View a markdown version of this page

Kebijakan EC2 - AWS Organizations

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan EC2

Kebijakan EC2 memungkinkan Anda mendeklarasikan dan menerapkan konfigurasi yang diinginkan secara terpusat untuk Amazon EC2, Amazon VPC, dan Amazon EBS dalam skala besar di seluruh organisasi. Setelah terpasang, konfigurasi selalu dipertahankan ketika layanan menambahkan fitur atau API baru.

Pesan kesalahan khusus untuk kebijakan EC2

Kebijakan EC2 memungkinkan Anda membuat pesan kesalahan khusus. Misalnya, jika operasi API gagal karena kebijakan EC2, Anda dapat menyetel pesan kesalahan atau memberikan URL khusus, seperti tautan ke wiki internal atau tautan ke pesan yang menjelaskan kegagalan tersebut. Jika Anda tidak menentukan pesan kesalahan kustom, AWS Organizations berikan pesan galat default berikut:Example: This action is denied due to an organizational policy in effect.

Anda juga dapat mengaudit proses pembuatan kebijakan EC2, memperbarui kebijakan EC2, dan menghapus kebijakan EC2. AWS CloudTrail CloudTrail dapat menandai kegagalan operasi API karena kebijakan EC2. Untuk informasi selengkapnya, lihat Pencatatan dan pemantauan.

penting

Jangan sertakan informasi identitas pribadi (PII) atau informasi sensitif lainnya dalam pesan kesalahan khusus. PII mencakup informasi umum yang dapat digunakan untuk mengidentifikasi atau menemukan individu. Ini mencakup catatan seperti keuangan, medis, pendidikan, atau pekerjaan. Contoh PII termasuk alamat, nomor rekening bank, dan nomor telepon.

Laporan status akun untuk kebijakan EC2

Laporan status akun memungkinkan Anda meninjau status saat ini dari semua atribut yang didukung oleh kebijakan EC2 untuk akun dalam cakupan. Anda dapat memilih akun dan unit organisasi (OU) untuk disertakan dalam lingkup laporan, atau memilih seluruh organisasi dengan memilih root.

Laporan ini membantu Anda menilai kesiapan dengan memberikan rincian Wilayah dan jika status atribut saat ini seragam di seluruh akun (melaluinumberOfMatchedAccounts) atau tidak konsisten (melalui). numberOfUnmatchedAccounts Anda juga dapat melihat nilai yang paling sering, yang merupakan nilai konfigurasi yang paling sering diamati untuk atribut.

Pada Gambar 1, ada laporan status akun yang dihasilkan, yang menunjukkan keseragaman di seluruh akun untuk atribut berikut: VPC Block Public Access dan Image Block Public Access. Ini berarti bahwa, untuk setiap atribut, semua akun dalam lingkup memiliki konfigurasi yang sama untuk atribut tersebut.

Laporan status akun yang dihasilkan menampilkan akun yang tidak konsisten untuk atribut berikut: Setelan Gambar yang Diizinkan, default Metadata Instans, Akses Konsol Serial, dan Akses Publik Blok Snapshot. Dalam contoh ini, setiap atribut dengan akun yang tidak konsisten disebabkan oleh adanya satu akun dengan nilai konfigurasi yang berbeda.

Jika ada nilai yang paling sering, yang ditampilkan di kolom masing-masing. Untuk informasi lebih rinci tentang apa yang dikontrol setiap atribut, lihat sintaks kebijakan EC2 dan kebijakan contoh.

Anda juga dapat memperluas atribut untuk melihat rincian Wilayah. Dalam contoh ini, Image Block Public Access diperluas dan di setiap Wilayah, Anda dapat melihat bahwa ada juga keseragaman di seluruh akun.

Pilihan untuk melampirkan kebijakan EC2 untuk menegakkan konfigurasi dasar bergantung pada kasus penggunaan spesifik Anda. Gunakan laporan status akun untuk membantu Anda menilai kesiapan Anda sebelum melampirkan kebijakan EC2.

Untuk informasi selengkapnya, lihat Membuat laporan status akun.

Contoh laporan status akun dengan keseragaman di seluruh akun untuk VPC Block Public Access dan Image Block Public Access

Gambar 1: Contoh laporan status akun dengan keseragaman di seluruh akun untuk VPC Block Public Access dan Image Block Public Access.

Atribut yang didukung untuk kebijakan EC2

Tabel berikut menampilkan atribut yang didukung untuk layanan terkait Amazon EC2.

Kebijakan EC2
AWS layanan Atribut Efek kebijakan Isi kebijakan Informasi selengkapnya
Amazon VPC VPC Blokir Akses Publik Kontrol jika sumber daya di Amazon VPC dan subnet dapat mencapai internet melalui gateway internet (IGW). Lihat kebijakan Untuk informasi selengkapnya, lihat Memblokir akses publik ke VPC dan subnet di Panduan Pengguna Amazon VPC.
Amazon EC2 Akses Konsol Serial Kontrol jika konsol serial EC2 dapat diakses. Lihat kebijakan Untuk informasi selengkapnya, lihat Mengonfigurasi akses ke Konsol Serial EC2 di Panduan Pengguna Amazon Elastic Compute Cloud.
Blok Gambar Akses Publik Mengontrol jika Amazon Machine Images (AMI) dapat dibagikan secara publik. Lihat kebijakan Untuk informasi selengkapnya, lihat Memahami memblokir akses publik untuk AMI di Panduan Pengguna Amazon Elastic Compute Cloud.
Pengaturan Gambar yang Diizinkan Mengontrol penemuan dan penggunaan Amazon Machine Images (AMI) di Amazon EC2 dengan AMI yang Diizinkan. Lihat kebijakan Untuk informasi selengkapnya, lihat Amazon Machine Images (AMI) di Panduan Pengguna Amazon Elastic Compute Cloud.
Default Metadata Instance Mengontrol default IMDS untuk semua peluncuran instans EC2 baru. Lihat kebijakan Untuk informasi selengkapnya, lihat Mengonfigurasi opsi metadata instans untuk instance baru di Panduan Pengguna Amazon Elastic Compute Cloud.
Amazon EBS Snapshot Memblokir Akses Publik Kontrol jika snapshot Amazon EBS dapat diakses publik. Lihat kebijakan Untuk informasi selengkapnya, lihat Memblokir akses publik untuk snapshot Amazon EBS di Panduan Pengguna Amazon Elastic Block Store.