View a markdown version of this page

Políticas do EC2 - AWS Organizations

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas do EC2

As políticas do EC2 permitem que você declare e aplique centralmente as configurações desejadas para Amazon EC2, Amazon VPC e Amazon EBS em grande escala em toda a organização. Depois de conectada, a configuração é sempre mantida quando o serviço adiciona novos recursos ou APIs.

Mensagens de erro personalizadas para políticas do EC2

As políticas do EC2 permitem que você crie mensagens de erro personalizadas. Por exemplo, se uma operação de API falhar devido a uma política do EC2, você pode definir a mensagem de erro ou fornecer uma URL personalizada, como um link para um wiki interno ou um link para uma mensagem que descreva a falha. Se você não especificar uma mensagem de erro personalizada, AWS Organizations fornece a seguinte mensagem de erro padrão:Example: This action is denied due to an organizational policy in effect.

Você também pode auditar o processo de criação de políticas do EC2, atualização das políticas do EC2 e exclusão das políticas do EC2 com. AWS CloudTrail CloudTrail pode sinalizar falhas na operação da API devido às políticas do EC2. Para obter mais informações, consulte Registro em log e monitoramento.

Importante

Não inclua informações de identificação pessoal (PII) nem outras informações confidenciais em uma mensagem de erro personalizada. As PII incluem informações gerais que podem ser usadas para identificar ou localizar um indivíduo. Elas abrangem registros financeiros, médicos, educacionais ou trabalhistas. Exemplos de PII incluem endereços, números de contas bancárias e números de telefone.

Relatório de status da conta para políticas do EC2

O relatório de status da conta permite que você revise o status atual de todos os atributos suportados pelas políticas do EC2 para as contas no escopo. Você pode escolher as contas e unidades organizacionais (UOs) a serem incluídas no escopo do relatório ou escolher uma organização inteira selecionando a raiz.

Esse relatório ajuda você a avaliar a prontidão fornecendo um detalhamento por região e se o estado atual de um atributo é uniforme em todas as contas (por meio de numberOfMatchedAccounts) ou inconsistente (por meio de numberOfUnmatchedAccounts). Você também pode ver o valor mais frequente, que é o valor de configuração observado com mais frequência para o atributo.

Na Figura 1, há um relatório de status da conta gerado, que mostra a uniformidade entre as contas para os seguintes atributos: VPC Block Public Access e Image Block Public Access. Isso significa que, para cada atributo, todas as contas no escopo têm a mesma configuração para esse atributo.

O relatório de status da conta gerado mostra inconsistências nas seguintes contas para os seguintes atributos: configurações de imagens permitidas, metadados padrão da instância, acesso ao console de série e acesso público a snapshots. Neste exemplo, cada atributo com uma conta inconsistente se deve ao fato de haver uma conta com um valor de configuração diferente.

Se houver um valor mais frequente, ele será exibido em sua respectiva coluna. Para obter informações mais detalhadas sobre o que cada atributo controla, consulte a sintaxe da política do EC2 e exemplos de políticas.

Você também pode expandir um atributo para ver um detalhamento da região. Neste exemplo, o Bloqueio de Acesso Público de Imagens é expandido e, em cada região, você pode ver que também há uniformidade entre as contas.

A opção de anexar uma política do EC2 para impor uma configuração básica depende do seu caso de uso específico. Use o relatório de status da conta para ajudá-lo a avaliar sua prontidão antes de anexar uma política do EC2.

Para obter mais informações, consulte Geração do relatório de status da conta.

Exemplo de relatório de status da conta com uniformidade entre as contas para Acesso Público ao Bloco VPC e Acesso Público ao Bloco de Imagens.

Figura 1: exemplo de relatório de status da conta com uniformidade entre as contas para Acesso Público ao Bloco VPC e Acesso Público ao Bloco de Imagens.

Atributos compatíveis com políticas do EC2

A tabela a seguir mostra os atributos compatíveis com os serviços relacionados ao Amazon EC2.

Políticas do EC2
AWS serviço Atributo Efeito da política Conteúdo da política Mais informações
Amazon VPC Bloqueio de acesso público a VPC Controla se os recursos em VPCs e sub-redes da Amazon podem acessar a internet por meio de gateways de internet (IGWs). Exibir política Para obter mais informações, consulte Bloquear acesso público às VPCs e sub-redes no Guia do usuário do Amazon VPC.
Amazon EC2 Acesso ao console de série Controla se o console de série do EC2 está acessível. Exibir política Para obter mais informações, consulte Configurar o acesso ao console de série do EC2 no Guia do usuário do Amazon Elastic Compute Cloud.
Bloqueio de acesso público a imagens Controla se imagens de máquina da Amazon (AMIs) podem ser compartilhadas publicamente. Exibir política Para obter mais informações, consulte Entenda como bloquear o acesso público para AMIs no Guia do usuário do Amazon Elastic Compute Cloud.
Configurações de imagens permitidas Controla a descoberta e o uso de imagens de máquina da Amazon (AMI) no Amazon EC2 com AMIs permitidas. Exibir política Para obter mais informações, consulte Imagens de máquina da Amazon (AMIs) no Guia do usuário do Amazon Elastic Compute Cloud.
Padrões de metadados de instância Controla os padrões do IMDS para todas as novas instâncias do EC2 lançadas. Exibir política Para ter mais informações, consulte Configurar as opções de metadados para novas instâncias no Guia do usuário do Amazon Elastic Compute Cloud.
Amazon EBS Bloqueio do acesso público a snapshots Controla se os snapshots do Amazon EBS estão acessíveis ao público. Exibir política Para obter mais informações, consulte Bloquear acesso público aos snapshots do Amazon EBS no Guia do usuário do Amazon Elastic Block Store.