View a markdown version of this page

Sintaxis y ejemplos de políticas de EC2 - AWS Organizations
ConsideracionesSintaxis de las políticas de EC2Políticas de EC2 compatibles

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Sintaxis y ejemplos de políticas de EC2

En esta página se describe la sintaxis de las políticas de EC2 y se proporcionan ejemplos.

Consideraciones

  • Al configurar un atributo de servicio mediante una política de EC2, puede afectar a varias API. Cualquier acción no conforme generará un error.

  • Los administradores de cuentas no podrán modificar el valor del atributo de servicio al nivel de una cuenta individual.

Sintaxis de las políticas de EC2

Una política de EC2 es un archivo de texto sin formato que se estructura de acuerdo con las reglas de JSON. La sintaxis de las políticas de EC2 sigue la sintaxis de todos los tipos de políticas declarativas. Para obtener un análisis completo de esa sintaxis, consulte Sintaxis y herencia de políticas para los tipos de políticas declarativas. Este tema se centra en aplicar esa sintaxis general a los requisitos específicos del tipo de política de EC2.

El siguiente ejemplo muestra la sintaxis básica de las políticas de EC2:

{
  "ec2_attributes": {
    "exception_message": {
      "@@assign": "Your custom error message.https://myURL"
    }
  }
}

  • El nombre de clave del campo ec2_attributes. Las políticas declarativas siempre comienzan con un nombre de clave fijo para cada una de ellas. Servicio de AWS Es la línea superior del ejemplo de política anterior.

  • En ec2_attributes, puede utilizar exception_message para configurar un mensaje de error personalizado. Para obtener más información, consulte Mensajes de error personalizados para las políticas de EC2.

  • Enec2_attributes, puede insertar una o más de las políticas de EC2 compatibles. Para ver esos esquemas, consulte Políticas de EC2 compatibles.

Políticas de EC2 compatibles

Los siguientes son los atributos Servicios de AWS y atributos que admiten las políticas de EC2. En algunos de los ejemplos siguientes, el formato de espacio en blanco JSON podría comprimirse para ahorrar espacio.

  • Bloqueo de acceso público de la VPC

  • Acceso a la consola serie

  • Bloqueo de acceso público de la imagen

  • Configuración de imágenes permitida

  • Metadatos de instancia

  • Bloqueo de acceso público de las instantáneas

VPC Block Public Access

Efecto de la política

Controla si los recursos de las VPC y las subredes de Amazon pueden llegar a Internet a través de puertas de enlace de Internet (IGW). Para obtener más información, consulte Configuración del acceso a Internet en la Guía del usuario de Amazon Virtual Private Cloud.

Contenidos de la política

{
  "ec2_attributes": {
    "vpc_block_public_access": {
      "internet_gateway_block": {
        "mode": {
          "@@assign": "block_ingress"
        },
        "exclusions_allowed": {
          "@@assign": "enabled"
        }
      }
    }
  }
}

A continuación, se muestran los campos disponibles para este atributo:

  • "internet_gateway":

    • "mode":

      • "off": el BPA de la VPC no está activado.

      • "block_ingress": se bloquea todo el tráfico a las VPC (excepto las VPC o subredes excluidas). Solo se permite el tráfico hacia y desde las puertas de enlace NAT y las puertas de enlace de Internet solo de salida, ya que estas puertas de enlace solo permiten establecer conexiones salientes.

      • "block_bidirectional": se bloquea todo el tráfico de entrada y salida de las puertas de enlace de Internet y las puertas de enlace de Internet de solo salida (excepto las VPC y las subredes excluidas).

  • "exclusions_allowed": una exclusión es un modo que se puede aplicar a una sola VPC o subred y que la exime del modo BPA de la VPC de la cuenta y permitirá el acceso bidireccional o solo de salida.

    • "enabled": la cuenta puede crear exclusiones.

    • "disabled": la cuenta no puede crear exclusiones.

    nota

    Puede usar el atributo para configurar si se permiten las exclusiones, pero no puede crear exclusiones con este atributo en sí. Para crear exclusiones, debe crearlas en la cuenta propietaria de la VPC. Para obtener más información sobre cómo crear exclusiones del BPA de la VPC, consulte Crear y eliminar exclusiones en la Guía del usuario de Amazon VPC.

Consideraciones

Si utiliza este atributo en una política de EC2, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es definitiva:

  • ModifyVpcBlockPublicAccessOptions

  • CreateVpcBlockPublicAccessExclusion

  • ModifyVpcBlockPublicAccessExclusion

Serial Console Access

Efecto de la política

Controla el acceso a la consola serie de EC2. Para obtener más información sobre la consola serie de EC2, consulte Consola serie de EC2 en la Guía del usuario de Amazon Elastic Compute Cloud.

Contenidos de la política

{
  "ec2_attributes": {
    "serial_console_access": {
      "status": {
        "@@assign": "enabled"
      }
    }
  }
}

A continuación, se muestran los campos disponibles para este atributo:

  • "status":

    • "enabled": se permite el acceso a la consola serie de EC2.

    • "disabled": el acceso a la consola serie de EC2 está bloqueado.

Consideraciones

Si utiliza este atributo en una política de EC2, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es definitiva:

  • EnableSerialConsoleAccess

  • DisableSerialConsoleAccess

Image Block Public Access

Efecto de la política

Controla si las imágenes de máquina de Amazon (AMI) se pueden compartir públicamente. Para obtener información más detallada acerca de las AMI, consulte Imágenes de máquina de Amazon (AMI) en la Guía del usuario de Amazon Elastic Compute Cloud.

Contenidos de la política

{
  "ec2_attributes": {
    "image_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

A continuación, se muestran los campos disponibles para este atributo:

  • "state":

    • "unblocked": no hay restricciones sobre el uso compartido público de las AMI.

    • "block_new_sharing": bloquea el nuevo uso compartido público de las AMI. Las AMI que ya se compartieron públicamente seguirán siendo de acceso público.

Consideraciones

Si utiliza este atributo en una política de EC2, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es definitiva:

  • EnableImageBlockPublicAccess

  • DisableImageBlockPublicAccess

Allowed Images Settings

Efecto de la política

Controla la detección y el uso de las imágenes de máquina de Amazon (AMI) en Amazon EC2 con las AMI permitidas. Para obtener más información sobre las AMI, consulte Controle el descubrimiento y el uso de las AMI en Amazon EC2 con las AMI permitidas en la Guía del usuario de Amazon Elastic Compute Cloud.

Contenidos de la política

A continuación, se muestran los campos disponibles para este atributo:

{
  "ec2_attributes": {
    "allowed_images_settings": {
      "state": {
        "@@assign": "enabled"
      },
      "image_criteria": {
        "criteria_1": {
          "allowed_image_providers": {
            "@@append": [
              "amazon"
            ]
          }
        }
      }
    }
  }
}

  • "state":

    • "enabled": el atributo está activo y se aplica.

    • "disabled": el atributo está inactivo y no se aplica.

    • "audit_mode": el atributo está en modo de auditoría. Esto significa que se identificarán las imágenes que no cumplan con los requisitos, pero no se bloqueará su uso.

  • "image_criteria": una lista de criterios. Admite hasta 10 criterios con los nombres criteria_1 a criteria_10

    • "allowed_image_providers": una lista separada por comas de los identificadores de cuenta de 12 dígitos o el alias del propietario de amazon, aws_marketplace y aws_backup_vault.

    • "image_names": los nombres de las imágenes permitidas. Los nombres pueden incluir caracteres comodín (? y *). Longitud: de 1 a 128 caracteres. Con ?, los caracteres mínimos son 3.

    • "marketplace_product_codes": Los códigos de producto de AWS Marketplace para las imágenes permitidas. Longitud: de 1 a 25 caracteres. Caracteres válidos: letras (de la A a la Z, de la a la z) y números (del 0 al 9)

    • "creation_date_condition": la antigüedad máxima de las imágenes permitidas.

      • "maximum_days_since_created": el número máximo de días que han transcurrido desde que se creó la imagen. Rango válido: valor mínimo de 0. Valor máximo de 2147483647.

    • "deprecation_time_condition": el periodo máximo desde la obsolescencia de las imágenes permitidas.

      • "maximum_days_since_deprecated": el número máximo de días que han transcurrido desde que la imagen quedó obsoleta. Rango válido: valor mínimo de 0. Valor máximo de 2147483647.

Consideraciones

Si utiliza este atributo en una política de EC2, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es definitiva:

  • EnableAllowedImagesSettings

  • ReplaceImageCriteriaInAllowedImagesSettings

  • DisableAllowedImagesSettings

Instance Metadata

Efecto de la política

Controla los valores predeterminados del IMDS y la aplicación del IMDSv2 para todos los lanzamientos de nuevas instancias de EC2. Para obtener más información sobre los valores predeterminados de IMDS y la aplicación de IMDSv2, consulte Usar metadatos de instancia para administrar su instancia de EC2 en la Guía del usuario de Amazon EC2.

Contenidos de la política

A continuación, se muestran los campos disponibles para este atributo:

{
  "ec2_attributes": {
    "instance_metadata_defaults": {
      "http_tokens": {
        "@@assign": "required"
      },
      "http_put_response_hop_limit": {
        "@@assign": "4"
      },
      "http_endpoint": {
        "@@assign": "enabled"
      },
      "instance_metadata_tags": {
        "@@assign": "enabled"
      },
      "http_tokens_enforced": {
        "@@assign": "enabled"
      }
    }
  }
}

  • "http_tokens":

    • "no_preference": se aplican otros valores predeterminados. Por ejemplo, si corresponde, la AMI es la opción predeterminada.

    • "required": se debe usar IMDSv2. IMDSv1 no está permitido.

    • "optional": se permiten tanto IMDSv1 como IMDSv2.

    nota

    Versión de metadatos

    Antes de establecer http_tokens en required (se debe usar IMDSv2), asegúrese de que ninguna de las instancias realice llamadas de IMDSv1. Para obtener más información, consulte el paso 1: identificar las instancias con IMDSv2=optional y auditar el uso de IMDSv1 en la Guía del usuario de Amazon EC2.

  • "http_put_response_hop_limit":

    • "Integer": valor entero comprendido entre -1 y 64, que representa el número máximo de saltos que puede recorrer el token de metadatos. Si no desea indicar ninguna preferencia, especifique -1.

    nota

    Límite de saltos

    Si http_tokens se establece en required, se recomienda establecer http_put_response_hop_limit en un mínimo de 2. Para obtener más información, consulte Consideraciones del acceso a metadatos de instancia en la Guía del usuario de Amazon Elastic Compute Cloud.

  • "http_endpoint":

    • "no_preference": se aplican otros valores predeterminados. Por ejemplo, si corresponde, la AMI es la opción predeterminada.

    • "enabled": se puede acceder al punto de conexión del servicio de metadatos de la instancia.

    • "disabled": no se puede acceder al punto de conexión del servicio de metadatos de la instancia.

  • "instance_metadata_tags":

    • "no_preference": se aplican otros valores predeterminados. Por ejemplo, si corresponde, la AMI es la opción predeterminada.

    • "enabled": se puede acceder a las etiquetas de instancia desde los metadatos de la instancia.

    • "disabled": no se puede acceder a las etiquetas de instancia desde los metadatos de la instancia.

  • "http_tokens_enforced":

    • "no_preference": se aplican otros valores predeterminados. Por ejemplo, si corresponde, la AMI es la opción predeterminada.

    • "enabled": se debe usar IMDSv2. Los intentos de lanzar una instancia de IMDSv1 o de habilitar IMDSv1 en las instancias existentes fallarán.

    • "disabled": se permiten tanto IMDSv1 como IMDSv2.

    aviso

    Aplicación de IMDSv2

    Si se habilita la aplicación de IMDSv2 y, al mismo tiempo, se permiten IMDSv1 e IMDSv2 (token opcional), se producirán errores de lanzamiento, a menos que IMDSv1 esté deshabilitado explícitamente, ya sea mediante los parámetros de lanzamiento o los valores predeterminados de la AMI. Para obtener más información, consulte El lanzamiento de una IMDSv1-enabled instancia falla en la Guía del usuario de Amazon EC2.

Snapshot Block Public Access

Efecto de la política

Controla si las instantáneas de Amazon EBS son de acceso público. Para obtener más información sobre las instantáneas de EBS, consulte Instantáneas de Amazon EBS en la Guía del usuario de Amazon Elastic Block Store.

Contenidos de la política

{
  "ec2_attributes": {
    "snapshot_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

A continuación, se muestran los campos disponibles para este atributo:

  • "state":

    • "block_all_sharing": bloquea todo el uso compartido público de las instantáneas. Las instantáneas que ya se compartieron públicamente se consideran privadas y dejan de ser de acceso público.

    • "block_new_sharing": bloquea el uso compartido público nuevo de las instantáneas. Las instantáneas que ya se compartieron públicamente seguirán siendo de acceso público.

    • "unblocked": no hay restricciones sobre el uso compartido público de las instantáneas.

Consideraciones

Si utiliza este atributo en una política de EC2, no podrá utilizar las siguientes operaciones para modificar la configuración obligatoria de las cuentas incluidas en el ámbito de aplicación. Esta lista no es definitiva:

  • EnableSnapshotBlockPublicAccess

  • DisableSnapshotBlockPublicAccess