Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Sintaks kebijakan EC2 dan contoh
Halaman ini menjelaskan sintaks kebijakan EC2 dan memberikan contoh.
## Pertimbangan-pertimbangan
+ Saat Anda mengonfigurasi atribut layanan menggunakan kebijakan EC2, hal itu mungkin memengaruhi beberapa API. Setiap tindakan yang tidak patuh akan gagal.
+ Administrator akun tidak akan dapat mengubah nilai atribut layanan di tingkat akun individu.
## Sintaks untuk kebijakan EC2
[Kebijakan EC2 adalah file plaintext yang terstruktur sesuai dengan aturan JSON.](http://json.org) Sintaks untuk kebijakan EC2 mengikuti sintaks untuk semua jenis kebijakan deklaratif. Untuk pembahasan lengkap tentang sintaks tersebut, lihat [Sintaks kebijakan dan pewarisan untuk jenis kebijakan deklaratif](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_mgmt.html). Topik ini berfokus pada penerapan sintaks umum tersebut ke persyaratan spesifik dari jenis kebijakan EC2.
Contoh berikut menunjukkan sintaks kebijakan EC2 dasar:
```
{
"ec2_attributes": {
"exception_message": {
"@@assign": "Your custom error message.https://myURL"
}
}
}
```
+ Nama kunci bidang `ec2_attributes`. Kebijakan deklaratif selalu dimulai dengan nama kunci tetap untuk yang diberikan Layanan AWS. Ini adalah baris teratas dalam contoh kebijakan di atas.
+ Di bawah`ec2_attributes`, Anda dapat menggunakan `exception_message` untuk mengatur pesan kesalahan kustom. Untuk informasi selengkapnya, lihat [Pesan galat khusus untuk kebijakan EC2](orgs_manage_policies_ec2.md#orgs_manage_policies_ec2-custom-message).
+ Di bawah`ec2_attributes`, Anda dapat menyisipkan satu atau beberapa kebijakan EC2 yang didukung. Untuk skema itu, lihat[Kebijakan EC2 yang didukung](#ec2-policy-examples).
## Kebijakan EC2 yang didukung
Berikut ini adalah Layanan AWS dan atribut yang didukung kebijakan EC2. Dalam beberapa contoh berikut, format spasi kosong JSON mungkin dikompresi untuk menghemat ruang.
+ VPC Blokir Akses Publik
+ Akses Konsol Serial
+ Blok Gambar Akses Publik
+ Pengaturan Gambar yang Diizinkan
+ Metadata Instance
+ Snapshot Memblokir Akses Publik
------
#### [ VPC Block Public Access ]
**Efek kebijakan**
Kontrol jika sumber daya di Amazon VPC dan subnet dapat mencapai internet melalui gateway internet (IGW). Untuk informasi selengkapnya, lihat [Konfigurasi untuk akses internet](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-igw-internet-access.html) di *Panduan Pengguna Amazon Virtual Private Cloud*.
**Isi kebijakan**
```
{
"ec2_attributes": {
"vpc_block_public_access": {
"internet_gateway_block": {
"mode": {
"@@assign": "block_ingress"
},
"exclusions_allowed": {
"@@assign": "enabled"
}
}
}
}
}
```
Berikut ini adalah bidang yang tersedia untuk atribut ini:
+ `"internet_gateway"`:
+ `"mode"`:
+ `"off"`: VPC BPA tidak diaktifkan.
+ `"block_ingress"`Semua lalu lintas internet ke VPC (kecuali untuk VPC atau subnet yang dikecualikan) diblokir. Hanya lalu lintas ke dan dari gateway NAT dan gateway internet khusus egres yang diizinkan karena gateway ini hanya memungkinkan koneksi keluar dibuat.
+ `"block_bidirectional"`Semua lalu lintas ke dan dari gateway internet dan gateway internet khusus egres (kecuali untuk VPC dan subnet yang dikecualikan) diblokir.
+ `"exclusions_allowed"`Pengecualian adalah mode yang dapat diterapkan ke satu VPC atau subnet yang mengecualikannya dari mode VPC BPA akun dan akan memungkinkan akses dua arah atau egress-only.
+ `"enabled"`: Pengecualian dapat dibuat oleh akun.
+ `"disabled"`: Pengecualian tidak dapat dibuat oleh akun.
**catatan**
Anda dapat menggunakan atribut untuk mengonfigurasi jika pengecualian diizinkan, tetapi Anda tidak dapat membuat pengecualian dengan atribut ini sendiri. Untuk membuat pengecualian, Anda harus membuatnya di akun yang memiliki VPC. Untuk informasi selengkapnya tentang membuat pengecualian BPA VPC, lihat [Membuat dan menghapus pengecualian](https://docs.aws.amazon.com//vpc/latest/userguide/security-vpc-bpa.html#security-vpc-bpa-exclusions) di Panduan Pengguna *Amazon* VPC.
**Pertimbangan-pertimbangan**
Jika Anda menggunakan atribut ini dalam kebijakan EC2, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diberlakukan untuk akun dalam cakupan. Daftar ini tidak lengkap:
+ `ModifyVpcBlockPublicAccessOptions`
+ `CreateVpcBlockPublicAccessExclusion`
+ `ModifyVpcBlockPublicAccessExclusion`
------
#### [ Serial Console Access ]
**Efek kebijakan**
Kontrol jika konsol serial EC2 dapat diakses. Untuk informasi selengkapnya tentang konsol serial EC2, lihat Konsol [Serial EC2 di Panduan Pengguna](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-serial-console.html) *Amazon Elastic Compute Cloud*.
**Isi kebijakan**
```
{
"ec2_attributes": {
"serial_console_access": {
"status": {
"@@assign": "enabled"
}
}
}
}
```
Berikut ini adalah bidang yang tersedia untuk atribut ini:
+ `"status"`:
+ `"enabled"`: Akses konsol serial EC2 diizinkan.
+ `"disabled"`: Akses konsol serial EC2 diblokir.
**Pertimbangan-pertimbangan**
Jika Anda menggunakan atribut ini dalam kebijakan EC2, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diberlakukan untuk akun dalam cakupan. Daftar ini tidak lengkap:
+ `EnableSerialConsoleAccess`
+ `DisableSerialConsoleAccess`
------
#### [ Image Block Public Access ]
**Efek kebijakan**
Mengontrol jika Amazon Machine Images (AMI) dapat dibagikan secara publik. Untuk informasi selengkapnya tentang AMI, lihat [Amazon Machine Images (AMI)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) di *Panduan Pengguna Amazon Elastic Compute Cloud*.
**Isi kebijakan**
```
{
"ec2_attributes": {
"image_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Berikut ini adalah bidang yang tersedia untuk atribut ini:
+ `"state"`:
+ `"unblocked"`: Tidak ada batasan pada pembagian publik AMI.
+ `"block_new_sharing"`: Memblokir berbagi publik baru dari AMI. AMI yang sudah dibagikan secara publik tetap tersedia untuk umum.
**Pertimbangan-pertimbangan**
Jika Anda menggunakan atribut ini dalam kebijakan EC2, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diberlakukan untuk akun dalam cakupan. Daftar ini tidak lengkap:
+ `EnableImageBlockPublicAccess`
+ `DisableImageBlockPublicAccess`
------
#### [ Allowed Images Settings ]
**Efek kebijakan**
Mengontrol penemuan dan penggunaan Amazon Machine Images (AMI) di Amazon EC2 dengan AMI yang Diizinkan. Untuk informasi selengkapnya tentang AMI, lihat [Mengontrol penemuan dan penggunaan AMI di Amazon EC2 dengan AMI yang Diizinkan di Panduan Pengguna](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-allowed-amis.html) *Amazon Elastic Compute Cloud*.
**Isi kebijakan**
Berikut ini adalah bidang yang tersedia untuk atribut ini:
```
{
"ec2_attributes": {
"allowed_images_settings": {
"state": {
"@@assign": "enabled"
},
"image_criteria": {
"criteria_1": {
"allowed_image_providers": {
"@@append": [
"amazon"
]
}
}
}
}
}
}
```
+ `"state"`:
+ `"enabled"`: Atribut aktif dan ditegakkan.
+ `"disabled"`: Atribut tidak aktif dan tidak ditegakkan.
+ `"audit_mode"`: Atribut dalam mode audit. Ini berarti akan mengidentifikasi gambar yang tidak sesuai tetapi tidak memblokir penggunaannya.
+ `"image_criteria"`: Daftar kriteria. Support hingga 10 kriteria dengan nama dari criteria\_1 hingga criteria\_10
+ `"allowed_image_providers"`: Daftar 12 digit ID akun atau alias pemilik amazon, aws\_marketplace, aws\_backup\_vault yang dipisahkan koma.
+ `"image_names"`: Nama-nama gambar yang diizinkan. Nama dapat mencakup wildcard (? dan \*). Panjang: 1—128 karakter. Dengan? , minimum adalah 3 karakter.
+ `"marketplace_product_codes"`: Kode produk AWS Marketplace untuk gambar yang diizinkan. Panjang: 1-25 karakter Karakter yang valid: Huruf (A—Z, a-z) dan angka (0-9)
+ `"creation_date_condition"`: Usia maksimum untuk gambar yang diizinkan.
+ `"maximum_days_since_created"`: Jumlah maksimum hari yang telah berlalu sejak gambar dibuat. Rentang yang Valid: Nilai minimum 0. Nilai maksimum 2147483647.
+ `"deprecation_time_condition"`: Periode maksimum sejak penghentian untuk gambar yang diizinkan.
+ `"maximum_days_since_deprecated"`: Jumlah maksimum hari yang telah berlalu sejak gambar tidak digunakan lagi. Rentang yang Valid: Nilai minimum 0. Nilai maksimum 2147483647.
**Pertimbangan-pertimbangan**
Jika Anda menggunakan atribut ini dalam kebijakan EC2, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diberlakukan untuk akun dalam cakupan. Daftar ini tidak lengkap:
+ `EnableAllowedImagesSettings`
+ `ReplaceImageCriteriaInAllowedImagesSettings`
+ `DisableAllowedImagesSettings`
------
#### [ Instance Metadata ]
**Efek kebijakan**
Mengontrol default IMDS dan penegakan ImDSv2 untuk semua peluncuran instans EC2 baru. *Untuk informasi selengkapnya tentang default IMDS dan penegakan ImDSv2, lihat [Menggunakan metadata instans untuk mengelola instans EC2 Anda di Panduan Pengguna Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html).*
**Isi kebijakan**
Berikut ini adalah bidang yang tersedia untuk atribut ini:
```
{
"ec2_attributes": {
"instance_metadata_defaults": {
"http_tokens": {
"@@assign": "required"
},
"http_put_response_hop_limit": {
"@@assign": "4"
},
"http_endpoint": {
"@@assign": "enabled"
},
"instance_metadata_tags": {
"@@assign": "enabled"
},
"http_tokens_enforced": {
"@@assign": "enabled"
}
}
}
}
```
+ `"http_tokens"`:
+ `"no_preference"`: Default lainnya berlaku. Misalnya, AMI default jika berlaku.
+ `"required"`: IMDSv2 harus digunakan. IMDSv1 tidak diperbolehkan.
+ `"optional"`: Baik IMDSv1 dan IMDSv2 diperbolehkan.
**catatan**
**Versi metadata**
Sebelum menyetel `http_tokens` ke `required` (IMDSv2 harus digunakan), pastikan tidak ada instance Anda yang melakukan panggilan IMDSv1. *Untuk informasi selengkapnya, lihat [Langkah 1: Identifikasi instans dengan IMDSv2=Opsional dan audit penggunaan IMDSv1](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#path-step-1) di Panduan Pengguna Amazon EC2.*
+ `"http_put_response_hop_limit"`:
+ `"{{Integer}}"`: Nilai integer dari -1 hingga 64, mewakili jumlah hop maksimum yang dapat ditempuh oleh token metadata. Untuk menunjukkan tidak ada preferensi, tentukan -1.
**catatan**
**Batas hop**
Jika `http_tokens` diatur ke`required`, disarankan untuk mengatur `http_put_response_hop_limit` ke minimal 2. Untuk informasi selengkapnya, lihat [Pertimbangan akses metadata instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-data-retrieval.html#imds-considerations) di Panduan Pengguna *Amazon Elastic Compute Cloud*.
+ `"http_endpoint"`:
+ `"no_preference"`: Default lainnya berlaku. Misalnya, AMI default jika berlaku.
+ `"enabled"`: Titik akhir layanan metadata instance dapat diakses.
+ `"disabled"`: Titik akhir layanan metadata instance tidak dapat diakses.
+ `"instance_metadata_tags"`:
+ `"no_preference"`: Default lainnya berlaku. Misalnya, AMI default jika berlaku.
+ `"enabled"`: Tag Instance dapat diakses dari metadata instance.
+ `"disabled"`: Tag instance tidak dapat diakses dari metadata instance.
+ `"http_tokens_enforced":`
+ `"no_preference"`: Default lainnya berlaku. Misalnya, AMI default jika berlaku.
+ `"enabled"`: IMDSv2 harus digunakan. Upaya untuk meluncurkan instans IMDSv1 atau untuk mengaktifkan IMDSv1 pada instance yang ada akan gagal.
+ `"disabled"`: Baik IMDSv1 dan IMDSv2 diperbolehkan.
**Awas**
**Penegakan IMDSv2**
Mengaktifkan penegakan IMDSv2 sambil mengizinkan IMDSv1 dan IMDSv2 (token opsional) akan menyebabkan kegagalan peluncuran, kecuali IMDSv1 dinonaktifkan secara eksplisit, baik melalui parameter peluncuran atau default AMI. Untuk informasi selengkapnya, lihat [Meluncurkan IMDSv1-enabled instans gagal](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/troubleshooting-launch.html#launching-an-imdsv1-enabled-instance-fails) di *Panduan Pengguna Amazon EC2*.
------
#### [ Snapshot Block Public Access ]
**Efek kebijakan**
Mengontrol jika snapshot Amazon EBS dapat diakses publik. Untuk informasi selengkapnya tentang snapshot EBS, lihat snapshot [Amazon EBS di Panduan Pengguna](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html) *Amazon Elastic Block Store*.
**Isi kebijakan**
```
{
"ec2_attributes": {
"snapshot_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Berikut ini adalah bidang yang tersedia untuk atribut ini:
+ `"state"`:
+ `"block_all_sharing"`: Memblokir semua berbagi foto secara publik. Snapshot yang sudah dibagikan secara publik diperlakukan sebagai pribadi dan tidak lagi tersedia untuk umum.
+ `"block_new_sharing"`: Memblokir berbagi snapshot publik baru. Snapshot yang sudah dibagikan secara publik tetap tersedia untuk umum.
+ `"unblocked"`: Tidak ada batasan pada berbagi foto secara publik.
**Pertimbangan-pertimbangan**
Jika Anda menggunakan atribut ini dalam kebijakan EC2, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diberlakukan untuk akun dalam cakupan. Daftar ini tidak lengkap:
+ `EnableSnapshotBlockPublicAccess`
+ `DisableSnapshotBlockPublicAccess`
------