Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Policy dichiarative
Le politiche dichiarative consentono di dichiarare e applicare a livello centralizzato la configurazione desiderata per una determinata configurazione su larga scala Servizio AWS all'interno dell'organizzazione. Una volta collegata, la configurazione viene sempre mantenuta quando il servizio aggiunge nuove funzionalità o. APIs Utilizza politiche dichiarative per prevenire azioni non conformi. Ad esempio, puoi bloccare l'accesso pubblico a Internet alle risorse Amazon VPC in tutta l'organizzazione.
I vantaggi principali dell'utilizzo di politiche dichiarative sono:
+ **Facilità d'uso**: è possibile applicare la configurazione di base per an Servizio AWS con poche selezioni nelle AWS Control Tower console AWS Organizations e o con alcuni comandi utilizzando &. AWS CLI AWS SDKs
+ **Imposta una sola volta e dimentica**: la configurazione di base per an Servizio AWS viene sempre mantenuta, anche quando il servizio introduce nuove funzionalità o. APIs La configurazione di base viene mantenuta anche quando vengono aggiunti nuovi account a un'organizzazione o quando vengono creati nuovi responsabili e risorse.
+ **Trasparenza**: il rapporto sullo stato dell'account consente di esaminare lo stato attuale di tutti gli attributi supportati dalle politiche dichiarative per gli account interessati. È inoltre possibile creare messaggi di errore personalizzabili, che possono aiutare gli amministratori a reindirizzare gli utenti finali alle pagine wiki interne o fornire un messaggio descrittivo che può aiutare gli utenti finali a capire perché un'azione non è riuscita.
Per un elenco completo degli attributi Servizi AWS e degli attributi supportati, consulta. [Supportato Servizi AWS e attributi](#orgs_manage_policies_declarative-supported-controls)
**Topics**
+ [Come funzionano le politiche dichiarative](#orgs_manage_policies_declarative-how-work)
+ [Messaggi di errore personalizzati](#orgs_manage_policies_declarative-custom-message)
+ [Rapporto sullo stato dell'account](#orgs_manage_policies_declarative-account-status-report)
+ [Servizi supportati](#orgs_manage_policies_declarative-supported-controls)
+ [Nozioni di base](orgs_manage_policies-declarative_getting-started.md)
+ [Best practice](orgs_manage_policies_declarative_best-practices.md)
+ [Generazione del rapporto sullo stato dell'account](orgs_manage_policies_declarative_status-report.md)
+ [Sintassi ed esempi delle politiche dichiarative](orgs_manage_policies_declarative_syntax.md)
## Come funzionano le politiche dichiarative
Le politiche dichiarative vengono applicate nel piano di controllo del servizio, il che rappresenta un'importante distinzione dalle politiche di [autorizzazione come le politiche di controllo dei servizi (SCPs) e le politiche di controllo delle risorse ()](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_authorization_policies.html). RCPs Sebbene le politiche di autorizzazione regolino l'accesso APIs, le politiche dichiarative vengono applicate direttamente a livello di servizio per imporre un intento duraturo. Ciò garantisce che la configurazione di base venga sempre applicata, anche quando vengono introdotte nuove funzionalità o APIs vengono introdotte dal servizio.
La tabella seguente aiuta a illustrare questa distinzione e fornisce alcuni casi d'uso.
****
| | Policy di controllo dei servizi | Politiche di controllo delle risorse | Policy dichiarative |
| --- | --- | --- | --- |
| Perché? | Definire e applicare centralmente controlli di accesso coerenti sui principali (come gli utenti IAM e i ruoli IAM) su larga scala. | Per definire e applicare centralmente controlli di accesso coerenti sulle risorse su larga scala | Per definire e applicare centralmente la configurazione di base per i AWS servizi su larga scala. |
| Come? | Controllando le autorizzazioni di accesso massime disponibili dei principali a livello di API. | Controllando le autorizzazioni di accesso massime disponibili per le risorse a livello di API. | Applicando la configurazione desiderata di un Servizio AWS senza utilizzare azioni API. |
| Gestisce i ruoli collegati ai servizi? | No | No | Sì |
| Meccanismo di feedback | Errore SCP negato dall'accesso non personalizzabile. | Errore RCP negato di accesso non personalizzabile. | Messaggio di errore personalizzabile. Per ulteriori informazioni, consulta [Messaggi di errore personalizzati per le politiche dichiarative](#orgs_manage_policies_declarative-custom-message). |
| Policy di esempio | [Impedisci agli account dei membri di lasciare l'organizzazione](https://github.com/aws-samples/service-control-policy-examples/blob/main/Privileged-access-controls/Deny-member-accounts-from-leaving-your-AWS-organization.json) | [Limita l'accesso alle sole connessioni HTTPS alle tue risorse](https://github.com/aws-samples/resource-control-policy-examples/blob/main/Restrict-resource-access-patterns/Restrict-access-to-only-HTTPS-connections-to-your-resources.json) | [Impostazioni delle immagini consentite](orgs_manage_policies_declarative_syntax.md#declarative-policy-ec2-ami-allowed-images) |
Dopo aver [creato](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-declarative-policy-procedure) e [allegato](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html) una politica dichiarativa, questa viene applicata e applicata in tutta l'organizzazione. Le politiche dichiarative possono essere applicate a un'intera organizzazione, a unità organizzative (OUs) o a conti. Gli account che entrano a far parte di un'organizzazione erediteranno automaticamente la politica dichiarativa dell'organizzazione. Per ulteriori informazioni, consulta [Comprendere l'ereditarietà delle policy di gestione](orgs_manage_policies_inheritance_mgmt.md).
La *politica efficace* è l'insieme di regole ereditate dalla radice dell'organizzazione e OUs insieme a quelle direttamente collegate all'account. La policy effettiva specifica l'insieme finale di regole applicabili all'account. Per ulteriori informazioni, consulta [Visualizzazione di politiche di gestione efficaci](orgs_manage_policies_effective.md).
Se una politica dichiarativa viene [scollegata](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html), lo stato dell'attributo tornerà allo stato precedente prima che la politica dichiarativa fosse allegata.
## Messaggi di errore personalizzati per le politiche dichiarative
Le politiche dichiarative consentono di creare messaggi di errore personalizzati. Ad esempio, se un'operazione API fallisce a causa di una politica dichiarativa, è possibile impostare il messaggio di errore o fornire un URL personalizzato, ad esempio un collegamento a un wiki interno o un collegamento a un messaggio che descrive l'errore. Se non si specifica un messaggio di errore personalizzato, AWS Organizations fornisce il seguente messaggio di errore predefinito:`Example: This action is denied due to an organizational policy in effect`.
È inoltre possibile controllare il processo di creazione di politiche dichiarative, aggiornamento delle politiche dichiarative ed eliminazione delle politiche dichiarative con. AWS CloudTrail CloudTrail può segnalare gli errori operativi dell'API dovuti a politiche dichiarative. Per ulteriori informazioni, consulta [Registrazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_security_incident-response.html) e monitoraggio.
**Importante**
Non includere *informazioni di identificazione personale (PII)* o altre informazioni sensibili in un messaggio di errore personalizzato. Le PII includono informazioni generali che possono essere utilizzate per identificare o localizzare un individuo. Copre dati come quelli finanziari, medici, educativi o occupazionali. Gli esempi di PII includono indirizzi, numeri di conto corrente e numeri di telefono.
## Rapporto sullo stato dell'account per le politiche dichiarative
Il *rapporto sullo stato dell'account* consente di esaminare lo stato corrente di tutti gli attributi supportati dalle politiche dichiarative per gli account interessati. Puoi scegliere gli account e le unità organizzative (OUs) da includere nell'ambito del rapporto oppure scegliere un'intera organizzazione selezionando la radice.
Questo rapporto consente di valutare lo stato di preparazione fornendo una suddivisione per regione e indicando se lo stato corrente di un attributo è *uniforme tra gli account* (tramite`numberOfMatchedAccounts`) o *incoerente* (tramite). `numberOfUnmatchedAccounts` È inoltre possibile visualizzare il *valore più frequente*, ovvero il valore di configurazione osservato più frequentemente per l'attributo.
Nella Figura 1, è disponibile un rapporto sullo stato dell'account generato, che mostra l'uniformità tra gli account per i seguenti attributi: Accesso pubblico a blocchi VPC e Accesso pubblico a blocchi di immagini. Ciò significa che, per ogni attributo, tutti gli account inclusi nell'ambito hanno la stessa configurazione per quell'attributo.
Il rapporto sullo stato dell'account generato mostra account incoerenti per i seguenti attributi: impostazioni delle immagini consentite, impostazioni predefinite dei metadati delle istanze, Serial Console Access e Snapshot Block Public Access. In questo esempio, ogni attributo con un account non coerente è dovuto al fatto che esiste un account con un valore di configurazione diverso.
Se esiste un valore più frequente, questo viene visualizzato nella rispettiva colonna. Per informazioni più dettagliate su ciò che controlla ogni attributo, consulta [Sintassi delle politiche dichiarative ed esempi di policy](orgs_manage_policies_declarative_syntax.md).
Puoi anche espandere un attributo per visualizzare una suddivisione per regione. In questo esempio, Image Block Public Access è stato ampliato e in ogni regione, puoi vedere che c'è anche uniformità tra gli account.
La scelta di allegare una politica dichiarativa per l'applicazione di una configurazione di base dipende dal caso d'uso specifico. Utilizza il rapporto sullo stato dell'account per valutare la tua preparazione prima di allegare una politica dichiarativa.
Per ulteriori informazioni, consulta [Generazione del rapporto sullo stato dell'account](orgs_manage_policies_declarative_status-report.md).
![\[Esempio di report sullo stato dell'account con uniformità tra gli account per VPC Block Public Access e Image Block Public Access\]](http://docs.aws.amazon.com/it_it/organizations/latest/userguide/images/declarative-status-report.png)
*Figura 1: Esempio di rapporto sullo stato dell'account con uniformità tra gli account per VPC Block Public Access e Image Block Public Access.*
## Supportato Servizi AWS e attributi
### Attributi supportati per le politiche dichiarative per EC2
La tabella seguente mostra gli attributi supportati per i servizi correlati ad Amazon EC2.
**Politiche dichiarative per EC2**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/organizations/latest/userguide/orgs_manage_policies_declarative.html)
# Guida introduttiva alle politiche dichiarative
Segui questi passaggi per iniziare a utilizzare le politiche dichiarative.
1. [Scopri le autorizzazioni necessarie per eseguire attività relative alle politiche dichiarative](orgs_manage_policies_prereqs.md).
1. [Abilita le politiche dichiarative per](enable-policy-type.md) la tua organizzazione.
**Nota**
**È necessario abilitare l'accesso fiduciario**
È necessario abilitare l'accesso affidabile per il servizio in cui la politica dichiarativa applicherà una configurazione di base. In questo modo viene creato un ruolo collegato al servizio di sola lettura che viene utilizzato per generare il rapporto sullo stato dell'account contenente la configurazione esistente per gli account dell'organizzazione.
**Utilizzo della console**
Se utilizzi la console Organizations, questo passaggio fa parte del processo di abilitazione delle politiche dichiarative.
**Usando la AWS CLI**
Se si utilizza il AWS CLI, ce ne sono due distinti APIs:
[EnablePolicyType](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnablePolicyType.html), che si utilizza per abilitare le politiche dichiarative.
[Enable AWSService Access](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html), che viene utilizzato per abilitare l'accesso attendibile.
Per ulteriori informazioni su come abilitare l'accesso affidabile per un servizio specifico, AWS CLI consulta, [Servizi AWS che puoi utilizzare con AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html).
1. [Esegui il rapporto sullo stato dell'account](orgs_manage_policies_declarative_status-report.md).
1. [Crea una politica dichiarativa](orgs_policies_create.md).
1. [Allega la politica dichiarativa alla radice, all'unità organizzativa o all'account dell'organizzazione](orgs_policies_attach.md).
1. [Visualizza la politica dichiarativa efficace combinata che si applica a un account](orgs_manage_policies_effective.md).
Per tutte queste fasi, è possibile accedere come utente IAM, assumere un ruolo IAM o accedere come utente root ([scelta non consigliata](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) nell'account di gestione dell'organizzazione.
**Altre informazioni**
+ [Scopri la sintassi delle politiche dichiarative e guarda esempi di politiche](orgs_manage_policies_declarative_syntax.md)
# Le migliori pratiche per l'utilizzo di politiche dichiarative
AWS raccomanda le seguenti best practice per l'utilizzo di politiche dichiarative.
## Sfrutta le valutazioni di prontezza
Utilizza il *rapporto sullo stato dell'account relativo* alla politica dichiarativa per valutare lo stato attuale di tutti gli attributi supportati dalle politiche dichiarative per i conti interessati. Puoi scegliere gli account e le unità organizzative (OUs) da includere nell'ambito del rapporto oppure scegliere un'intera organizzazione selezionando la radice.
Questo rapporto consente di valutare lo stato di preparazione fornendo una suddivisione per regione e indicando se lo stato corrente di un attributo è *uniforme tra gli account* (tramite`numberOfMatchedAccounts`) o *incoerente* (tramite). `numberOfUnmatchedAccounts` È inoltre possibile visualizzare il *valore più frequente*, ovvero il valore di configurazione osservato più frequentemente per l'attributo.
La scelta di allegare una politica dichiarativa per l'applicazione di una configurazione di base dipende dal caso d'uso specifico.
Per ulteriori informazioni e un esempio illustrativo, vedere. [Rapporto sullo stato dell'account per le politiche dichiarative](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-account-status-report)
## Inizia in piccolo e poi scala
Per semplificare il debug, inizia con una policy di test. Convalida il comportamento e l'impatto di ogni modifica prima di apportare la modifica successiva. Questo approccio riduce il numero di variabili da tenere in considerazione quando si verifica un errore o un risultato imprevisto.
Ad esempio, puoi iniziare con una politica di test collegata a un singolo account in un ambiente di test non critico. Dopo aver verificato che funziona secondo le vostre specifiche, potete quindi spostare la politica in modo incrementale verso l'alto nella struttura organizzativa verso più account e più unità organizzative ()OUs.
## Stabilisci processi di revisione
Implementa processi per monitorare i nuovi attributi dichiarativi, valutare le eccezioni alle politiche e apportare modifiche per mantenere l'allineamento con i requisiti operativi e di sicurezza dell'organizzazione.
## Convalida le modifiche utilizzando `DescribeEffectivePolicy`
Dopo aver apportato una modifica a una politica dichiarativa, verifica le politiche efficaci per gli account rappresentativi al di sotto del livello in cui hai apportato la modifica. Puoi [visualizzare la politica efficace utilizzando o utilizzando Console di gestione AWS l'](orgs_manage_policies_effective.md)operazione [DescribeEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeEffectivePolicy.html)API o una delle sue AWS CLI varianti o dell' AWS SDK. Assicurati che l'impatto della modifica apportata sulla policy effettiva sia quello previsto.
## Comunica e allenati
Assicuratevi che le vostre organizzazioni comprendano lo scopo e l'impatto delle vostre politiche dichiarative. Fornisci indicazioni chiare sui comportamenti previsti e su come gestire gli errori dovuti all'applicazione delle politiche.
# Generazione del rapporto sullo stato dell'account per le politiche dichiarative
Il *rapporto sullo stato dell'account* consente di esaminare lo stato corrente di tutti gli attributi supportati dalle politiche dichiarative per gli account interessati. Puoi scegliere gli account e le unità organizzative (OUs) da includere nell'ambito del rapporto oppure scegliere un'intera organizzazione selezionando la radice.
Questo rapporto consente di valutare lo stato di preparazione fornendo una suddivisione per regione e indicando se lo stato corrente di un attributo è *uniforme tra gli account* (tramite`numberOfMatchedAccounts`) o *incoerente* (tramite). `numberOfUnmatchedAccounts` È inoltre possibile visualizzare il *valore più frequente*, ovvero il valore di configurazione osservato più frequentemente per l'attributo.
La scelta di allegare una politica dichiarativa per l'applicazione di una configurazione di base dipende dal caso d'uso specifico.
Per ulteriori informazioni e un esempio illustrativo, vedere. [Rapporto sullo stato dell'account per le politiche dichiarative](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-account-status-report)
## Prerequisiti
Prima di poter generare un rapporto sullo stato dell'account, è necessario eseguire le seguenti operazioni
1. L'`StartDeclarativePoliciesReport`API può essere richiamata solo dall'account di gestione o dagli amministratori delegati di un'organizzazione.
1. È necessario disporre di un bucket S3 prima di generare il report (crearne uno nuovo o utilizzarne uno esistente), deve trovarsi nella stessa regione in cui viene effettuata la richiesta e deve avere una politica di bucket S3 appropriata. Per un esempio di policy S3, consulta *Esempio di policy Amazon S3* in Esempi nel riferimento [alle](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartDeclarativePoliciesReport.html#API_StartDeclarativePoliciesReport_Examples) API di Amazon *EC2*
1. È necessario abilitare l'accesso affidabile per il servizio in cui la politica dichiarativa applicherà una configurazione di base. In questo modo viene creato un ruolo collegato al servizio di sola lettura che viene utilizzato per generare il rapporto sullo stato dell'account contenente la configurazione esistente per gli account dell'organizzazione.
**Utilizzo della console**
Per la console Organizations, questo passaggio fa parte del processo di abilitazione delle politiche dichiarative.
**Utilizzo del AWS CLI**
Per AWS CLI, utilizza l'API [Enable AWSService Access](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html).
Per ulteriori informazioni su come abilitare l'accesso affidabile per un servizio specifico, AWS CLI consulta, [Servizi AWS che puoi utilizzare con AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html).
1. È possibile generare un solo report per organizzazione alla volta. Il tentativo di generare un report mentre ne è in corso un altro genererà un errore.
## Accedi al rapporto sullo stato di conformità
**Autorizzazioni minime**
Per generare un rapporto sullo stato di conformità, è necessaria l'autorizzazione per eseguire le seguenti azioni:
`ec2:StartDeclarativePoliciesReport`
`ec2:DescribeDeclarativePoliciesReports`
`ec2:GetDeclarativePoliciesReportSummary`
`ec2:CancelDeclarativePoliciesReport`
`organizations:DescribeAccount`
`organizations:DescribeOrganization`
`organizations:DescribeOrganizationalUnit`
`organizations:ListAccounts`
`organizations:ListDelegatedAdministrators`
`organizations:ListAWSServiceAccessForOrganization`
`s3:PutObject`
**Nota**
Se il tuo bucket Amazon S3 utilizza la crittografia SSE-KMS, devi includere anche l'autorizzazione nella policy. `kms:GenerateDataKey`
------
#### [ Console di gestione AWS ]
Utilizza la seguente procedura per generare un rapporto sullo stato dell'account.
**Per generare un rapporto sullo stato dell'account**
1. Accedi alla [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root ([non consigliato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) nell'account di gestione dell'organizzazione.
1. Nella pagina **Politiche**, scegli **Politiche dichiarative per EC2**.
1. **Nella pagina **Politiche dichiarative per EC2**, scegli **Visualizza il rapporto sullo stato dell'account** dal menu a discesa Azioni.**
1. Nella pagina **Visualizza il rapporto sullo stato dell'account, scegli **Genera** rapporto sullo stato**.
1. Nel widget **Struttura organizzativa**, specifica quali unità organizzative (OUs) desideri includere nel rapporto.
1. Seleziona **Invia**.
------
#### [ AWS CLI & AWS SDKs ]
**Per generare un rapporto sullo stato dell'account**
Utilizza le seguenti operazioni per generare un rapporto sullo stato di conformità, verificarne lo stato e visualizzare il rapporto:
+ `ec2:start-declarative-policies-report`: genera un rapporto sullo stato dell'account. Il rapporto viene generato in modo asincrono e il completamento può richiedere diverse ore. Per ulteriori informazioni, [StartDeclarativePoliciesReport](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartDeclarativePoliciesReport.html)consulta *Amazon EC2 API* Reference.
+ `ec2:describe-declarative-policies-report`: descrive i metadati di un rapporto sullo stato dell'account, incluso lo stato del rapporto. Per ulteriori informazioni, [DescribeDeclarativePoliciesReports](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeDeclarativePoliciesReports.html)consulta *Amazon EC2 API* Reference.
+ `ec2:get-declarative-policies-report-summary`: recupera un riepilogo del rapporto sullo stato dell'account. Per ulteriori informazioni, [GetDeclarativePoliciesReportSummary](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetDeclarativePoliciesReportSummary.html)consulta *Amazon EC2 API* Reference.
+ `ec2:cancel-declarative-policies-report`: annulla la generazione di un rapporto sullo stato dell'account. Per ulteriori informazioni, [CancelDeclarativePoliciesReport](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CancelDeclarativePoliciesReport.html)consulta *Amazon EC2 API* Reference.
Prima di generare un report, concedi alle politiche dichiarative di EC2 l'accesso principale al bucket Amazon S3 in cui verrà archiviato il report. A tale scopo, allega la seguente policy al bucket. Sostituiscilo `amzn-s3-demo-bucket` con il nome effettivo del bucket Amazon S3 e `identity_ARN` con l'identità IAM utilizzata per chiamare l'API. `StartDeclarativePoliciesReport`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DeclarativePoliciesReportDelivery",
"Effect": "Allow",
"Principal": {
"AWS": "identity_ARN"
},
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "organizations.amazonaws.com"
}
}
}
]
}
```
------
------
# Sintassi ed esempi delle politiche dichiarative
Questa pagina descrive la sintassi delle politiche dichiarative e fornisce esempi.
## Considerazioni
+ Quando si configura un attributo di servizio utilizzando una politica dichiarativa, ciò potrebbe influire su più fattori. APIs Qualsiasi azione non conforme fallirà.
+ Gli amministratori degli account non saranno in grado di modificare il valore dell'attributo di servizio a livello di singolo account.
## Sintassi per le politiche dichiarative
[Una politica dichiarativa è un file di testo semplice strutturato secondo le regole di JSON.](http://json.org) La sintassi per le politiche dichiarative segue la sintassi di tutti i tipi di politiche di gestione. Per una discussione completa di tale sintassi, consulta [Policy syntax and inheritance for management policy types](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_mgmt.html). Questo argomento si concentra sull'applicazione di tale sintassi generale ai requisiti specifici del tipo di politica dichiarativa.
L'esempio seguente mostra la sintassi di base della politica dichiarativa:
```
{
"ec2_attributes": {
"exception_message": {
"@@assign": "Your custom error message.https://myURL"
}
}
}
```
+ Il nome della chiave di campo `ec2_attributes`. Le politiche dichiarative iniziano sempre con un nome di chiave fisso per il dato. Servizio AWSÈ la prima riga nella policy di esempio precedente. Attualmente le politiche dichiarative supportavano solo i servizi correlati ad Amazon EC2.
+ In`ec2_attributes`, puoi utilizzare `exception_message` per impostare un messaggio di errore personalizzato. Per ulteriori informazioni, consulta [Messaggi di errore personalizzati per le politiche dichiarative](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-custom-message).
+ In`ec2_attributes`, puoi inserire una o più delle politiche dichiarative supportate. Per questi schemi, vedi. [Politiche dichiarative supportate](#declarative-policy-examples)
## Politiche dichiarative supportate
Di seguito sono riportati gli attributi Servizi AWS e supportati dalle politiche dichiarative. In alcuni degli esempi seguenti, la formattazione degli spazi bianchi JSON potrebbe essere compressa per risparmiare spazio.
+ VPC blocca l'accesso pubblico
+ Accesso alla console seriale
+ Accesso pubblico a Image Block
+ Impostazioni delle immagini consentite
+ Metadata delle istanze
+ Snapshot Block Public Access
------
#### [ VPC Block Public Access ]
**Effetto della politica**
Controlla se le risorse in Amazon VPCs e le sottoreti possono raggiungere Internet tramite gateway Internet (). IGWs Per ulteriori informazioni, consulta [Configurazione per l'accesso a Internet](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-igw-internet-access.html) nella *Guida per l'utente di Amazon Virtual Private Cloud*.
**Contenuto della policy**
```
{
"ec2_attributes": {
"vpc_block_public_access": {
"internet_gateway_block": {
"mode": {
"@@assign": "block_ingress"
},
"exclusions_allowed": {
"@@assign": "enabled"
}
}
}
}
}
```
Di seguito sono riportati i campi disponibili per questo attributo:
+ `"internet_gateway"`:
+ `"mode"`:
+ `"off"`: VPC BPA non è abilitato.
+ `"block_ingress"`: Tutto il traffico Internet verso VPCs (ad eccezione VPCs delle sottoreti che sono escluse) è bloccato. È consentito solo il traffico da e verso i gateway NAT e i gateway Internet egress-only, poiché questi gateway consentono solo di stabilire connessioni in uscita.
+ `"block_bidirectional"`: Tutto il traffico da e verso i gateway Internet e i gateway Internet solo in uscita (ad eccezione delle sottoreti e delle sottoreti escluse) è bloccato. VPCs
+ `"exclusions_allowed"`: Un'esclusione è una modalità che può essere applicata a un singolo VPC o sottorete che lo esenta dalla modalità VPC BPA dell'account e consentirà l'accesso bidirezionale o solo in uscita.
+ `"enabled"`: Le esclusioni possono essere create dall'account.
+ `"disabled"`: Le esclusioni non possono essere create dall'account.
**Nota**
È possibile utilizzare l'attributo per configurare se le esclusioni sono consentite, ma non è possibile creare esclusioni con questo attributo stesso. Per creare esclusioni, devi crearle nell'account che possiede il VPC. Per ulteriori informazioni sulla creazione di esclusioni VPC BPA, consulta [Creare ed eliminare esclusioni](https://docs.aws.amazon.com//vpc/latest/userguide/security-vpc-bpa.html#security-vpc-bpa-exclusions) nella *Amazon* VPC User Guide.
**Considerazioni**
Se utilizzi questo attributo in una politica dichiarativa, non puoi utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:
+ `ModifyVpcBlockPublicAccessOptions`
+ `CreateVpcBlockPublicAccessExclusion`
+ `ModifyVpcBlockPublicAccessExclusion`
------
#### [ Serial Console Access ]
**Effetto politico**
Controlla se la console seriale EC2 è accessibile. Per ulteriori informazioni sulla console seriale EC2, consulta [Console seriale EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-serial-console.html) nella *Amazon Elastic Compute Cloud User Guide*.
**Contenuti della policy**
```
{
"ec2_attributes": {
"serial_console_access": {
"status": {
"@@assign": "enabled"
}
}
}
}
```
Di seguito sono riportati i campi disponibili per questo attributo:
+ `"status"`:
+ `"enabled"`: L'accesso alla console seriale EC2 è consentito.
+ `"disabled"`: l'accesso alla console seriale EC2 è bloccato.
**Considerazioni**
Se si utilizza questo attributo in una politica dichiarativa, non è possibile utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:
+ `EnableSerialConsoleAccess`
+ `DisableSerialConsoleAccess`
------
#### [ Image Block Public Access ]
**Effetto politico**
Controlla se Amazon Machine Images (AMIs) è condivisibile pubblicamente. Per ulteriori informazioni AMIs, consulta [Amazon Machine Images (AMIs)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) nella *Amazon Elastic Compute Cloud User Guide*.
**Contenuti della policy**
```
{
"ec2_attributes": {
"image_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Di seguito sono riportati i campi disponibili per questo attributo:
+ `"state"`:
+ `"unblocked"`: Nessuna restrizione alla condivisione pubblica di AMIs.
+ `"block_new_sharing"`: Blocca la nuova condivisione pubblica di AMIs. AMIs che erano già condivisi pubblicamente rimangono disponibili al pubblico.
**Considerazioni**
Se si utilizza questo attributo in una politica dichiarativa, non è possibile utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:
+ `EnableImageBlockPublicAccess`
+ `DisableImageBlockPublicAccess`
------
#### [ Allowed Images Settings ]
**Effetto politico**
Controlla il rilevamento e l'uso di Amazon Machine Images (AMI) in Amazon EC2 con Allowed. AMIs Per ulteriori informazioni AMIs, consulta [Controllare l'individuazione e l'uso delle AMI in Amazon EC2 with AMIs Allowed nella Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-allowed-amis.html) *Elastic Compute* Cloud User Guide.
**Contenuti della policy**
Di seguito sono riportati i campi disponibili per questo attributo:
```
{
"ec2_attributes": {
"allowed_images_settings": {
"state": {
"@@assign": "enabled"
},
"image_criteria": {
"criteria_1": {
"allowed_image_providers": {
"@@append": [
"amazon"
]
}
}
}
}
}
}
```
+ `"state"`:
+ `"enabled"`: L'attributo è attivo e applicato.
+ `"disabled"`: l'attributo è inattivo e non applicato.
+ `"audit_mode"`: L'attributo è in modalità di controllo. Ciò significa che identificherà le immagini non conformi ma non ne bloccherà l'utilizzo.
+ `"image_criteria"`: Un elenco di criteri. Supporta fino a 10 criteri con il nome da criteria\$11 a criteria\$110
+ `"allowed_image_providers"`: un elenco separato da virgole di account IDs a 12 cifre o alias del proprietario di Amazon, aws\$1marketplace, aws\$1backup\$1vault.
+ `"image_names"`: i nomi delle immagini consentite. I nomi possono includere caratteri jolly (? e \$1). Lunghezza: 1—128 caratteri. Con? , il minimo è di 3 caratteri.
+ `"marketplace_product_codes"`: i codici prodotto del AWS Marketplace per le immagini consentite. Lunghezza: 1-25 caratteri Caratteri validi: lettere (A—Z, a—z) e numeri (0—9)
+ `"creation_date_condition"`: L'età massima consentita per le immagini.
+ `"maximum_days_since_created"`: Il numero massimo di giorni trascorsi dalla creazione dell'immagine. Intervallo valido: valore minimo di 0. Valore massimo di 2147483647.
+ `"deprecation_time_condition"`: periodo massimo di deprecazione per le immagini consentite.
+ `"maximum_days_since_deprecated"`: Il numero massimo di giorni trascorsi da quando l'immagine è diventata obsoleta. Intervallo valido: valore minimo di 0. Valore massimo di 2147483647.
**Considerazioni**
Se si utilizza questo attributo in una politica dichiarativa, non è possibile utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:
+ `EnableAllowedImagesSettings`
+ `ReplaceImageCriteriaInAllowedImagesSettings`
+ `DisableAllowedImagesSettings`
------
#### [ Instance Metadata ]
**Effetto politico**
Controlla le impostazioni predefinite IMDS e l'applicazione di IMDSv2 per tutti i lanci di nuove istanze EC2. *Per ulteriori informazioni sulle impostazioni predefinite e sull' IMDSv2 applicazione dell'IMDS, consulta [Use i metadati delle istanze per gestire l'istanza EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) User Guide.*
**Contenuti della policy**
Di seguito sono riportati i campi disponibili per questo attributo:
```
{
"ec2_attributes": {
"instance_metadata_defaults": {
"http_tokens": {
"@@assign": "required"
},
"http_put_response_hop_limit": {
"@@assign": "4"
},
"http_endpoint": {
"@@assign": "enabled"
},
"instance_metadata_tags": {
"@@assign": "enabled"
},
"http_tokens_enforced": {
"@@assign": "enabled"
}
}
}
}
```
+ `"http_tokens"`:
+ `"no_preference"`: si applicano altre impostazioni predefinite. Ad esempio, i valori predefiniti AMI, se applicabile.
+ `"required"`: IMDSv2 deve essere usato. IMDSv1 non è consentito.
+ `"optional"`: Sono IMDSv1 IMDSv2 consentiti entrambi.
**Nota**
**Versione dei metadati**
Prima di `http_tokens` impostare su `required` (IMDSv2 deve essere usato), assicurati che nessuna delle tue istanze stia effettuando IMDSv1 chiamate. Per ulteriori informazioni, consulta la [Fase 1: Identifica le istanze con IMDSv2 =optional e verifica IMDSv1 l'utilizzo](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#path-step-1) nella *Amazon EC2* User Guide.
+ `"http_put_response_hop_limit"`:
+ `"Integer"`: Valore intero compreso tra -1 e 64, che rappresenta il numero massimo di hop che il token di metadati può percorrere. Per non indicare alcuna preferenza, specificare -1.
**Nota**
**Limite di hop**
Se `http_tokens` è impostato su`required`, si consiglia di `http_put_response_hop_limit` impostarlo su un minimo di 2. Per ulteriori informazioni, consulta [Considerazioni sull'accesso ai metadati dell'istanza nella Guida](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-data-retrieval.html#imds-considerations) per l'utente di *Amazon Elastic Compute Cloud*.
+ `"http_endpoint"`:
+ `"no_preference"`: si applicano altre impostazioni predefinite. Ad esempio, i valori predefiniti AMI, se applicabile.
+ `"enabled"`: L'endpoint del servizio di metadati dell'istanza è accessibile.
+ `"disabled"`: l'endpoint del servizio di metadati dell'istanza non è accessibile.
+ `"instance_metadata_tags"`:
+ `"no_preference"`: si applicano altre impostazioni predefinite. Ad esempio, i valori predefiniti AMI, se applicabile.
+ `"enabled"`: È possibile accedere ai tag di istanza dai metadati dell'istanza.
+ `"disabled"`: Non è possibile accedere ai tag di istanza dai metadati dell'istanza.
+ `"http_tokens_enforced":`
+ `"no_preference"`: si applicano altre impostazioni predefinite. Ad esempio, i valori predefiniti AMI, se applicabile.
+ `"enabled"`: IMDSv2 deve essere usato. I tentativi di avviare un' IMDSv1 istanza o di attivarla IMDSv1 su istanze esistenti falliranno.
+ `"disabled"`: entrambi IMDSv1 IMDSv2 sono consentiti.
**avvertimento**
**IMDSv2 esecuzione**
Abilitare IMDSv2 l'imposizione mentre si consente IMDSv1 e IMDSv2 (token opzionale) causerà errori di avvio, a meno che non IMDSv1 sia esplicitamente disabilitato, tramite i parametri di avvio o le impostazioni predefinite dell'AMI. Per ulteriori informazioni, consulta [Launching an IMDSv1 -enabled instance fail](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/troubleshooting-launch.html#launching-an-imdsv1-enabled-instance-fails) nella *Amazon EC2* User Guide.
------
#### [ Snapshot Block Public Access ]
**Effetto delle politiche**
Controlla se gli snapshot di Amazon EBS sono accessibili pubblicamente. Per ulteriori informazioni sugli snapshot EBS, consulta gli snapshot di [Amazon EBS nella](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html) *Amazon Elastic Block* Store User Guide.
**Contenuto della policy**
```
{
"ec2_attributes": {
"snapshot_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Di seguito sono riportati i campi disponibili per questo attributo:
+ `"state"`:
+ `"block_all_sharing"`: blocca tutte le condivisioni pubbliche di istantanee. Le istantanee che erano già condivise pubblicamente vengono trattate come private e non sono più disponibili pubblicamente.
+ `"block_new_sharing"`: blocca la nuova condivisione pubblica di istantanee. Le istantanee che erano già condivise pubblicamente rimangono disponibili pubblicamente.
+ `"unblocked"`: nessuna restrizione alla condivisione pubblica delle istantanee.
**Considerazioni**
Se si utilizza questo attributo in una politica dichiarativa, non è possibile utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:
+ `EnableSnapshotBlockPublicAccess`
+ `DisableSnapshotBlockPublicAccess`
------