Sintaks kebijakan deklaratif dan contoh - AWS Organizations
Pertimbangan-pertimbanganSintaks untuk kebijakan deklaratifKebijakan deklaratif yang didukung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sintaks kebijakan deklaratif dan contoh

Halaman ini menjelaskan sintaks kebijakan deklaratif dan memberikan contoh.

Pertimbangan-pertimbangan

  • Saat Anda mengonfigurasi atribut layanan menggunakan kebijakan deklaratif, itu mungkin berdampak pada beberapa APIs atribut. Setiap tindakan yang tidak patuh akan gagal.

  • Administrator akun tidak akan dapat mengubah nilai atribut layanan di tingkat akun individu.

Sintaks untuk kebijakan deklaratif

Kebijakan deklaratif adalah file plaintext yang terstruktur sesuai dengan aturan JSON. Sintaks untuk kebijakan deklaratif mengikuti sintaks untuk semua jenis kebijakan manajemen. Untuk pembahasan lengkap tentang sintaksis itu, lihat Sintaksis kebijakan dan warisan untuk jenis kebijakan pengelolaan. Topik ini berfokus pada penerapan sintaks umum tersebut ke persyaratan spesifik dari jenis kebijakan deklaratif.

Contoh berikut menunjukkan sintaks kebijakan deklaratif dasar:

{
  "ec2_attributes": {
    "exception_message": {
      "@@assign": "Your custom error message.https://myURL"
    }
  }
}

  • Nama kunci bidang ec2_attributes. Kebijakan deklaratif selalu dimulai dengan nama kunci tetap untuk yang diberikan Layanan AWS. Ini adalah baris teratas dalam contoh kebijakan di atas. Saat ini kebijakan deklaratif hanya mendukung layanan terkait Amazon EC2.

  • Di bawahec2_attributes, Anda dapat menggunakan exception_message untuk mengatur pesan kesalahan kustom. Untuk selengkapnya, lihat Pesan galat khusus untuk kebijakan deklaratif.

  • Di bawahec2_attributes, Anda dapat menyisipkan satu atau beberapa kebijakan deklaratif yang didukung. Untuk skema itu, lihatKebijakan deklaratif yang didukung.

Kebijakan deklaratif yang didukung

Berikut ini adalah Layanan AWS dan atribut yang didukung kebijakan deklaratif. Dalam beberapa contoh berikut, format spasi kosong JSON mungkin dikompresi untuk menghemat ruang.

  • VPC Blokir Akses Publik

  • Akses Konsol Serial

  • Blok Gambar Akses Publik

  • Pengaturan Gambar yang Diizinkan

  • Metadata Instance

  • Snapshot Memblokir Akses Publik

VPC Block Public Access

Efek kebijakan

Mengontrol apakah sumber daya di Amazon VPCs dan subnet dapat mencapai internet melalui gateway internet (). IGWs Untuk informasi selengkapnya, lihat Konfigurasi untuk akses internet di Panduan Pengguna Amazon Virtual Private Cloud.

Isi kebijakan

{
  "ec2_attributes": {
    "vpc_block_public_access": {
      "internet_gateway_block": {
        "mode": {
          "@@assign": "block_ingress"
        },
        "exclusions_allowed": {
          "@@assign": "enabled"
        }
      }
    }
  }
}

Berikut ini adalah bidang yang tersedia untuk atribut ini:

  • "internet_gateway":

    • "mode":

      • "off": VPC BPA tidak diaktifkan.

      • "block_ingress": Semua lalu lintas internet ke VPCs (kecuali untuk VPCs atau subnet yang dikecualikan) diblokir. Hanya lalu lintas ke dan dari gateway NAT dan gateway internet khusus egres yang diizinkan karena gateway ini hanya memungkinkan koneksi keluar dibuat.

      • "block_bidirectional"Semua lalu lintas ke dan dari gateway internet dan gateway internet khusus egres (kecuali untuk dikecualikan dan subnet) diblokir. VPCs

  • "exclusions_allowed"Pengecualian adalah mode yang dapat diterapkan ke satu VPC atau subnet yang mengecualikannya dari mode VPC BPA akun dan akan memungkinkan akses dua arah atau egress-only.

    • "enabled": Pengecualian dapat dibuat oleh akun.

    • "disabled": Pengecualian tidak dapat dibuat oleh akun.

    catatan

    Anda dapat menggunakan atribut untuk mengonfigurasi jika pengecualian diizinkan, tetapi Anda tidak dapat membuat pengecualian dengan atribut ini sendiri. Untuk membuat pengecualian, Anda harus membuatnya di akun yang memiliki VPC. Untuk informasi selengkapnya tentang membuat pengecualian BPA VPC, lihat Membuat dan menghapus pengecualian di Panduan Pengguna Amazon VPC.

Pertimbangan-pertimbangan

Jika Anda menggunakan atribut ini dalam kebijakan deklaratif, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diterapkan untuk akun dalam cakupan. Daftar ini tidak lengkap:

  • ModifyVpcBlockPublicAccessOptions

  • CreateVpcBlockPublicAccessExclusion

  • ModifyVpcBlockPublicAccessExclusion

Serial Console Access

Efek kebijakan

Kontrol jika konsol serial EC2 dapat diakses. Untuk informasi selengkapnya tentang konsol serial EC2, lihat Konsol Serial EC2 di Panduan Pengguna Amazon Elastic Compute Cloud.

Isi kebijakan

{
  "ec2_attributes": {
    "serial_console_access": {
      "status": {
        "@@assign": "enabled"
      }
    }
  }
}

Berikut ini adalah bidang yang tersedia untuk atribut ini:

  • "status":

    • "enabled": Akses konsol serial EC2 diizinkan.

    • "disabled": Akses konsol serial EC2 diblokir.

Pertimbangan-pertimbangan

Jika Anda menggunakan atribut ini dalam kebijakan deklaratif, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diterapkan untuk akun dalam cakupan. Daftar ini tidak lengkap:

  • EnableSerialConsoleAccess

  • DisableSerialConsoleAccess

Image Block Public Access

Efek kebijakan

Mengontrol jika Amazon Machine Images (AMIs) dapat dibagikan secara publik. Untuk informasi selengkapnya AMIs, lihat Amazon Machine Images (AMIs) di Panduan Pengguna Amazon Elastic Compute Cloud.

Isi kebijakan

{
  "ec2_attributes": {
    "image_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

Berikut ini adalah bidang yang tersedia untuk atribut ini:

  • "state":

    • "unblocked": Tidak ada batasan pada berbagi publik AMIs.

    • "block_new_sharing": Memblokir berbagi publik baru dari AMIs. AMIs yang sudah dibagikan secara publik tetap tersedia untuk umum.

Pertimbangan-pertimbangan

Jika Anda menggunakan atribut ini dalam kebijakan deklaratif, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diterapkan untuk akun dalam cakupan. Daftar ini tidak lengkap:

  • EnableImageBlockPublicAccess

  • DisableImageBlockPublicAccess

Allowed Images Settings

Efek kebijakan

Mengontrol penemuan dan penggunaan Gambar Mesin Amazon (AMI) di Amazon EC2 dengan Diizinkan. AMIs Untuk informasi selengkapnya AMIs, lihat Mengontrol penemuan dan penggunaan AMI di Amazon EC2 dengan Diizinkan AMIs di Panduan Pengguna Amazon Elastic Compute Cloud.

Isi kebijakan

Berikut ini adalah bidang yang tersedia untuk atribut ini:

{
  "ec2_attributes": {
    "allowed_images_settings": {
      "state": {
        "@@assign": "enabled"
      },
      "image_criteria": {
        "criteria_1": {
          "allowed_image_providers": {
            "@@append": [
              "amazon"
            ]
          }
        }
      }
    }
  }
}

  • "state":

    • "enabled": Atribut aktif dan ditegakkan.

    • "disabled": Atribut tidak aktif dan tidak ditegakkan.

    • "audit_mode": Atribut dalam mode audit. Ini berarti akan mengidentifikasi gambar yang tidak sesuai tetapi tidak memblokir penggunaannya.

  • "image_criteria": Daftar kriteria. Support hingga 10 kriteria dengan nama dari criteria_1 hingga criteria_10

    • "allowed_image_providers": Daftar 12 digit akun IDs atau alias pemilik amazon, aws_marketplace, aws_backup_vault yang dipisahkan koma.

    • "image_names": Nama-nama gambar yang diizinkan. Nama dapat mencakup wildcard (? dan *). Panjang: 1—128 karakter. Dengan? , minimum adalah 3 karakter.

    • "marketplace_product_codes": Kode produk AWS Marketplace untuk gambar yang diizinkan. Panjang: 1-25 karakter Karakter yang valid: Huruf (A—Z, a-z) dan angka (0-9)

    • "creation_date_condition": Usia maksimum untuk gambar yang diizinkan.

      • "maximum_days_since_created": Jumlah maksimum hari yang telah berlalu sejak gambar dibuat. Rentang yang Valid: Nilai minimum 0. Nilai maksimum 2147483647.

    • "deprecation_time_condition": Periode maksimum sejak penghentian untuk gambar yang diizinkan.

      • "maximum_days_since_deprecated": Jumlah maksimum hari yang telah berlalu sejak gambar tidak digunakan lagi. Rentang yang Valid: Nilai minimum 0. Nilai maksimum 2147483647.

Pertimbangan-pertimbangan

Jika Anda menggunakan atribut ini dalam kebijakan deklaratif, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diterapkan untuk akun dalam cakupan. Daftar ini tidak lengkap:

  • EnableAllowedImagesSettings

  • ReplaceImageCriteriaInAllowedImagesSettings

  • DisableAllowedImagesSettings

Instance Metadata

Efek kebijakan

Mengontrol default IMDS dan penegakan ImDSv2 untuk semua peluncuran instans EC2 baru. Untuk informasi selengkapnya tentang default dan IMDSv2 penegakan IMDS, lihat Menggunakan metadata instans untuk mengelola instans EC2 Anda di Panduan Pengguna Amazon EC2.

Isi kebijakan

Berikut ini adalah bidang yang tersedia untuk atribut ini:

{
  "ec2_attributes": {
    "instance_metadata_defaults": {
      "http_tokens": {
        "@@assign": "required"
      },
      "http_put_response_hop_limit": {
        "@@assign": "4"
      },
      "http_endpoint": {
        "@@assign": "enabled"
      },
      "instance_metadata_tags": {
        "@@assign": "enabled"
      },
      "http_tokens_enforced": {
        "@@assign": "enabled"
      }
    }
  }
}

  • "http_tokens":

    • "no_preference": Default lainnya berlaku. Misalnya, AMI default jika berlaku.

    • "required": IMDSv2 harus digunakan. IMDSv1 tidak diperbolehkan.

    • "optional": Keduanya IMDSv1 dan IMDSv2 diizinkan.

    catatan

    Versi metadata

    Sebelum menyetel http_tokens ke required (IMDSv2 harus digunakan), pastikan tidak ada instans Anda yang melakukan IMDSv1 panggilan. Untuk informasi selengkapnya, lihat Langkah 1: Mengidentifikasi instans dengan IMDSv1 penggunaan IMDSv2 =opsional dan audit di Panduan Pengguna Amazon EC2.

  • "http_put_response_hop_limit":

    • "Integer": Nilai integer dari -1 hingga 64, mewakili jumlah hop maksimum yang dapat ditempuh oleh token metadata. Untuk menunjukkan tidak ada preferensi, tentukan -1.

    catatan

    Batas hop

    Jika http_tokens diatur kerequired, disarankan untuk mengatur http_put_response_hop_limit ke minimal 2. Untuk informasi selengkapnya, lihat Pertimbangan akses metadata instans di Panduan Pengguna Amazon Elastic Compute Cloud.

  • "http_endpoint":

    • "no_preference": Default lainnya berlaku. Misalnya, AMI default jika berlaku.

    • "enabled": Titik akhir layanan metadata instance dapat diakses.

    • "disabled": Titik akhir layanan metadata instance tidak dapat diakses.

  • "instance_metadata_tags":

    • "no_preference": Default lainnya berlaku. Misalnya, AMI default jika berlaku.

    • "enabled": Tag Instance dapat diakses dari metadata instance.

    • "disabled": Tag instance tidak dapat diakses dari metadata instance.

  • "http_tokens_enforced":

    • "no_preference": Default lainnya berlaku. Misalnya, AMI default jika berlaku.

    • "enabled": IMDSv2 harus digunakan. Upaya untuk meluncurkan IMDSv1 instance atau IMDSv1 mengaktifkan instance yang ada akan gagal.

    • "disabled": Keduanya IMDSv1 dan IMDSv2 diizinkan.

    Awas

    IMDSv2 penegakan

    Mengaktifkan IMDSv2 penegakan hukum saat mengizinkan IMDSv1 dan IMDSv2 (token opsional) akan menyebabkan kegagalan peluncuran, kecuali dinonaktifkan IMDSv1 secara eksplisit, baik melalui parameter peluncuran atau default AMI. Untuk informasi selengkapnya, lihat Meluncurkan instans IMDSv1 berkemampuan -gagal di Panduan Pengguna Amazon EC2.

Snapshot Block Public Access

Efek kebijakan

Kontrol jika snapshot Amazon EBS dapat diakses publik. Untuk informasi selengkapnya tentang snapshot EBS, lihat snapshot Amazon EBS di Panduan Pengguna Amazon Elastic Block Store.

Isi kebijakan

{
  "ec2_attributes": {
    "snapshot_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

Berikut ini adalah bidang yang tersedia untuk atribut ini:

  • "state":

    • "block_all_sharing": Memblokir semua berbagi foto secara publik. Snapshot yang sudah dibagikan secara publik diperlakukan sebagai pribadi dan tidak lagi tersedia untuk umum.

    • "block_new_sharing": Memblokir berbagi snapshot publik baru. Snapshot yang sudah dibagikan secara publik tetap tersedia untuk umum.

    • "unblocked": Tidak ada batasan pada berbagi foto secara publik.

Pertimbangan-pertimbangan

Jika Anda menggunakan atribut ini dalam kebijakan deklaratif, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diterapkan untuk akun dalam cakupan. Daftar ini tidak lengkap:

  • EnableSnapshotBlockPublicAccess

  • DisableSnapshotBlockPublicAccess