Sintaks kebijakan deklaratif dan contoh - AWS Organizations
PertimbanganSintaks untuk kebijakan deklaratifKebijakan deklaratif yang didukung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sintaks kebijakan deklaratif dan contoh

Halaman ini menjelaskan sintaks kebijakan deklaratif dan memberikan contoh.

Pertimbangan

  • Saat Anda mengonfigurasi atribut layanan menggunakan kebijakan deklaratif, itu mungkin berdampak pada beberapa APIs atribut. Setiap tindakan yang tidak patuh akan gagal.

  • Administrator akun tidak akan dapat mengubah nilai atribut layanan di tingkat akun individu.

Sintaks untuk kebijakan deklaratif

Kebijakan deklaratif adalah file plaintext yang terstruktur sesuai dengan aturan JSON. Sintaks untuk kebijakan deklaratif mengikuti sintaks untuk semua jenis kebijakan manajemen. Untuk pembahasan lengkap tentang sintaksis itu, lihat Sintaksis kebijakan dan warisan untuk jenis kebijakan pengelolaan. Topik ini berfokus pada penerapan sintaks umum tersebut ke persyaratan spesifik dari jenis kebijakan deklaratif.

Contoh berikut menunjukkan sintaks kebijakan deklaratif dasar:

{
    "ec2_attributes": {
        "exception_message": {
            "@@assign": "Your custom error message.https://myURL"
        },
    
        ... 
    
        [Insert supported service attributes]
   
        ...
    }   
}

  • Nama kunci bidang ec2_attributes. Kebijakan deklaratif selalu dimulai dengan nama kunci tetap untuk yang diberikan Layanan AWS. Ini adalah baris teratas dalam contoh kebijakan di atas. Saat ini kebijakan deklaratif hanya mendukung layanan EC2 terkait Amazon.

  • Di bawahec2_attributes, Anda dapat menggunakan exception_message untuk mengatur pesan kesalahan kustom. Untuk selengkapnya, lihat Pesan galat khusus untuk kebijakan deklaratif.

  • Di bawahec2_attributes, Anda dapat menyisipkan satu atau beberapa kebijakan deklaratif yang didukung. Untuk skema itu, lihatKebijakan deklaratif yang didukung.

Kebijakan deklaratif yang didukung

Berikut ini adalah Layanan AWS dan atribut yang didukung kebijakan deklaratif. Dalam beberapa contoh berikut, format spasi kosong JSON mungkin dikompresi untuk menghemat ruang.

  • VPC Blokir Akses Publik

  • Akses Konsol Serial

  • Blok Gambar Akses Publik

  • Pengaturan Gambar yang Diizinkan

  • Default Metadata Instance

  • Snapshot Memblokir Akses Publik

VPC Block Public Access

Efek kebijakan

Mengontrol apakah sumber daya di Amazon VPCs dan subnet dapat mencapai internet melalui gateway internet (). IGWs Untuk informasi selengkapnya, lihat Konfigurasi untuk akses internet di Panduan Pengguna Amazon Virtual Private Cloud.

Isi kebijakan

"vpc_block_public_access": {
    "internet_gateway_block": { // (optional)
        "mode": { // (required)
            "@@assign": "block_ingress" // off | block_ingress | block_bidirectional
        },
        "exclusions_allowed": { // (required)
            "@@assign": "enabled" // enabled | disabled
        }
    }
}

Berikut ini adalah bidang yang tersedia untuk atribut ini:

  • "internet_gateway":

    • "mode":

      • "off": VPC BPA tidak diaktifkan.

      • "block_ingress": Semua lalu lintas internet ke VPCs (kecuali untuk VPCs atau subnet yang dikecualikan) diblokir. Hanya lalu lintas ke dan dari gateway NAT dan gateway internet khusus egres yang diizinkan karena gateway ini hanya memungkinkan koneksi keluar dibuat.

      • "block_bidirectional"Semua lalu lintas ke dan dari gateway internet dan gateway internet khusus egress-only (kecuali untuk dikecualikan dan subnet) diblokir. VPCs

  • "exclusions_allowed"Pengecualian adalah mode yang dapat diterapkan ke satu VPC atau subnet yang mengecualikannya dari mode VPC BPA akun dan akan memungkinkan akses dua arah atau egress-only.

    • "enabled": Pengecualian dapat dibuat oleh akun.

    • "disabled": Pengecualian tidak dapat dibuat oleh akun.

    catatan

    Anda dapat menggunakan atribut untuk mengonfigurasi jika pengecualian diizinkan, tetapi Anda tidak dapat membuat pengecualian dengan atribut ini sendiri. Untuk membuat pengecualian, Anda harus membuatnya di akun yang memiliki VPC. Untuk informasi selengkapnya tentang membuat pengecualian BPA VPC, lihat Membuat dan menghapus pengecualian di Panduan Pengguna Amazon VPC.

Pertimbangan-pertimbangan

Jika Anda menggunakan atribut ini dalam kebijakan deklaratif, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diberlakukan untuk akun dalam cakupan. Daftar ini tidak lengkap:

  • ModifyVpcBlockPublicAccessOptions

  • CreateVpcBlockPublicAccessExclusion

  • ModifyVpcBlockPublicAccessExclusion

Serial Console Access

Efek kebijakan

Kontrol jika konsol EC2 serial dapat diakses. Untuk informasi selengkapnya tentang konsol EC2 serial, lihat Konsol EC2 Serial di Panduan Pengguna Amazon Elastic Compute Cloud.

Isi kebijakan

"serial_console_access": {
    "status": { // (required)
        "@@assign": "enabled" // enabled | disabled
    }
}

Berikut ini adalah bidang yang tersedia untuk atribut ini:

  • "status":

    • "enabled": akses konsol EC2 serial diperbolehkan.

    • "disabled": akses konsol EC2 serial diblokir.

Pertimbangan-pertimbangan

Jika Anda menggunakan atribut ini dalam kebijakan deklaratif, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diberlakukan untuk akun dalam cakupan. Daftar ini tidak lengkap:

  • EnableSerialConsoleAccess

  • DisableSerialConsoleAccess

Image Block Public Access

Efek kebijakan

Mengontrol jika Amazon Machine Images (AMIs) dapat dibagikan secara publik. Untuk informasi selengkapnya AMIs, lihat Amazon Machine Images (AMIs) di Panduan Pengguna Amazon Elastic Compute Cloud.

Isi kebijakan

"image_block_public_access": {
    "state": { // (required)
        "@@assign": "block_new_sharing" // unblocked | block_new_sharing
    }
}

Berikut ini adalah bidang yang tersedia untuk atribut ini:

  • "state":

    • "unblocked": Tidak ada batasan pada berbagi publik AMIs.

    • "block_new_sharing": Memblokir berbagi publik baru dari AMIs. AMIs yang sudah dibagikan secara publik tetap tersedia untuk umum.

Pertimbangan-pertimbangan

Jika Anda menggunakan atribut ini dalam kebijakan deklaratif, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diberlakukan untuk akun dalam cakupan. Daftar ini tidak lengkap:

  • EnableImageBlockPublicAccess

  • DisableImageBlockPublicAccess

Allowed Images Settings

Efek kebijakan

Mengontrol penemuan dan penggunaan Amazon Machine Images (AMI) di Amazon EC2 dengan Diizinkan AMIs. Untuk informasi selengkapnya AMIs, lihat Mengontrol penemuan dan penggunaan AMIs di Amazon EC2 dengan Diizinkan AMIs di Panduan Pengguna Amazon Elastic Compute Cloud.

Isi kebijakan

Berikut ini adalah bidang yang tersedia untuk atribut ini:

"allowed_images_settings": {
    "state": { // (required)
        "@@assign": "enabled" // enabled | disabled | audit_mode
    },
    "image_criteria": { // (optional)
        "criteria_1": {
            "marketplace_product_codes": { // limit 50
                "@@append": [
                    "abcdefg1234567890" // Letters (A–Z, a–z) and numbers (0–9) and Length: 1-25 characters
                ]
            }
        },
        "criteria_2": {
            "allowed_image_providers": { // limit 200
                "@@append": [
                    "123456789012", // amazon | aws_marketplace | aws_backup_vault | 12 digit account ID
                    "123456789013"
                ]
            },
            "creation_date_condition": {
                "maximum_days_since_created": {
                    "@@assign": 300 // Minimum value of 0. Maximum value of 2147483647
                }
            }
        },
        "criteria_3": {
            "allowed_image_providers": { // limit 200
                "@@assign": [
                    "123456789014" // amazon | aws_marketplace | aws_backup_vault | 12 digit account ID
                ]
            },
            "image_names": { // limit 50
                "@@assign": [
                    "golden-ami-*"
                ]
            }
        },
        "criteria_4": {
            "allowed_image_providers": {
                "@@assign": [
                    "amazon" // amazon | aws_marketplace | aws_backup_vault | 12 digit account ID
                ]
            },
            "deprecation_time_condition": {
                "maximum_days_since_deprecated": {
                    "@@assign": 0 // Minimum value of 0. Maximum value of 2147483647
                }
            }
        }
    }
}

  • "state":

    • "enabled": Atribut aktif dan ditegakkan.

    • "disabled": Atribut tidak aktif dan tidak ditegakkan.

    • "audit_mode": Atribut dalam mode audit. Ini berarti akan mengidentifikasi gambar yang tidak sesuai tetapi tidak memblokir penggunaannya.

  • "image_criteria": Daftar kriteria. Support hingga 10 kriteria dengan nama dari criteria_1 hingga criteria_10

    • "allowed_image_providers": Daftar 12 digit akun IDs atau alias pemilik amazon, aws_marketplace, aws_backup_vault yang dipisahkan koma.

    • "image_names": Nama-nama gambar yang diizinkan. Nama dapat mencakup wildcard (? dan *). Panjang: 1—128 karakter. Dengan? , minimum adalah 3 karakter.

    • "marketplace_product_codes": Kode produk AWS Marketplace untuk gambar yang diizinkan. Panjang: 1-25 karakter Karakter yang valid: Huruf (A—Z, a-z) dan angka (0-9)

    • "creation_date_condition": Usia maksimum untuk gambar yang diizinkan.

      • "maximum_days_since_created": Jumlah maksimum hari yang telah berlalu sejak gambar dibuat. Rentang yang Valid: Nilai minimum 0. Nilai maksimum 2147483647.

    • "deprecation_time_condition": Periode maksimum sejak penghentian untuk gambar yang diizinkan.

      • "maximum_days_since_deprecated": Jumlah maksimum hari yang telah berlalu sejak gambar tidak digunakan lagi. Rentang yang Valid: Nilai minimum 0. Nilai maksimum 2147483647.

Pertimbangan-pertimbangan

Jika Anda menggunakan atribut ini dalam kebijakan deklaratif, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diberlakukan untuk akun dalam cakupan. Daftar ini tidak lengkap:

  • EnableAllowedImagesSettings

  • ReplaceImageCriteriaInAllowedImagesSettings

  • DisableAllowedImagesSettings

Instance Metadata Defaults

Efek kebijakan

Mengontrol default IMDS untuk semua peluncuran instance baru. EC2 Perhatikan bahwa konfigurasi ini hanya menetapkan default dan tidak menerapkan pengaturan versi IMDS. Untuk informasi selengkapnya tentang default IMDS, lihat IMDS di Panduan Pengguna Amazon Elastic Compute Cloud.

Isi kebijakan

Berikut ini adalah bidang yang tersedia untuk atribut ini:

"instance_metadata_defaults": {
    "http_tokens": { // (required)
        "@@assign": "required" // no_preference | required | optional
    },
    "http_put_response_hop_limit": { // (required)
        "@@assign": "4" // -1 | 1 -> 64
    },
    "http_endpoint": { // (required)
        "@@assign": "enabled" // no_preference | enabled | disabled
    },
    "instance_metadata_tags": { // (required)
        "@@assign": "enabled" // no_preference | enabled | disabled
    }
}

  • "http_tokens":

    • "no_preference": Default lainnya berlaku. Misalnya, AMI default jika berlaku.

    • "required": IMDSv2 harus digunakan. IMDSv1 tidak diperbolehkan.

    • "optional": Keduanya IMDSv1 dan IMDSv2 diizinkan.

    catatan

    Versi metadata

    Sebelum menyetel http_tokens ke required (IMDSv2 harus digunakan), pastikan tidak ada instans Anda yang melakukan IMDSv1 panggilan.

  • "http_put_response_hop_limit":

    • "Integer": Nilai integer dari -1 hingga 64, mewakili jumlah hop maksimum yang dapat ditempuh oleh token metadata. Untuk menunjukkan tidak ada preferensi, tentukan -1.

      catatan

      Batas hop

      Jika http_tokens diatur kerequired, disarankan untuk mengatur http_put_response_hop_limit ke minimal 2. Untuk informasi selengkapnya, lihat Pertimbangan akses metadata instans di Panduan Pengguna Amazon Elastic Compute Cloud.

  • "http_endpoint":

    • "no_preference": Default lainnya berlaku. Misalnya, AMI default jika berlaku.

    • "enabled": Titik akhir layanan metadata instance dapat diakses.

    • "disabled": Titik akhir layanan metadata instance tidak dapat diakses.

  • "instance_metadata_tags":

    • "no_preference": Default lainnya berlaku. Misalnya, AMI default jika berlaku.

    • "enabled": Tag Instance dapat diakses dari metadata instance.

    • "disabled": Tag instance tidak dapat diakses dari metadata instance.

Snapshot Block Public Access

Efek kebijakan

Kontrol jika snapshot Amazon EBS dapat diakses publik. Untuk informasi selengkapnya tentang snapshot EBS, lihat snapshot Amazon EBS di Panduan Pengguna Amazon Elastic Block Store.

Isi kebijakan

"snapshot_block_public_access": {
    "state": { // (required)
        "@@assign": "block_new_sharing" // unblocked | block_new_sharing | block_all_sharing
    }
}

Berikut ini adalah bidang yang tersedia untuk atribut ini:

  • "state":

    • "block_all_sharing": Memblokir semua berbagi foto secara publik. Snapshot yang sudah dibagikan secara publik diperlakukan sebagai pribadi dan tidak lagi tersedia untuk umum.

    • "block_new_sharing": Memblokir berbagi snapshot publik baru. Snapshot yang sudah dibagikan secara publik tetap tersedia untuk umum.

    • "unblocked": Tidak ada batasan pada berbagi foto secara publik.

Pertimbangan-pertimbangan

Jika Anda menggunakan atribut ini dalam kebijakan deklaratif, Anda tidak dapat menggunakan operasi berikut untuk mengubah konfigurasi yang diberlakukan untuk akun dalam cakupan. Daftar ini tidak lengkap:

  • EnableSnapshotBlockPublicAccess

  • DisableSnapshotBlockPublicAccess