caso de uso específico. Utilice el informe de estado de la cuenta como ayuda para evaluar si tiene todo preparado antes de asociar una política declarativa.
Para obtener más información, consulte [Generación del informe de estado de la cuenta](orgs_manage_policies_declarative_status-report.md).
![\[Ejemplo de informe de estado de cuenta con uniformidad en todas las cuentas para el bloqueo de acceso público a la VPC y el bloqueo de acceso público de la imagen\]](http://docs.aws.amazon.com/es_es/organizations/latest/userguide/images/declarative-status-report.png)
*Figura 1: Ejemplo de informe de estado de cuenta con uniformidad en todas las cuentas para el bloqueo de acceso público a la VPC y el bloqueo de acceso público de la imagen.*
## Soportadas Servicios de AWS y atributos
### Atributos compatibles para las políticas declarativas de EC2
En la siguiente tabla se muestran los atributos compatibles con los servicios relacionados con Amazon EC2.
**Políticas declarativas para EC2**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/organizations/latest/userguide/orgs_manage_policies_declarative.html)
# Introducción a las políticas declarativas
Siga estos pasos para empezar a utilizar las políticas declarativas.
1. [Obtenga información sobre los permisos que debe tener para llevar a cabo tareas de políticas declarativas](orgs_manage_policies_prereqs.md).
1. [Habilite las políticas declarativas de su organización](enable-policy-type.md).
**nota**
**Es obligatorio habilitar el acceso de confianza**
Debe habilitar el acceso de confianza al servicio en el que la política declarativa impondrá una configuración básica. Esto crea una función vinculada al servicio de solo lectura que se utiliza para generar el informe de estado de la cuenta con la configuración existente para las cuentas de la organización.
**Uso de la consola**
Si utiliza la consola de Organizations, este paso forma parte del proceso para habilitar las políticas declarativas.
**Utilización del AWS CLI**
Si usa el AWS CLI, hay dos separados APIs:
[EnablePolicyType](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnablePolicyType.html), que se utiliza para habilitar las políticas declarativas.
[Habilite el AWSService acceso](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html), que se utiliza para habilitar el acceso confiable.
Para obtener más información sobre cómo habilitar el acceso confiable a un servicio específico, AWS CLI consulte, [Servicios de AWS que puede utilizar con AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html).
1. [Ejecute el informe de estado de la cuenta](orgs_manage_policies_declarative_status-report.md).
1. [Cree una política declarativa](orgs_policies_create.md).
1. [Asocie la política declarativa a la raíz, unidad organizativa o cuenta de su organización](orgs_policies_attach.md).
1. [Vea la política declarativa efectiva combinada que se aplica a una cuenta](orgs_manage_policies_effective.md).
Para todos estos pasos, debe iniciar sesión como usuario de IAM, asumir un rol de IAM o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.
**Información adicional**
+ [Aprenda la sintaxis de la política declarativa y vea ejemplos de políticas](orgs_manage_policies_declarative_syntax.md)
# Prácticas recomendadas para utilizar las políticas declarativas
AWS recomienda las siguientes prácticas recomendadas para el uso de políticas declarativas.
## Aproveche las evaluaciones de preparación
Utilice el *informe de estado de cuentas* de las políticas declarativas para evaluar el estado actual de todos los atributos compatibles con las políticas declarativas de las cuentas incluidas en el ámbito de aplicación. Puedes elegir las cuentas y las unidades organizativas (OUs) que deseas incluir en el ámbito del informe, o bien elegir una organización completa seleccionando la raíz.
Este informe permite evaluar el grado de preparación al brindar un desglose por regiones y al indicar si el estado actual de un atributo es *uniforme en todas las cuentas* (a través de `numberOfMatchedAccounts`) o *incoherente* (a través de `numberOfUnmatchedAccounts`). También puede consultar el *valor más frecuente*, el cual es el valor de configuración que se observa con más frecuencia para el atributo.
La opción de asociar una política declarativa para aplicar una configuración de referencia depende de su caso de uso específico.
Para obtener más información y un ejemplo ilustrativo, consulte [Informe de estado de la cuenta para las políticas declarativas](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-account-status-report).
## Comience con algo pequeño y amplíe poco a poco
Para simplificar la depuración, comience primero con una política de prueba. Valide el comportamiento y el impacto de cada cambio antes de realizar el siguiente cambio. Este alcance reduce el número de variables que debe tener en cuenta cuando ocurre un error o un resultado inesperado.
Por ejemplo, puede comenzar con una política de prueba asociada a una sola cuenta en un entorno de pruebas que no sea esencial. Una vez que hayas confirmado que funciona según tus especificaciones, puedes ir ascendiendo la política en la estructura de la organización para incluir más cuentas y más unidades organizativas (OUs).
## Establezca procesos de revisión
Implemente procesos para supervisar los nuevos atributos declarativos, evaluar las excepciones a las políticas y realizar ajustes para que se sigan cumpliendo los requisitos operativos y de seguridad de su organización.
## Valide los cambios con `DescribeEffectivePolicy`
Tras haber realizado un cambio en una política declarativa, compruebe las políticas en vigor de las cuentas representativas que estén por debajo del nivel en el que haya realizado el cambio. [Para ver la política vigente Consola de administración de AWS, utilice la](orgs_manage_policies_effective.md) operación de [DescribeEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeEffectivePolicy.html)API o una de sus variantes AWS CLI o del AWS SDK. Asegúrese de que el cambio que ha realizado haya tenido el impacto previsto en la política en vigor.
## Comunique y capacite
Asegúrese de que sus organizaciones entiendan el propósito de las políticas declarativas y su impacto. Brinde una orientación clara sobre los comportamientos esperados y sobre cómo gestionar los errores generados por la aplicación de las políticas.
# Generación del informe de estado de la cuenta para las políticas declarativas
El *informe de estado de la cuenta* permite revisar el estado actual de todos los atributos compatibles con las políticas declarativas de las cuentas incluidas en el ámbito de aplicación. Puede elegir las cuentas y las unidades organizativas (OUs) que desea incluir en el ámbito del informe, o bien elegir una organización completa seleccionando la raíz.
Este informe permite evaluar el grado de preparación al brindar un desglose por regiones y al indicar si el estado actual de un atributo es *uniforme en todas las cuentas* (a través de `numberOfMatchedAccounts`) o *incoherente* (a través de `numberOfUnmatchedAccounts`). También puede consultar el *valor más frecuente*, el cual es el valor de configuración que se observa con más frecuencia para el atributo.
La opción de asociar una política declarativa para aplicar una configuración de referencia depende de su caso de uso específico.
Para obtener más información y un ejemplo ilustrativo, consulte [Informe de estado de la cuenta para las políticas declarativas](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-account-status-report).
## Requisitos previos
Antes de poder generar un informe de estado de la cuenta, debe realizar los siguientes pasos
1. Solo la cuenta de administración o los administradores delegados de una organización pueden llamar a la API de `StartDeclarativePoliciesReport`.
1. Debe tener un bucket de S3 antes de generar el informe (cree uno nuevo o utilice uno existente), el cual tiene que estar en la misma región en la que se realiza la solicitud y tener una política de bucket de S3 adecuada. Para ver un ejemplo de política de S3, consulte *Ejemplo de política de Amazon S3* en [Ejemplos](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartDeclarativePoliciesReport.html#API_StartDeclarativePoliciesReport_Examples) de la *Referencia de la API de Amazon EC2*.
1. Debe habilitar el acceso de confianza al servicio en el que la política declarativa impondrá una configuración básica. Esto crea una función vinculada al servicio de solo lectura que se utiliza para generar el informe de estado de la cuenta con la configuración existente para las cuentas de la organización.
**Uso de la consola**
Para la consola de Organizations, este paso forma parte del proceso para habilitar las políticas declarativas.
**Usando el AWS CLI**
Para ello AWS CLI, utilice la API [Enable AWSService Access](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html).
Para obtener más información sobre cómo habilitar el acceso confiable a un servicio específico, AWS CLI consulte, [Servicios de AWS que puede usar con AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html).
1. Solo se puede generar un informe por organización a la vez. Se producirá un error si intenta generar un informe mientras hay otro en curso.
## Acceda al informe de estado de conformidad
**Permisos mínimos**
Para generar un informe de estado de conformidad, necesita permiso para ejecutar las siguientes acciones:
`ec2:StartDeclarativePoliciesReport`
`ec2:DescribeDeclarativePoliciesReports`
`ec2:GetDeclarativePoliciesReportSummary`
`ec2:CancelDeclarativePoliciesReport`
`organizations:DescribeAccount`
`organizations:DescribeOrganization`
`organizations:DescribeOrganizationalUnit`
`organizations:ListAccounts`
`organizations:ListDelegatedAdministrators`
`organizations:ListAWSServiceAccessForOrganization`
`s3:PutObject`
**nota**
Si su bucket de Amazon S3 utiliza el cifrado SSE-KMS, también debe incluir el permiso `kms:GenerateDataKey` en la política.
------
#### [ Consola de administración de AWS ]
Utilice el siguiente procedimiento para generar un informe de estado de la cuenta.
**Cómo generar un informe de estado de la cuenta**
1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.
1. En la página **Políticas**, seleccione **Políticas declarativas para EC2**.
1. En la página **Políticas declarativas para EC2**, seleccione **Ver el informe de estado de la cuenta** en el menú desplegable **Acciones**.
1. En la página **Ver informe de estado de la cuenta**, seleccione **Generar informe de estado**.
1. En el widget **Estructura organizativa**, especifica qué unidades organizativas (OUs) quieres incluir en el informe.
1. Seleccione **Enviar**.
------
#### [ AWS CLI & AWS SDKs ]
**Cómo generar un informe de estado de la cuenta**
Utilice las siguientes operaciones para generar un informe de estado de conformidad, comprobar su estado y ver el informe:
+ `ec2:start-declarative-policies-report`: genera un informe de estado de la cuenta. Este informe se genera de forma asíncrona y puede demorarse varias horas. Para obtener más información, consulte [StartDeclarativePoliciesReport](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartDeclarativePoliciesReport.html) en *Referencia de la API de Amazon EC2*.
+ `ec2:describe-declarative-policies-report`: describe los metadatos de un informe de estado de la cuenta, entre ellos, el estado del informe. Para obtener más información, consulte [DescribeDeclarativePoliciesReports](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeDeclarativePoliciesReports.html) en *Referencia de la API de Amazon EC2*.
+ `ec2:get-declarative-policies-report-summary`: recupera un resumen del informe de estado de la cuenta. Para obtener más información, consulte [GetDeclarativePoliciesReportSummary](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetDeclarativePoliciesReportSummary.html) en *Referencia de la API de Amazon EC2*.
+ `ec2:cancel-declarative-policies-report`: cancela la generación de un informe de estado de la cuenta. Para obtener más información, consulte [CancelDeclarativePoliciesReport](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CancelDeclarativePoliciesReport.html) en *Referencia de la API de Amazon EC2*.
Antes de generar un informe, otorgue a las políticas declarativas de EC2 el acceso principal al bucket de Amazon S3 en el que se almacenará el informe. Para ello, asocie la siguiente política al bucket. Sustituya `amzn-s3-demo-bucket` por el nombre del bucket de Amazon S3, y `identity_ARN` por la identidad de IAM utilizada para llamar a la API de `StartDeclarativePoliciesReport`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DeclarativePoliciesReportDelivery",
"Effect": "Allow",
"Principal": {
"AWS": "identity_ARN"
},
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "organizations.amazonaws.com"
}
}
}
]
}
```
------
------
# Sintaxis y ejemplos de políticas declarativas
En esta página se describe la sintaxis de la política declarativa y se proporcionan ejemplos.
## Consideraciones
+ Al configurar un atributo de servicio mediante una política declarativa, puede afectar a varios APIs. Cualquier acción no conforme generará un error.
+ Los administradores de cuentas no podrán modificar el valor del atributo de servicio al nivel de una cuenta individual.
## Sintaxis de políticas declarativas
Una política declarativa es un archivo de texto sin formato que se estructura de acuerdo con las reglas de [JSON](http://json.org). La sintaxis de las políticas declarativas sigue la sintaxis de todos los tipos de políticas de administración. Para obtener una explicación completa de esa sintaxis, consulte [Sintaxis y herencia de políticas para tipos de políticas de administración](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_mgmt.html). Este tema se centra en aplicar esa sintaxis general a los requisitos específicos del tipo de política declarativa.
En el siguiente ejemplo se muestra la sintaxis básica de una política declarativa:
```
{
"ec2_attributes": {
"exception_message": {
"@@assign": "Your custom error message.https://myURL"
}
}
}
```
+ El nombre de clave del campo `ec2_attributes`. Las políticas declarativas siempre comienzan con un nombre de clave fijo para cada una de ellas. Servicio de AWS Es la línea superior del ejemplo de política anterior. Por ahora, las políticas declarativas solo admiten servicios relacionados con Amazon EC2.
+ En `ec2_attributes`, puede utilizar `exception_message` para configurar un mensaje de error personalizado. Para obtener más información, consulte [Mensajes de error personalizados para las políticas declarativas](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-custom-message).
+ En `ec2_attributes`, puede insertar una o más de las políticas declarativas compatibles. Para ver esos esquemas, consulte [Políticas declarativas compatibles](#declarative-policy-examples).
## Políticas declarativas compatibles
Los siguientes son los atributos Servicios de AWS y atributos que admiten las políticas declarativas. En algunos de los ejemplos siguientes, el formato de espacio en blanco JSON podría comprimirse para ahorrar espacio.
+ Bloqueo de acceso público de la VPC
+ Acceso a la consola serie
+ Bloqueo de acceso público de la imagen
+ Configuración de imágenes permitida
+ Metadatos de instancia
+ Bloqueo de acceso público de las instantáneas
------
#### [ VPC Block Public Access ]
**Efecto de la política**
Controla si los recursos de Amazon VPCs y las subredes pueden llegar a Internet a través de las puertas de enlace de Internet ()IGWs. Para obtener más información, consulte [Configuración del acceso a Internet](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-igw-internet-access.html) en la *Guía del usuario de Amazon Virtual Private Cloud*.
**Contenidos de la política**
```
{
"ec2_attributes": {
"vpc_block_public_access": {
"internet_gateway_block": {
"mode": {
"@@assign": "block_ingress"
},
"exclusions_allowed": {
"@@assign": "enabled"
}
}
}
}
}
```
A continuación, se muestran los campos disponibles para este atributo:
+ `"internet_gateway"`:
+ `"mode"`:
+ `"off"`: el BPA de la VPC no está activado.
+ `"block_ingress"`: Se bloquea todo el tráfico de Internet que llega a VPCs (excepto VPCs el de las subredes, que están excluidas). Solo se permite el tráfico hacia y desde las puertas de enlace NAT y las puertas de enlace de Internet solo de salida, ya que estas puertas de enlace solo permiten establecer conexiones salientes.
+ `"block_bidirectional"`: Se bloquea todo el tráfico hacia y desde las pasarelas de Internet y las pasarelas de Internet que solo son de salida (excepto las excluidas VPCs y las subredes).
+ `"exclusions_allowed"`: una exclusión es un modo que se puede aplicar a una sola VPC o subred y que la exime del modo BPA de la VPC de la cuenta y permitirá el acceso bidireccional o solo de salida.
+ `"enabled"`: la cuenta puede crear exclusiones.
+ `"disabled"`: la cuenta no puede crear exclusiones.
**nota**
Puede usar el atributo para configurar si se permiten las exclusiones, pero no puede crear exclusiones con este atributo en sí. Para crear exclusiones, debe crearlas en la cuenta propietaria de la VPC. Para obtener más información sobre cómo crear exclusiones del BPA de la VPC, consulte [Crear y eliminar exclusiones](https://docs.aws.amazon.com//vpc/latest/userguide/security-vpc-bpa.html#security-vpc-bpa-exclusions) en la *Guía del usuario de Amazon VPC*.
**Consideraciones**
Si utiliza este atributo en una política declarativa, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es definitiva:
+ `ModifyVpcBlockPublicAccessOptions`
+ `CreateVpcBlockPublicAccessExclusion`
+ `ModifyVpcBlockPublicAccessExclusion`
------
#### [ Serial Console Access ]
**Efecto de la política**
Controla el acceso a la consola serie de EC2. Para obtener más información sobre la consola serie de EC2, consulte [Consola serie de EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-serial-console.html) en la *Guía del usuario de Amazon Elastic Compute Cloud*.
**Contenidos de la política**
```
{
"ec2_attributes": {
"serial_console_access": {
"status": {
"@@assign": "enabled"
}
}
}
}
```
A continuación, se muestran los campos disponibles para este atributo:
+ `"status"`:
+ `"enabled"`: se permite el acceso a la consola serie de EC2.
+ `"disabled"`: el acceso a la consola serie de EC2 está bloqueado.
**Consideraciones**
Si utiliza este atributo en una política declarativa, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es definitiva:
+ `EnableSerialConsoleAccess`
+ `DisableSerialConsoleAccess`
------
#### [ Image Block Public Access ]
**Efecto de la política**
Controla si Amazon Machine Images (AMIs) se puede compartir públicamente. Para obtener más información AMIs, consulte [Amazon Machine Images (AMIs)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) en la *Guía del usuario de Amazon Elastic Compute Cloud*.
**Contenidos de la política**
```
{
"ec2_attributes": {
"image_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
A continuación, se muestran los campos disponibles para este atributo:
+ `"state"`:
+ `"unblocked"`: No hay restricciones a la hora de compartir públicamente AMIs.
+ `"block_new_sharing"`: Bloquea el nuevo intercambio público de AMIs. AMIs las que ya se compartieron públicamente permanecen disponibles públicamente.
**Consideraciones**
Si utiliza este atributo en una política declarativa, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es definitiva:
+ `EnableImageBlockPublicAccess`
+ `DisableImageBlockPublicAccess`
------
#### [ Allowed Images Settings ]
**Efecto de la política**
Controla la detección y el uso de Amazon Machine Images (AMI) en Amazon EC2 con Allowed. AMIs Para obtener más información AMIs, consulte [Controlar el descubrimiento y el uso de las AMI en Amazon EC2 con Allowed AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-allowed-amis.html) en la guía del *usuario de Amazon Elastic Compute Cloud*.
**Contenidos de la política**
A continuación, se muestran los campos disponibles para este atributo:
```
{
"ec2_attributes": {
"allowed_images_settings": {
"state": {
"@@assign": "enabled"
},
"image_criteria": {
"criteria_1": {
"allowed_image_providers": {
"@@append": [
"amazon"
]
}
}
}
}
}
}
```
+ `"state"`:
+ `"enabled"`: el atributo está activo y se aplica.
+ `"disabled"`: el atributo está inactivo y no se aplica.
+ `"audit_mode"`: el atributo está en modo de auditoría. Esto significa que se identificarán las imágenes que no cumplan con los requisitos, pero no se bloqueará su uso.
+ `"image_criteria"`: una lista de criterios. Admite hasta 10 criterios con los nombres criteria\$11 a criteria\$110
+ `"allowed_image_providers"`: una lista separada por comas de la cuenta de 12 dígitos IDs o el alias del propietario de Amazon, aws\$1marketplace y aws\$1backup\$1vault.
+ `"image_names"`: los nombres de las imágenes permitidas. Los nombres pueden incluir caracteres comodín (? y \$1). Longitud: de 1 a 128 caracteres. Con ?, los caracteres mínimos son 3.
+ `"marketplace_product_codes"`: Los códigos de producto de AWS Marketplace para las imágenes permitidas. Longitud: de 1 a 25 caracteres. Caracteres válidos: letras (de la A a la Z, de la a la z) y números (del 0 al 9)
+ `"creation_date_condition"`: la antigüedad máxima de las imágenes permitidas.
+ `"maximum_days_since_created"`: el número máximo de días que han transcurrido desde que se creó la imagen. Rango válido: valor mínimo de 0. Valor máximo de 2147483647.
+ `"deprecation_time_condition"`: el periodo máximo desde la obsolescencia de las imágenes permitidas.
+ `"maximum_days_since_deprecated"`: el número máximo de días que han transcurrido desde que la imagen quedó obsoleta. Rango válido: valor mínimo de 0. Valor máximo de 2147483647.
**Consideraciones**
Si utiliza este atributo en una política declarativa, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es definitiva:
+ `EnableAllowedImagesSettings`
+ `ReplaceImageCriteriaInAllowedImagesSettings`
+ `DisableAllowedImagesSettings`
------
#### [ Instance Metadata ]
**Efecto de la política**
Controla los valores predeterminados del IMDS y la aplicación del IMDSv2 para todos los lanzamientos de instancias EC2 nuevas. Para obtener más información sobre los valores predeterminados y la IMDSv2 aplicación del IMDS, consulte [Usar metadatos de instancia para administrar su instancia EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) en la Guía del usuario de *Amazon* EC2.
**Contenidos de la política**
A continuación, se muestran los campos disponibles para este atributo:
```
{
"ec2_attributes": {
"instance_metadata_defaults": {
"http_tokens": {
"@@assign": "required"
},
"http_put_response_hop_limit": {
"@@assign": "4"
},
"http_endpoint": {
"@@assign": "enabled"
},
"instance_metadata_tags": {
"@@assign": "enabled"
},
"http_tokens_enforced": {
"@@assign": "enabled"
}
}
}
}
```
+ `"http_tokens"`:
+ `"no_preference"`: se aplican otros valores predeterminados. Por ejemplo, si corresponde, la AMI es la opción predeterminada.
+ `"required"`: debe usarse IMDSv2 . IMDSv1 no está permitido.
+ `"optional"`: Ambos IMDSv1 IMDSv2 están permitidos.
**nota**
**Versión de metadatos**
Antes de `http_tokens` configurarla `required` (IMDSv2 debe usarse), asegúrate de que ninguna de tus instancias esté realizando IMDSv1 llamadas. Para obtener más información, consulte el [paso 1: identificar las instancias con IMDSv2 =optional y auditar el IMDSv1 uso](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#path-step-1) en la Guía del usuario de *Amazon EC2*.
+ `"http_put_response_hop_limit"`:
+ `"Integer"`: valor entero comprendido entre -1 y 64, que representa el número máximo de saltos que puede recorrer el token de metadatos. Si no desea indicar ninguna preferencia, especifique -1.
**nota**
**Límite de saltos**
Si `http_tokens` se establece en `required`, se recomienda establecer `http_put_response_hop_limit` en un mínimo de 2. Para obtener más información, consulte [Consideraciones del acceso a metadatos de instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-data-retrieval.html#imds-considerations) en la *Guía del usuario de Amazon Elastic Compute Cloud*.
+ `"http_endpoint"`:
+ `"no_preference"`: se aplican otros valores predeterminados. Por ejemplo, si corresponde, la AMI es la opción predeterminada.
+ `"enabled"`: se puede acceder al punto de conexión del servicio de metadatos de la instancia.
+ `"disabled"`: no se puede acceder al punto de conexión del servicio de metadatos de la instancia.
+ `"instance_metadata_tags"`:
+ `"no_preference"`: se aplican otros valores predeterminados. Por ejemplo, si corresponde, la AMI es la opción predeterminada.
+ `"enabled"`: se puede acceder a las etiquetas de instancia desde los metadatos de la instancia.
+ `"disabled"`: no se puede acceder a las etiquetas de instancia desde los metadatos de la instancia.
+ `"http_tokens_enforced":`
+ `"no_preference"`: se aplican otros valores predeterminados. Por ejemplo, si corresponde, la AMI es la opción predeterminada.
+ `"enabled"`: IMDSv2 debe usarse. Los intentos de lanzar una IMDSv1 instancia o de habilitarla IMDSv1 en las instancias existentes fallarán.
+ `"disabled"`: IMDSv2 Se permiten ambas IMDSv1 opciones.
**aviso**
**IMDSv2 cumplimiento**
Habilitar IMDSv2 la aplicación mientras se permite IMDSv1 y IMDSv2 (token opcional) provocará errores en el lanzamiento, a menos que IMDSv1 se deshabilite explícitamente, ya sea mediante los parámetros de lanzamiento o los valores predeterminados de la AMI. Para obtener más información, consulte El [lanzamiento de una instancia IMDSv1 habilitada falla](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/troubleshooting-launch.html#launching-an-imdsv1-enabled-instance-fails) en la Guía del usuario de *Amazon EC2*.
------
#### [ Snapshot Block Public Access ]
**Efecto de la política**
Controla si las instantáneas de Amazon EBS son de acceso público. Para obtener más información sobre las instantáneas de EBS, consulte [Instantáneas de Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html) en la *Guía del usuario de Amazon Elastic Block Store*.
**Contenidos de la política**
```
{
"ec2_attributes": {
"snapshot_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
A continuación, se muestran los campos disponibles para este atributo:
+ `"state"`:
+ `"block_all_sharing"`: bloquea todo el uso compartido público de las instantáneas. Las instantáneas que ya se compartieron públicamente se consideran privadas y dejan de ser de acceso público.
+ `"block_new_sharing"`: bloquea el uso compartido público nuevo de las instantáneas. Las instantáneas que ya se compartieron públicamente seguirán siendo de acceso público.
+ `"unblocked"`: no hay restricciones sobre el uso compartido público de las instantáneas.
**Consideraciones**
Si utiliza este atributo en una política declarativa, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es definitiva:
+ `EnableSnapshotBlockPublicAccess`
+ `DisableSnapshotBlockPublicAccess`
------