Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kebijakan deklaratif
Kebijakan deklaratif memungkinkan Anda untuk mendeklarasikan dan menerapkan konfigurasi yang Anda inginkan secara terpusat untuk suatu skala tertentu Layanan AWS di seluruh organisasi. Setelah terpasang, konfigurasi selalu dipertahankan ketika layanan menambahkan fitur baru atau APIs. Gunakan kebijakan deklaratif untuk mencegah tindakan yang tidak patuh. Misalnya, Anda dapat memblokir akses internet publik ke sumber daya Amazon VPC di seluruh organisasi Anda.
Manfaat utama menggunakan kebijakan deklaratif adalah:
+ **Kemudahan penggunaan**: Anda dapat menerapkan konfigurasi dasar untuk Layanan AWS dengan beberapa pilihan di AWS Control Tower konsol AWS Organizations dan atau dengan beberapa perintah menggunakan &. AWS CLI AWS SDKs
+ **Tetapkan sekali dan lupakan**: Konfigurasi dasar untuk sebuah selalu Layanan AWS dipertahankan, bahkan ketika layanan memperkenalkan fitur baru atau. APIs Konfigurasi dasar juga dipertahankan ketika akun baru ditambahkan ke organisasi atau ketika prinsip dan sumber daya baru dibuat.
+ **Transparansi**: Laporan status akun memungkinkan Anda meninjau status saat ini dari semua atribut yang didukung oleh kebijakan deklaratif untuk cakupan akun. Anda juga dapat membuat pesan kesalahan yang dapat disesuaikan, yang dapat membantu administrator mengarahkan pengguna akhir ke halaman wiki internal atau memberikan pesan deskriptif yang dapat membantu pengguna akhir memahami mengapa suatu tindakan gagal.
Untuk daftar lengkap atribut Layanan AWS dan dukungan, lihat[Didukung Layanan AWS dan atribut](#orgs_manage_policies_declarative-supported-controls).
**Topics**
+ [Bagaimana kebijakan deklaratif bekerja](#orgs_manage_policies_declarative-how-work)
+ [Pesan kesalahan kustom](#orgs_manage_policies_declarative-custom-message)
+ [Laporan status akun](#orgs_manage_policies_declarative-account-status-report)
+ [Layanan yang didukung](#orgs_manage_policies_declarative-supported-controls)
+ [Memulai](orgs_manage_policies-declarative_getting-started.md)
+ [Praktik terbaik](orgs_manage_policies_declarative_best-practices.md)
+ [Menghasilkan laporan status akun](orgs_manage_policies_declarative_status-report.md)
+ [Sintaks kebijakan deklaratif dan contoh](orgs_manage_policies_declarative_syntax.md)
## Bagaimana kebijakan deklaratif bekerja
Kebijakan deklaratif diberlakukan di bidang kontrol layanan, yang merupakan perbedaan penting dari kebijakan [otorisasi seperti kebijakan kontrol layanan (SCPs) dan kebijakan kontrol sumber daya ()](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_authorization_policies.html). RCPs Sementara kebijakan otorisasi mengatur akses ke APIs, kebijakan deklaratif diterapkan langsung di tingkat layanan untuk menegakkan maksud tahan lama. Ini memastikan bahwa konfigurasi dasar selalu diberlakukan, bahkan ketika fitur baru atau APIs diperkenalkan oleh layanan.
Tabel berikut membantu menggambarkan perbedaan ini dan menyediakan beberapa kasus penggunaan.
****
| | Kebijakan kontrol layanan | Kebijakan kontrol sumber daya | Kebijakan deklaratif |
| --- | --- | --- | --- |
| Kenapa? | Untuk secara terpusat mendefinisikan dan menegakkan kontrol akses yang konsisten pada prinsipal (seperti pengguna IAM dan peran IAM) dalam skala besar. | Untuk secara terpusat mendefinisikan dan menegakkan kontrol akses yang konsisten pada sumber daya dalam skala | Untuk secara terpusat mendefinisikan dan menegakkan konfigurasi dasar untuk AWS layanan dalam skala besar. |
| Bagaimana? | Dengan mengontrol izin akses maksimum yang tersedia dari prinsipal pada tingkat API. | Dengan mengontrol izin akses maksimum yang tersedia untuk sumber daya pada tingkat API. | Dengan menerapkan konfigurasi yang diinginkan Layanan AWS tanpa menggunakan tindakan API. |
| Mengatur peran terkait layanan? | Tidak | Tidak | Ya |
| Mekanisme umpan balik | Akses yang tidak dapat disesuaikan menolak kesalahan SCP. | Akses yang tidak dapat disesuaikan menolak kesalahan RCP. | Pesan kesalahan yang dapat disesuaikan. Untuk informasi selengkapnya, lihat [Pesan kesalahan khusus untuk kebijakan deklaratif](#orgs_manage_policies_declarative-custom-message). |
| Contoh kebijakan | [Tolak akun anggota agar tidak meninggalkan organisasi](https://github.com/aws-samples/service-control-policy-examples/blob/main/Privileged-access-controls/Deny-member-accounts-from-leaving-your-AWS-organization.json) | [Batasi akses hanya ke koneksi HTTPS ke sumber daya Anda](https://github.com/aws-samples/resource-control-policy-examples/blob/main/Restrict-resource-access-patterns/Restrict-access-to-only-HTTPS-connections-to-your-resources.json) | [Pengaturan Gambar yang Diizinkan](orgs_manage_policies_declarative_syntax.md#declarative-policy-ec2-ami-allowed-images) |
Setelah Anda [membuat](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-declarative-policy-procedure) dan [melampirkan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html) kebijakan deklaratif, kebijakan tersebut diterapkan dan diberlakukan di seluruh organisasi Anda. Kebijakan deklaratif dapat diterapkan ke seluruh organisasi, unit organisasi (OUs), atau akun. Akun yang bergabung dengan organisasi akan secara otomatis mewarisi kebijakan deklaratif dalam organisasi. Untuk informasi selengkapnya, lihat [Memahami warisan kebijakan manajemen](orgs_manage_policies_inheritance_mgmt.md).
*Kebijakan yang efektif* adalah seperangkat aturan yang diwarisi dari akar organisasi dan OUs bersama dengan yang langsung dilampirkan ke akun. Kebijakan efektif menentukan seperangkat aturan akhir yang berlaku untuk akun. Untuk informasi selengkapnya, lihat [Melihat kebijakan manajemen yang efektif](orgs_manage_policies_effective.md).
Jika kebijakan deklaratif [terlepas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html), status atribut akan kembali ke status sebelumnya sebelum kebijakan deklaratif dilampirkan.
## Pesan kesalahan khusus untuk kebijakan deklaratif
Kebijakan deklaratif memungkinkan Anda membuat pesan kesalahan kustom. Misalnya, jika operasi API gagal karena kebijakan deklaratif, Anda dapat menyetel pesan kesalahan atau memberikan URL khusus, seperti tautan ke wiki internal atau tautan ke pesan yang menjelaskan kegagalan tersebut. Jika Anda tidak menentukan pesan kesalahan kustom, AWS Organizations berikan pesan galat default berikut:`Example: This action is denied due to an organizational policy in effect`.
Anda juga dapat mengaudit proses pembuatan kebijakan deklaratif, memperbarui kebijakan deklaratif, dan menghapus kebijakan deklaratif dengan. AWS CloudTrail CloudTrail dapat menandai kegagalan operasi API karena kebijakan deklaratif. Untuk informasi selengkapnya, lihat [Pencatatan dan pemantauan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_security_incident-response.html).
**penting**
Jangan sertakan *informasi identitas pribadi (PII)* atau informasi sensitif lainnya dalam pesan kesalahan khusus. PII mencakup informasi umum yang dapat digunakan untuk mengidentifikasi atau menemukan individu. Ini mencakup catatan seperti keuangan, medis, pendidikan, atau pekerjaan. Contoh PII termasuk alamat, nomor rekening bank, dan nomor telepon.
## Laporan status akun untuk kebijakan deklaratif
*Laporan status akun* memungkinkan Anda meninjau status saat ini dari semua atribut yang didukung oleh kebijakan deklaratif untuk cakupan akun. Anda dapat memilih akun dan unit organisasi (OUs) untuk disertakan dalam lingkup laporan, atau memilih seluruh organisasi dengan memilih root.
Laporan ini membantu Anda menilai kesiapan dengan memberikan rincian Wilayah dan jika status atribut saat ini *seragam di seluruh akun* (melalui`numberOfMatchedAccounts`) atau *tidak konsisten* (melalui). `numberOfUnmatchedAccounts` Anda juga dapat melihat *nilai yang paling sering*, yang merupakan nilai konfigurasi yang paling sering diamati untuk atribut.
Pada Gambar 1, ada laporan status akun yang dihasilkan, yang menunjukkan keseragaman di seluruh akun untuk atribut berikut: VPC Block Public Access dan Image Block Public Access. Ini berarti bahwa, untuk setiap atribut, semua akun dalam lingkup memiliki konfigurasi yang sama untuk atribut tersebut.
Laporan status akun yang dihasilkan menampilkan akun yang tidak konsisten untuk atribut berikut: Setelan Gambar yang Diizinkan, default Metadata Instans, Akses Konsol Serial, dan Akses Publik Blok Snapshot. Dalam contoh ini, setiap atribut dengan akun yang tidak konsisten adalah karena ada satu akun dengan nilai konfigurasi yang berbeda.
Jika ada nilai yang paling sering, yang ditampilkan di kolom masing-masing. Untuk informasi lebih rinci tentang apa yang dikontrol setiap atribut, lihat [Sintaks kebijakan deklaratif dan kebijakan contoh](orgs_manage_policies_declarative_syntax.md).
Anda juga dapat memperluas atribut untuk melihat rincian Wilayah. Dalam contoh ini, Image Block Public Access diperluas dan di setiap Wilayah, Anda dapat melihat bahwa ada juga keseragaman di seluruh akun.
Pilihan untuk melampirkan kebijakan deklaratif untuk menerapkan konfigurasi dasar bergantung pada kasus penggunaan spesifik Anda. Gunakan laporan status akun untuk membantu Anda menilai kesiapan Anda sebelum melampirkan kebijakan deklaratif.
Untuk informasi selengkapnya, lihat [Membuat laporan status akun](orgs_manage_policies_declarative_status-report.md).
![\[Contoh laporan status akun dengan keseragaman di seluruh akun untuk VPC Block Public Access dan Image Block Public Access\]](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/images/declarative-status-report.png)
*Gambar 1: Contoh laporan status akun dengan keseragaman di seluruh akun untuk VPC Block Public Access dan Image Block Public Access.*
## Didukung Layanan AWS dan atribut
### Atribut yang didukung untuk kebijakan deklaratif untuk EC2
Tabel berikut menampilkan atribut yang didukung untuk layanan terkait Amazon EC2.
**Kebijakan deklaratif untuk EC2**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/organizations/latest/userguide/orgs_manage_policies_declarative.html)
# Memulai dengan kebijakan deklaratif
Ikuti langkah-langkah ini untuk mulai menggunakan kebijakan deklaratif.
1. [Pelajari tentang izin yang harus Anda miliki untuk melakukan tugas kebijakan deklaratif](orgs_manage_policies_prereqs.md).
1. [Aktifkan kebijakan deklaratif untuk organisasi Anda](enable-policy-type.md).
**catatan**
**Diperlukan akses kepercayaan**
Anda harus mengaktifkan akses tepercaya untuk layanan di mana kebijakan deklaratif akan menerapkan konfigurasi dasar. Ini membuat peran terkait layanan hanya-baca yang digunakan untuk menghasilkan laporan status akun tentang konfigurasi yang ada untuk akun di seluruh organisasi Anda.
**Menggunakan konsol**
Jika Anda menggunakan konsol Organizations, langkah ini adalah bagian dari proses untuk mengaktifkan kebijakan deklaratif.
**Menggunakan AWS CLI**
Jika Anda menggunakan AWS CLI, ada dua yang terpisah APIs:
[EnablePolicyType](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnablePolicyType.html), yang Anda gunakan untuk mengaktifkan kebijakan deklaratif.
[Aktifkan AWSService Akses](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html), yang Anda gunakan untuk mengaktifkan akses tepercaya.
Untuk informasi selengkapnya tentang cara mengaktifkan akses tepercaya untuk layanan tertentu dengan AWS CLI lihat, [Layanan AWS yang dapat Anda gunakan AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html).
1. [Jalankan laporan status akun](orgs_manage_policies_declarative_status-report.md).
1. [Buat kebijakan deklaratif](orgs_policies_create.md).
1. [Lampirkan kebijakan deklaratif ke root, OU, atau akun organisasi Anda](orgs_policies_attach.md).
1. [Lihat kebijakan deklaratif efektif gabungan yang berlaku untuk akun](orgs_manage_policies_effective.md).
Untuk semua langkah-langkah ini, Anda masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root ([tidak disarankan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) di akun manajemen organisasi.
**Informasi lainnya**
+ [Pelajari sintaks kebijakan deklaratif dan lihat contoh kebijakan](orgs_manage_policies_declarative_syntax.md)
# Praktik terbaik untuk menggunakan kebijakan deklaratif
AWS merekomendasikan praktik terbaik berikut untuk menggunakan kebijakan deklaratif.
## Penilaian kesiapan leverage
Gunakan *laporan status akun kebijakan deklaratif untuk menilai status* saat ini dari semua atribut yang didukung oleh kebijakan deklaratif untuk cakupan akun. Anda dapat memilih akun dan unit organisasi (OUs) untuk disertakan dalam lingkup laporan, atau memilih seluruh organisasi dengan memilih root.
Laporan ini membantu Anda menilai kesiapan dengan memberikan rincian Wilayah dan jika status atribut saat ini *seragam di seluruh akun* (melalui`numberOfMatchedAccounts`) atau *tidak konsisten* (melalui). `numberOfUnmatchedAccounts` Anda juga dapat melihat *nilai yang paling sering*, yang merupakan nilai konfigurasi yang paling sering diamati untuk atribut.
Pilihan untuk melampirkan kebijakan deklaratif untuk menerapkan konfigurasi dasar bergantung pada kasus penggunaan spesifik Anda.
Untuk informasi lebih lanjut dan contoh ilustratif, lihat[Laporan status akun untuk kebijakan deklaratif](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-account-status-report).
## Mulai dari yang kecil dan kemudian skala
Untuk menyederhanakan debugging, mulailah dengan kebijakan pengujian. Validasi perilaku dan dampak dari setiap perubahan sebelum membuat perubahan berikutnya. Pendekatan ini mengurangi jumlah variabel yang harus Anda perhitungkan ketika kesalahan atau hasil yang tidak terduga terjadi.
Misalnya, Anda dapat memulai dengan kebijakan pengujian yang dilampirkan ke satu akun di lingkungan pengujian nonkritis. Setelah Anda mengonfirmasi bahwa itu sesuai dengan spesifikasi Anda, Anda kemudian dapat secara bertahap memindahkan kebijakan ke struktur organisasi ke lebih banyak akun dan lebih banyak unit organisasi (OUs).
## Menetapkan proses peninjauan
Menerapkan proses untuk memantau atribut deklaratif baru, mengevaluasi pengecualian kebijakan, dan membuat penyesuaian untuk menjaga keselarasan dengan keamanan organisasi dan persyaratan operasional Anda.
## Validasi perubahan menggunakan `DescribeEffectivePolicy`
Setelah Anda membuat perubahan pada kebijakan deklaratif, periksa kebijakan efektif untuk akun perwakilan di bawah tingkat di mana Anda membuat perubahan. Anda dapat [melihat kebijakan efektif dengan menggunakan Konsol Manajemen AWS](orgs_manage_policies_effective.md), atau dengan menggunakan operasi [DescribeEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeEffectivePolicy.html)API atau salah satu varian AWS CLI atau AWS SDK. Pastikan bahwa perubahan yang Anda buat memiliki dampak yang diinginkan pada kebijakan efektif.
## Berkomunikasi dan melatih
Pastikan organisasi Anda memahami tujuan dan dampak kebijakan deklaratif Anda. Memberikan panduan yang jelas tentang perilaku yang diharapkan dan bagaimana menangani kegagalan karena penegakan kebijakan.
# Membuat laporan status akun untuk kebijakan deklaratif
*Laporan status akun* memungkinkan Anda meninjau status saat ini dari semua atribut yang didukung oleh kebijakan deklaratif untuk cakupan akun. Anda dapat memilih akun dan unit organisasi (OUs) untuk disertakan dalam lingkup laporan, atau memilih seluruh organisasi dengan memilih root.
Laporan ini membantu Anda menilai kesiapan dengan memberikan rincian Wilayah dan jika status atribut saat ini *seragam di seluruh akun* (melalui`numberOfMatchedAccounts`) atau *tidak konsisten* (melalui). `numberOfUnmatchedAccounts` Anda juga dapat melihat *nilai yang paling sering*, yang merupakan nilai konfigurasi yang paling sering diamati untuk atribut.
Pilihan untuk melampirkan kebijakan deklaratif untuk menerapkan konfigurasi dasar bergantung pada kasus penggunaan spesifik Anda.
Untuk informasi lebih lanjut dan contoh ilustratif, lihat[Laporan status akun untuk kebijakan deklaratif](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-account-status-report).
## Prasyarat
Sebelum Anda dapat membuat laporan status akun, Anda harus melakukan langkah-langkah berikut
1. `StartDeclarativePoliciesReport`API hanya dapat dipanggil oleh akun manajemen atau administrator yang didelegasikan untuk organisasi.
1. Anda harus memiliki bucket S3 sebelum membuat laporan (buat yang baru atau gunakan yang sudah ada), harus berada di Wilayah yang sama di mana permintaan dibuat, dan harus memiliki kebijakan bucket S3 yang sesuai. Untuk contoh kebijakan S3, lihat *Contoh kebijakan Amazon S3* [di bawah Contoh di](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartDeclarativePoliciesReport.html#API_StartDeclarativePoliciesReport_Examples) Referensi API Amazon *EC2*
1. Anda harus mengaktifkan akses tepercaya untuk layanan di mana kebijakan deklaratif akan menerapkan konfigurasi dasar. Ini membuat peran terkait layanan hanya-baca yang digunakan untuk menghasilkan laporan status akun tentang konfigurasi yang ada untuk akun di seluruh organisasi Anda.
**Menggunakan konsol**
Untuk konsol Organizations, langkah ini merupakan bagian dari proses untuk mengaktifkan kebijakan deklaratif.
**Menggunakan AWS CLI**
Untuk itu AWS CLI, gunakan [Enable AWSService Access](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) API.
Untuk informasi selengkapnya tentang cara mengaktifkan akses tepercaya untuk layanan tertentu dengan AWS CLI lihat, [Layanan AWS yang dapat Anda gunakan AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html).
1. Hanya satu laporan per organisasi yang dapat dihasilkan dalam satu waktu. Mencoba menghasilkan laporan sementara yang lain sedang berlangsung akan menghasilkan kesalahan.
## Akses laporan status kepatuhan
**Izin minimum**
Untuk membuat laporan status kepatuhan, Anda memerlukan izin untuk menjalankan tindakan berikut:
`ec2:StartDeclarativePoliciesReport`
`ec2:DescribeDeclarativePoliciesReports`
`ec2:GetDeclarativePoliciesReportSummary`
`ec2:CancelDeclarativePoliciesReport`
`organizations:DescribeAccount`
`organizations:DescribeOrganization`
`organizations:DescribeOrganizationalUnit`
`organizations:ListAccounts`
`organizations:ListDelegatedAdministrators`
`organizations:ListAWSServiceAccessForOrganization`
`s3:PutObject`
**catatan**
Jika bucket Amazon S3 Anda menggunakan enkripsi SSE-KMS, Anda juga harus menyertakan izin tersebut dalam `kms:GenerateDataKey` kebijakan.
------
#### [ Konsol Manajemen AWS ]
Gunakan prosedur berikut untuk membuat laporan status akun.
**Untuk membuat laporan status akun**
1. Masuk ke [konsol AWS Organizations](https://console.aws.amazon.com/organizations/v2). Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root ([tidak direkomendasikan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) di akun pengelolaan organisasi.
1. Pada halaman **Kebijakan**, pilih **Kebijakan deklaratif untuk EC2**.
1. Pada halaman **Kebijakan deklaratif untuk EC2**, pilih **Lihat laporan status akun** dari menu tarik-turun **Tindakan**.
1. Pada halaman **Lihat laporan status akun**, pilih **Buat laporan status**.
1. Di widget **Struktur organisasi**, tentukan unit organisasi (OUs) mana yang ingin Anda sertakan dalam laporan.
1. Pilih **Kirim**.
------
#### [ AWS CLI & AWS SDKs ]
**Untuk membuat laporan status akun**
Gunakan operasi berikut untuk membuat laporan status kepatuhan, memeriksa statusnya, dan melihat laporan:
+ `ec2:start-declarative-policies-report`: Menghasilkan laporan status akun. Laporan dibuat secara asinkron, dan dapat memakan waktu beberapa jam untuk menyelesaikannya. Untuk informasi selengkapnya, lihat [StartDeclarativePoliciesReport](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartDeclarativePoliciesReport.html) dalam *Referensi API Amazon EC2*.
+ `ec2:describe-declarative-policies-report`: Menjelaskan metadata laporan status akun, termasuk status laporan. Untuk informasi selengkapnya, lihat [DescribeDeclarativePoliciesReports](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeDeclarativePoliciesReports.html) dalam *Referensi API Amazon EC2*.
+ `ec2:get-declarative-policies-report-summary`: Mengambil ringkasan laporan status akun. Untuk informasi selengkapnya, lihat [GetDeclarativePoliciesReportSummary](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetDeclarativePoliciesReportSummary.html) dalam *Referensi API Amazon EC2*.
+ `ec2:cancel-declarative-policies-report`: Membatalkan pembuatan laporan status akun. Untuk informasi selengkapnya, lihat [CancelDeclarativePoliciesReport](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CancelDeclarativePoliciesReport.html) dalam *Referensi API Amazon EC2*.
Sebelum membuat laporan, berikan akses utama kebijakan deklaratif EC2 ke bucket Amazon S3 tempat laporan akan disimpan. Untuk melakukan ini, lampirkan kebijakan berikut ke ember. Ganti `amzn-s3-demo-bucket` dengan nama bucket Amazon S3 Anda yang sebenarnya, dan `identity_ARN` dengan identitas IAM yang digunakan untuk memanggil API. `StartDeclarativePoliciesReport`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DeclarativePoliciesReportDelivery",
"Effect": "Allow",
"Principal": {
"AWS": "identity_ARN"
},
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "organizations.amazonaws.com"
}
}
}
]
}
```
------
------
# Sintaks kebijakan deklaratif dan contoh
Halaman ini menjelaskan sintaks kebijakan deklaratif dan memberikan contoh.
## Pertimbangan-pertimbangan
+ Saat Anda mengonfigurasi atribut layanan menggunakan kebijakan deklaratif, itu mungkin berdampak pada beberapa APIs atribut. Setiap tindakan yang tidak patuh akan gagal.
+ Administrator akun tidak akan dapat mengubah nilai atribut layanan di tingkat akun individu.
## Sintaks untuk kebijakan deklaratif
[Kebijakan deklaratif adalah file plaintext yang terstruktur sesuai dengan aturan JSON.](http://json.org) Sintaks untuk kebijakan deklaratif mengikuti sintaks untuk semua jenis kebijakan manajemen. Untuk pembahasan lengkap tentang sintaksis itu, lihat [Sintaksis kebijakan dan warisan untuk jenis kebijakan pengelolaan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_mgmt.html). Topik ini berfokus pada penerapan sintaks umum tersebut ke persyaratan spesifik dari jenis kebijakan deklaratif.
Contoh berikut menunjukkan sintaks kebijakan deklaratif dasar:
```
{
"ec2_attributes": {
"exception_message": {
"@@assign": "Your custom error message.https://myURL"
}
}
}
```
+ Nama kunci bidang `ec2_attributes`. Kebijakan deklaratif selalu dimulai dengan nama kunci tetap untuk yang diberikan Layanan AWS. Ini adalah baris teratas dalam contoh kebijakan di atas. Saat ini kebijakan deklaratif hanya mendukung layanan terkait Amazon EC2.
+ Di bawah`ec2_attributes`, Anda dapat menggunakan `exception_message` untuk mengatur pesan kesalahan kustom. Untuk selengkapnya, lihat [Pesan galat khusus untuk kebijakan deklaratif](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-custom-message).
+ Di bawah`ec2_attributes`, Anda dapat menyisipkan satu atau beberapa kebijakan deklaratif yang didukung. Untuk skema itu, lihat[Kebijakan deklaratif yang didukung](#declarative-policy-examples).
## Kebijakan deklaratif yang didukung
Berikut ini adalah Layanan AWS dan atribut yang didukung kebijakan deklaratif. Dalam beberapa contoh berikut, format spasi kosong JSON mungkin dikompresi untuk menghemat ruang.
+ VPC Blokir Akses Publik
+ Akses Konsol Serial
+ Blok Gambar Akses Publik
+ Pengaturan Gambar yang Diizinkan
+ Metadata Instance
+ Snapshot Memblokir Akses Publik
------
#### [ VPC Block Public Access ]
**Efek kebijakan**
Mengontrol apakah sumber daya di Amazon VPCs dan subnet dapat mencapai internet melalui gateway internet (). IGWs Untuk informasi selengkapnya, lihat [Konfigurasi untuk akses internet](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-igw-internet-access.html) di *Panduan Pengguna Amazon Virtual Private Cloud*.
**Isi kebijakan**
```
{
"ec2_attributes": {
"vpc_block_public_access": {
"internet_gateway_block": {
"mode": {
"@@assign": "block_ingress"
},
"exclusions_allowed": {
"@@assign": "enabled"
}
}
}
}
}
```
Berikut ini adalah bidang yang tersedia untuk atribut ini:
+ `"internet_gateway"`:
+ `"mode"`:
+ `"off"`: VPC BPA tidak diaktifkan.
+ `"block_ingress"`: Semua lalu lintas internet ke VPCs (kecuali untuk VPCs atau subnet yang dikecualikan) diblokir. Hanya lalu lintas ke dan dari gateway NAT dan gateway internet khusus egres yang diizinkan karena gateway ini hanya memungkinkan koneksi keluar dibuat.
+ `"block_bidirectional"`Semua lalu lintas ke dan dari gateway internet dan gateway internet khusus egres (kecuali untuk dikecualikan dan subnet) diblokir. VPCs
+ `"exclusions_allowed"`Pengecualian adalah mode yang dapat diterapkan ke satu VPC atau subnet yang mengecualikannya dari mode VPC BPA akun dan akan memungkinkan akses dua arah atau egress-only.
+ `"enabled"`: Pengecualian dapat dibuat oleh akun.
+ `"disabled"`: Pengecualian tidak dapat dibuat oleh akun.
**catatan**
Anda dapat menggunakan atribut untuk mengonfigurasi jika pengecualian diizinkan, tetapi Anda tidak dapat membuat pengecualian dengan atribut ini sendiri. Untuk membuat pengecualian, Anda harus membuatnya di akun yang memiliki VPC. Untuk informasi selengkapnya tentang membuat pengecualian BPA VPC, lihat [Membuat dan menghapus pengecualian](https://docs.aws.amazon.com//vpc/latest/userguide/security-vpc-bpa.html#security-vpc-bpa-exclusions) di Panduan Pengguna *Amazon* VPC.
**Pertimbangan-pertimbangan**
Jika Anda menggunakan atribut ini dalam kebijakan deklaratif, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diterapkan untuk akun dalam cakupan. Daftar ini tidak lengkap:
+ `ModifyVpcBlockPublicAccessOptions`
+ `CreateVpcBlockPublicAccessExclusion`
+ `ModifyVpcBlockPublicAccessExclusion`
------
#### [ Serial Console Access ]
**Efek kebijakan**
Kontrol jika konsol serial EC2 dapat diakses. Untuk informasi selengkapnya tentang konsol serial EC2, lihat Konsol [Serial EC2 di Panduan Pengguna](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-serial-console.html) *Amazon Elastic Compute Cloud*.
**Isi kebijakan**
```
{
"ec2_attributes": {
"serial_console_access": {
"status": {
"@@assign": "enabled"
}
}
}
}
```
Berikut ini adalah bidang yang tersedia untuk atribut ini:
+ `"status"`:
+ `"enabled"`: Akses konsol serial EC2 diizinkan.
+ `"disabled"`: Akses konsol serial EC2 diblokir.
**Pertimbangan-pertimbangan**
Jika Anda menggunakan atribut ini dalam kebijakan deklaratif, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diterapkan untuk akun dalam cakupan. Daftar ini tidak lengkap:
+ `EnableSerialConsoleAccess`
+ `DisableSerialConsoleAccess`
------
#### [ Image Block Public Access ]
**Efek kebijakan**
Mengontrol jika Amazon Machine Images (AMIs) dapat dibagikan secara publik. Untuk informasi selengkapnya AMIs, lihat [Amazon Machine Images (AMIs)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) di *Panduan Pengguna Amazon Elastic Compute Cloud*.
**Isi kebijakan**
```
{
"ec2_attributes": {
"image_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Berikut ini adalah bidang yang tersedia untuk atribut ini:
+ `"state"`:
+ `"unblocked"`: Tidak ada batasan pada berbagi publik AMIs.
+ `"block_new_sharing"`: Memblokir berbagi publik baru dari AMIs. AMIs yang sudah dibagikan secara publik tetap tersedia untuk umum.
**Pertimbangan-pertimbangan**
Jika Anda menggunakan atribut ini dalam kebijakan deklaratif, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diterapkan untuk akun dalam cakupan. Daftar ini tidak lengkap:
+ `EnableImageBlockPublicAccess`
+ `DisableImageBlockPublicAccess`
------
#### [ Allowed Images Settings ]
**Efek kebijakan**
Mengontrol penemuan dan penggunaan Gambar Mesin Amazon (AMI) di Amazon EC2 dengan Diizinkan. AMIs Untuk informasi selengkapnya AMIs, lihat [Mengontrol penemuan dan penggunaan AMI di Amazon EC2 dengan Diizinkan AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-allowed-amis.html) di Panduan Pengguna *Amazon Elastic Compute Cloud*.
**Isi kebijakan**
Berikut ini adalah bidang yang tersedia untuk atribut ini:
```
{
"ec2_attributes": {
"allowed_images_settings": {
"state": {
"@@assign": "enabled"
},
"image_criteria": {
"criteria_1": {
"allowed_image_providers": {
"@@append": [
"amazon"
]
}
}
}
}
}
}
```
+ `"state"`:
+ `"enabled"`: Atribut aktif dan ditegakkan.
+ `"disabled"`: Atribut tidak aktif dan tidak ditegakkan.
+ `"audit_mode"`: Atribut dalam mode audit. Ini berarti akan mengidentifikasi gambar yang tidak sesuai tetapi tidak memblokir penggunaannya.
+ `"image_criteria"`: Daftar kriteria. Support hingga 10 kriteria dengan nama dari criteria\$11 hingga criteria\$110
+ `"allowed_image_providers"`: Daftar 12 digit akun IDs atau alias pemilik amazon, aws\$1marketplace, aws\$1backup\$1vault yang dipisahkan koma.
+ `"image_names"`: Nama-nama gambar yang diizinkan. Nama dapat mencakup wildcard (? dan \$1). Panjang: 1—128 karakter. Dengan? , minimum adalah 3 karakter.
+ `"marketplace_product_codes"`: Kode produk AWS Marketplace untuk gambar yang diizinkan. Panjang: 1-25 karakter Karakter yang valid: Huruf (A—Z, a-z) dan angka (0-9)
+ `"creation_date_condition"`: Usia maksimum untuk gambar yang diizinkan.
+ `"maximum_days_since_created"`: Jumlah maksimum hari yang telah berlalu sejak gambar dibuat. Rentang yang Valid: Nilai minimum 0. Nilai maksimum 2147483647.
+ `"deprecation_time_condition"`: Periode maksimum sejak penghentian untuk gambar yang diizinkan.
+ `"maximum_days_since_deprecated"`: Jumlah maksimum hari yang telah berlalu sejak gambar tidak digunakan lagi. Rentang yang Valid: Nilai minimum 0. Nilai maksimum 2147483647.
**Pertimbangan-pertimbangan**
Jika Anda menggunakan atribut ini dalam kebijakan deklaratif, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diterapkan untuk akun dalam cakupan. Daftar ini tidak lengkap:
+ `EnableAllowedImagesSettings`
+ `ReplaceImageCriteriaInAllowedImagesSettings`
+ `DisableAllowedImagesSettings`
------
#### [ Instance Metadata ]
**Efek kebijakan**
Mengontrol default IMDS dan penegakan ImDSv2 untuk semua peluncuran instans EC2 baru. *Untuk informasi selengkapnya tentang default dan IMDSv2 penegakan IMDS, lihat [Menggunakan metadata instans untuk mengelola instans EC2 Anda di Panduan Pengguna Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) EC2.*
**Isi kebijakan**
Berikut ini adalah bidang yang tersedia untuk atribut ini:
```
{
"ec2_attributes": {
"instance_metadata_defaults": {
"http_tokens": {
"@@assign": "required"
},
"http_put_response_hop_limit": {
"@@assign": "4"
},
"http_endpoint": {
"@@assign": "enabled"
},
"instance_metadata_tags": {
"@@assign": "enabled"
},
"http_tokens_enforced": {
"@@assign": "enabled"
}
}
}
}
```
+ `"http_tokens"`:
+ `"no_preference"`: Default lainnya berlaku. Misalnya, AMI default jika berlaku.
+ `"required"`: IMDSv2 harus digunakan. IMDSv1 tidak diperbolehkan.
+ `"optional"`: Keduanya IMDSv1 dan IMDSv2 diizinkan.
**catatan**
**Versi metadata**
Sebelum menyetel `http_tokens` ke `required` (IMDSv2 harus digunakan), pastikan tidak ada instans Anda yang melakukan IMDSv1 panggilan. Untuk informasi selengkapnya, lihat [Langkah 1: Mengidentifikasi instans dengan IMDSv1 penggunaan IMDSv2 =opsional dan audit](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#path-step-1) di Panduan Pengguna *Amazon EC2*.
+ `"http_put_response_hop_limit"`:
+ `"Integer"`: Nilai integer dari -1 hingga 64, mewakili jumlah hop maksimum yang dapat ditempuh oleh token metadata. Untuk menunjukkan tidak ada preferensi, tentukan -1.
**catatan**
**Batas hop**
Jika `http_tokens` diatur ke`required`, disarankan untuk mengatur `http_put_response_hop_limit` ke minimal 2. Untuk informasi selengkapnya, lihat [Pertimbangan akses metadata instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-data-retrieval.html#imds-considerations) di Panduan Pengguna *Amazon Elastic Compute Cloud*.
+ `"http_endpoint"`:
+ `"no_preference"`: Default lainnya berlaku. Misalnya, AMI default jika berlaku.
+ `"enabled"`: Titik akhir layanan metadata instance dapat diakses.
+ `"disabled"`: Titik akhir layanan metadata instance tidak dapat diakses.
+ `"instance_metadata_tags"`:
+ `"no_preference"`: Default lainnya berlaku. Misalnya, AMI default jika berlaku.
+ `"enabled"`: Tag Instance dapat diakses dari metadata instance.
+ `"disabled"`: Tag instance tidak dapat diakses dari metadata instance.
+ `"http_tokens_enforced":`
+ `"no_preference"`: Default lainnya berlaku. Misalnya, AMI default jika berlaku.
+ `"enabled"`: IMDSv2 harus digunakan. Upaya untuk meluncurkan IMDSv1 instance atau IMDSv1 mengaktifkan instance yang ada akan gagal.
+ `"disabled"`: Keduanya IMDSv1 dan IMDSv2 diizinkan.
**Awas**
**IMDSv2 penegakan**
Mengaktifkan IMDSv2 penegakan hukum saat mengizinkan IMDSv1 dan IMDSv2 (token opsional) akan menyebabkan kegagalan peluncuran, kecuali dinonaktifkan IMDSv1 secara eksplisit, baik melalui parameter peluncuran atau default AMI. Untuk informasi selengkapnya, lihat [Meluncurkan instans IMDSv1 berkemampuan -gagal](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/troubleshooting-launch.html#launching-an-imdsv1-enabled-instance-fails) di Panduan *Pengguna Amazon EC2*.
------
#### [ Snapshot Block Public Access ]
**Efek kebijakan**
Kontrol jika snapshot Amazon EBS dapat diakses publik. Untuk informasi selengkapnya tentang snapshot EBS, lihat snapshot [Amazon EBS di Panduan Pengguna](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html) *Amazon Elastic Block Store*.
**Isi kebijakan**
```
{
"ec2_attributes": {
"snapshot_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Berikut ini adalah bidang yang tersedia untuk atribut ini:
+ `"state"`:
+ `"block_all_sharing"`: Memblokir semua berbagi foto secara publik. Snapshot yang sudah dibagikan secara publik diperlakukan sebagai pribadi dan tidak lagi tersedia untuk umum.
+ `"block_new_sharing"`: Memblokir berbagi snapshot publik baru. Snapshot yang sudah dibagikan secara publik tetap tersedia untuk umum.
+ `"unblocked"`: Tidak ada batasan pada berbagi foto secara publik.
**Pertimbangan-pertimbangan**
Jika Anda menggunakan atribut ini dalam kebijakan deklaratif, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diterapkan untuk akun dalam cakupan. Daftar ini tidak lengkap:
+ `EnableSnapshotBlockPublicAccess`
+ `DisableSnapshotBlockPublicAccess`
------