View a markdown version of this page

Sintaks kebijakan EC2 dan contoh - AWS Organizations
Pertimbangan-pertimbanganSintaks untuk kebijakan EC2Kebijakan EC2 yang didukung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sintaks kebijakan EC2 dan contoh

Halaman ini menjelaskan sintaks kebijakan EC2 dan memberikan contoh.

Pertimbangan-pertimbangan

  • Saat Anda mengonfigurasi atribut layanan menggunakan kebijakan EC2, hal itu mungkin memengaruhi beberapa API. Setiap tindakan yang tidak patuh akan gagal.

  • Administrator akun tidak akan dapat mengubah nilai atribut layanan di tingkat akun individu.

Sintaks untuk kebijakan EC2

Kebijakan EC2 adalah file plaintext yang terstruktur sesuai dengan aturan JSON. Sintaks untuk kebijakan EC2 mengikuti sintaks untuk semua jenis kebijakan deklaratif. Untuk pembahasan lengkap tentang sintaks tersebut, lihat Sintaks kebijakan dan pewarisan untuk jenis kebijakan deklaratif. Topik ini berfokus pada penerapan sintaks umum tersebut ke persyaratan spesifik dari jenis kebijakan EC2.

Contoh berikut menunjukkan sintaks kebijakan EC2 dasar:

{
  "ec2_attributes": {
    "exception_message": {
      "@@assign": "Your custom error message.https://myURL"
    }
  }
}

  • Nama kunci bidang ec2_attributes. Kebijakan deklaratif selalu dimulai dengan nama kunci tetap untuk yang diberikan Layanan AWS. Ini adalah baris teratas dalam contoh kebijakan di atas.

  • Di bawahec2_attributes, Anda dapat menggunakan exception_message untuk mengatur pesan kesalahan kustom. Untuk informasi selengkapnya, lihat Pesan galat khusus untuk kebijakan EC2.

  • Di bawahec2_attributes, Anda dapat menyisipkan satu atau beberapa kebijakan EC2 yang didukung. Untuk skema itu, lihatKebijakan EC2 yang didukung.

Kebijakan EC2 yang didukung

Berikut ini adalah Layanan AWS dan atribut yang didukung kebijakan EC2. Dalam beberapa contoh berikut, format spasi kosong JSON mungkin dikompresi untuk menghemat ruang.

  • VPC Blokir Akses Publik

  • Akses Konsol Serial

  • Blok Gambar Akses Publik

  • Pengaturan Gambar yang Diizinkan

  • Metadata Instance

  • Snapshot Memblokir Akses Publik

VPC Block Public Access

Efek kebijakan

Kontrol jika sumber daya di Amazon VPC dan subnet dapat mencapai internet melalui gateway internet (IGW). Untuk informasi selengkapnya, lihat Konfigurasi untuk akses internet di Panduan Pengguna Amazon Virtual Private Cloud.

Isi kebijakan

{
  "ec2_attributes": {
    "vpc_block_public_access": {
      "internet_gateway_block": {
        "mode": {
          "@@assign": "block_ingress"
        },
        "exclusions_allowed": {
          "@@assign": "enabled"
        }
      }
    }
  }
}

Berikut ini adalah bidang yang tersedia untuk atribut ini:

  • "internet_gateway":

    • "mode":

      • "off": VPC BPA tidak diaktifkan.

      • "block_ingress"Semua lalu lintas internet ke VPC (kecuali untuk VPC atau subnet yang dikecualikan) diblokir. Hanya lalu lintas ke dan dari gateway NAT dan gateway internet khusus egres yang diizinkan karena gateway ini hanya memungkinkan koneksi keluar dibuat.

      • "block_bidirectional"Semua lalu lintas ke dan dari gateway internet dan gateway internet khusus egres (kecuali untuk VPC dan subnet yang dikecualikan) diblokir.

  • "exclusions_allowed"Pengecualian adalah mode yang dapat diterapkan ke satu VPC atau subnet yang mengecualikannya dari mode VPC BPA akun dan akan memungkinkan akses dua arah atau egress-only.

    • "enabled": Pengecualian dapat dibuat oleh akun.

    • "disabled": Pengecualian tidak dapat dibuat oleh akun.

    catatan

    Anda dapat menggunakan atribut untuk mengonfigurasi jika pengecualian diizinkan, tetapi Anda tidak dapat membuat pengecualian dengan atribut ini sendiri. Untuk membuat pengecualian, Anda harus membuatnya di akun yang memiliki VPC. Untuk informasi selengkapnya tentang membuat pengecualian BPA VPC, lihat Membuat dan menghapus pengecualian di Panduan Pengguna Amazon VPC.

Pertimbangan-pertimbangan

Jika Anda menggunakan atribut ini dalam kebijakan EC2, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diberlakukan untuk akun dalam cakupan. Daftar ini tidak lengkap:

  • ModifyVpcBlockPublicAccessOptions

  • CreateVpcBlockPublicAccessExclusion

  • ModifyVpcBlockPublicAccessExclusion

Serial Console Access

Efek kebijakan

Kontrol jika konsol serial EC2 dapat diakses. Untuk informasi selengkapnya tentang konsol serial EC2, lihat Konsol Serial EC2 di Panduan Pengguna Amazon Elastic Compute Cloud.

Isi kebijakan

{
  "ec2_attributes": {
    "serial_console_access": {
      "status": {
        "@@assign": "enabled"
      }
    }
  }
}

Berikut ini adalah bidang yang tersedia untuk atribut ini:

  • "status":

    • "enabled": Akses konsol serial EC2 diizinkan.

    • "disabled": Akses konsol serial EC2 diblokir.

Pertimbangan-pertimbangan

Jika Anda menggunakan atribut ini dalam kebijakan EC2, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diberlakukan untuk akun dalam cakupan. Daftar ini tidak lengkap:

  • EnableSerialConsoleAccess

  • DisableSerialConsoleAccess

Image Block Public Access

Efek kebijakan

Mengontrol jika Amazon Machine Images (AMI) dapat dibagikan secara publik. Untuk informasi selengkapnya tentang AMI, lihat Amazon Machine Images (AMI) di Panduan Pengguna Amazon Elastic Compute Cloud.

Isi kebijakan

{
  "ec2_attributes": {
    "image_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

Berikut ini adalah bidang yang tersedia untuk atribut ini:

  • "state":

    • "unblocked": Tidak ada batasan pada pembagian publik AMI.

    • "block_new_sharing": Memblokir berbagi publik baru dari AMI. AMI yang sudah dibagikan secara publik tetap tersedia untuk umum.

Pertimbangan-pertimbangan

Jika Anda menggunakan atribut ini dalam kebijakan EC2, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diberlakukan untuk akun dalam cakupan. Daftar ini tidak lengkap:

  • EnableImageBlockPublicAccess

  • DisableImageBlockPublicAccess

Allowed Images Settings

Efek kebijakan

Mengontrol penemuan dan penggunaan Amazon Machine Images (AMI) di Amazon EC2 dengan AMI yang Diizinkan. Untuk informasi selengkapnya tentang AMI, lihat Mengontrol penemuan dan penggunaan AMI di Amazon EC2 dengan AMI yang Diizinkan di Panduan Pengguna Amazon Elastic Compute Cloud.

Isi kebijakan

Berikut ini adalah bidang yang tersedia untuk atribut ini:

{
  "ec2_attributes": {
    "allowed_images_settings": {
      "state": {
        "@@assign": "enabled"
      },
      "image_criteria": {
        "criteria_1": {
          "allowed_image_providers": {
            "@@append": [
              "amazon"
            ]
          }
        }
      }
    }
  }
}

  • "state":

    • "enabled": Atribut aktif dan ditegakkan.

    • "disabled": Atribut tidak aktif dan tidak ditegakkan.

    • "audit_mode": Atribut dalam mode audit. Ini berarti akan mengidentifikasi gambar yang tidak sesuai tetapi tidak memblokir penggunaannya.

  • "image_criteria": Daftar kriteria. Support hingga 10 kriteria dengan nama dari criteria_1 hingga criteria_10

    • "allowed_image_providers": Daftar 12 digit ID akun atau alias pemilik amazon, aws_marketplace, aws_backup_vault yang dipisahkan koma.

    • "image_names": Nama-nama gambar yang diizinkan. Nama dapat mencakup wildcard (? dan *). Panjang: 1—128 karakter. Dengan? , minimum adalah 3 karakter.

    • "marketplace_product_codes": Kode produk AWS Marketplace untuk gambar yang diizinkan. Panjang: 1-25 karakter Karakter yang valid: Huruf (A—Z, a-z) dan angka (0-9)

    • "creation_date_condition": Usia maksimum untuk gambar yang diizinkan.

      • "maximum_days_since_created": Jumlah maksimum hari yang telah berlalu sejak gambar dibuat. Rentang yang Valid: Nilai minimum 0. Nilai maksimum 2147483647.

    • "deprecation_time_condition": Periode maksimum sejak penghentian untuk gambar yang diizinkan.

      • "maximum_days_since_deprecated": Jumlah maksimum hari yang telah berlalu sejak gambar tidak digunakan lagi. Rentang yang Valid: Nilai minimum 0. Nilai maksimum 2147483647.

Pertimbangan-pertimbangan

Jika Anda menggunakan atribut ini dalam kebijakan EC2, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diberlakukan untuk akun dalam cakupan. Daftar ini tidak lengkap:

  • EnableAllowedImagesSettings

  • ReplaceImageCriteriaInAllowedImagesSettings

  • DisableAllowedImagesSettings

Instance Metadata

Efek kebijakan

Mengontrol default IMDS dan penegakan ImDSv2 untuk semua peluncuran instans EC2 baru. Untuk informasi selengkapnya tentang default IMDS dan penegakan ImDSv2, lihat Menggunakan metadata instans untuk mengelola instans EC2 Anda di Panduan Pengguna Amazon EC2.

Isi kebijakan

Berikut ini adalah bidang yang tersedia untuk atribut ini:

{
  "ec2_attributes": {
    "instance_metadata_defaults": {
      "http_tokens": {
        "@@assign": "required"
      },
      "http_put_response_hop_limit": {
        "@@assign": "4"
      },
      "http_endpoint": {
        "@@assign": "enabled"
      },
      "instance_metadata_tags": {
        "@@assign": "enabled"
      },
      "http_tokens_enforced": {
        "@@assign": "enabled"
      }
    }
  }
}

  • "http_tokens":

    • "no_preference": Default lainnya berlaku. Misalnya, AMI default jika berlaku.

    • "required": IMDSv2 harus digunakan. IMDSv1 tidak diperbolehkan.

    • "optional": Baik IMDSv1 dan IMDSv2 diperbolehkan.

    catatan

    Versi metadata

    Sebelum menyetel http_tokens ke required (IMDSv2 harus digunakan), pastikan tidak ada instance Anda yang melakukan panggilan IMDSv1. Untuk informasi selengkapnya, lihat Langkah 1: Identifikasi instans dengan IMDSv2=Opsional dan audit penggunaan IMDSv1 di Panduan Pengguna Amazon EC2.

  • "http_put_response_hop_limit":

    • "Integer": Nilai integer dari -1 hingga 64, mewakili jumlah hop maksimum yang dapat ditempuh oleh token metadata. Untuk menunjukkan tidak ada preferensi, tentukan -1.

    catatan

    Batas hop

    Jika http_tokens diatur kerequired, disarankan untuk mengatur http_put_response_hop_limit ke minimal 2. Untuk informasi selengkapnya, lihat Pertimbangan akses metadata instans di Panduan Pengguna Amazon Elastic Compute Cloud.

  • "http_endpoint":

    • "no_preference": Default lainnya berlaku. Misalnya, AMI default jika berlaku.

    • "enabled": Titik akhir layanan metadata instance dapat diakses.

    • "disabled": Titik akhir layanan metadata instance tidak dapat diakses.

  • "instance_metadata_tags":

    • "no_preference": Default lainnya berlaku. Misalnya, AMI default jika berlaku.

    • "enabled": Tag Instance dapat diakses dari metadata instance.

    • "disabled": Tag instance tidak dapat diakses dari metadata instance.

  • "http_tokens_enforced":

    • "no_preference": Default lainnya berlaku. Misalnya, AMI default jika berlaku.

    • "enabled": IMDSv2 harus digunakan. Upaya untuk meluncurkan instans IMDSv1 atau untuk mengaktifkan IMDSv1 pada instance yang ada akan gagal.

    • "disabled": Baik IMDSv1 dan IMDSv2 diperbolehkan.

    Awas

    Penegakan IMDSv2

    Mengaktifkan penegakan IMDSv2 sambil mengizinkan IMDSv1 dan IMDSv2 (token opsional) akan menyebabkan kegagalan peluncuran, kecuali IMDSv1 dinonaktifkan secara eksplisit, baik melalui parameter peluncuran atau default AMI. Untuk informasi selengkapnya, lihat Meluncurkan IMDSv1-enabled instans gagal di Panduan Pengguna Amazon EC2.

Snapshot Block Public Access

Efek kebijakan

Mengontrol jika snapshot Amazon EBS dapat diakses publik. Untuk informasi selengkapnya tentang snapshot EBS, lihat snapshot Amazon EBS di Panduan Pengguna Amazon Elastic Block Store.

Isi kebijakan

{
  "ec2_attributes": {
    "snapshot_block_public_access": {
      "state": {
        "@@assign": "block_new_sharing"
      }
    }
  }
}

Berikut ini adalah bidang yang tersedia untuk atribut ini:

  • "state":

    • "block_all_sharing": Memblokir semua berbagi foto secara publik. Snapshot yang sudah dibagikan secara publik diperlakukan sebagai pribadi dan tidak lagi tersedia untuk umum.

    • "block_new_sharing": Memblokir berbagi snapshot publik baru. Snapshot yang sudah dibagikan secara publik tetap tersedia untuk umum.

    • "unblocked": Tidak ada batasan pada berbagi foto secara publik.

Pertimbangan-pertimbangan

Jika Anda menggunakan atribut ini dalam kebijakan EC2, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diberlakukan untuk akun dalam cakupan. Daftar ini tidak lengkap:

  • EnableSnapshotBlockPublicAccess

  • DisableSnapshotBlockPublicAccess