Sintassi ed esempi delle politiche dichiarative

Questa pagina descrive la sintassi delle politiche dichiarative e fornisce esempi.

Considerazioni

• Quando si configura un attributo di servizio utilizzando una politica dichiarativa, ciò potrebbe influire su più fattori. APIs Qualsiasi azione non conforme fallirà.

• Gli amministratori degli account non saranno in grado di modificare il valore dell'attributo di servizio a livello di singolo account.

Sintassi per le politiche dichiarative

Una politica dichiarativa è un file di testo semplice strutturato secondo le regole di JSON. La sintassi per le politiche dichiarative segue la sintassi di tutti i tipi di politiche di gestione. Per una discussione completa di tale sintassi, consulta Policy syntax and inheritance for management policy types. Questo argomento si concentra sull'applicazione di tale sintassi generale ai requisiti specifici del tipo di politica dichiarativa.

L'esempio seguente mostra la sintassi di base della politica dichiarativa:

{
    "ec2_attributes": {
        "exception_message": {
            "@@assign": "Your custom error message.https://myURL"
        },
    
        ... 
    
        [Insert supported service attributes]
   
        ...
    }   
}

• Il nome della chiave di campo ec2_attributes. Le politiche dichiarative iniziano sempre con un nome di chiave fisso per il dato. Servizio AWSÈ la prima riga nella policy di esempio precedente. Attualmente le politiche dichiarative supportavano solo i servizi EC2 correlati ad Amazon.

• Inec2_attributes, puoi utilizzare exception_message per impostare un messaggio di errore personalizzato. Per ulteriori informazioni, consulta Messaggi di errore personalizzati per le politiche dichiarative.

• Inec2_attributes, puoi inserire una o più delle politiche dichiarative supportate. Per questi schemi, vedi. Politiche dichiarative supportate

Politiche dichiarative supportate

Di seguito sono riportati gli attributi Servizi AWS e supportati dalle politiche dichiarative. In alcuni degli esempi seguenti, la formattazione degli spazi bianchi JSON potrebbe essere compressa per risparmiare spazio.

• VPC blocca l'accesso pubblico

• Accesso alla console seriale

• Accesso pubblico a Image Block

• Impostazioni delle immagini consentite

• Impostazioni predefinite dei metadati delle istanze

• Snapshot Block Public Access

VPC Block Public Access

Effetto della politica

Controlla se le risorse in Amazon VPCs e le sottoreti possono raggiungere Internet tramite gateway Internet (). IGWs Per ulteriori informazioni, consulta Configurazione per l'accesso a Internet nella Guida per l'utente di Amazon Virtual Private Cloud.

Contenuto della policy

"vpc_block_public_access": {
    "internet_gateway_block": { // (optional)
        "mode": { // (required)
            "@@assign": "block_ingress" // off | block_ingress | block_bidirectional
        },
        "exclusions_allowed": { // (required)
            "@@assign": "enabled" // enabled | disabled
        }
    }
}

Di seguito sono riportati i campi disponibili per questo attributo:

• "internet_gateway":

  • "mode":

    • "off": VPC BPA non è abilitato.

    • "block_ingress": Tutto il traffico Internet verso VPCs (ad eccezione VPCs delle sottoreti che sono escluse) è bloccato. È consentito solo il traffico da e verso i gateway NAT e i gateway Internet egress-only, poiché questi gateway consentono solo di stabilire connessioni in uscita.

    • "block_bidirectional": Tutto il traffico da e verso i gateway Internet e i gateway Internet solo in uscita (ad eccezione delle sottoreti e delle sottoreti escluse) è bloccato. VPCs

• "exclusions_allowed": Un'esclusione è una modalità che può essere applicata a un singolo VPC o sottorete che lo esenta dalla modalità VPC BPA dell'account e consentirà l'accesso bidirezionale o solo in uscita.

  • "enabled": Le esclusioni possono essere create dall'account.

  • "disabled": Le esclusioni non possono essere create dall'account.

  Nota

  È possibile utilizzare l'attributo per configurare se le esclusioni sono consentite, ma non è possibile creare esclusioni con questo attributo stesso. Per creare esclusioni, devi crearle nell'account che possiede il VPC. Per ulteriori informazioni sulla creazione di esclusioni VPC BPA, consulta Creare ed eliminare esclusioni nella Amazon VPC User Guide.

Considerazioni

Se utilizzi questo attributo in una politica dichiarativa, non puoi utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:

• ModifyVpcBlockPublicAccessOptions

• CreateVpcBlockPublicAccessExclusion

• ModifyVpcBlockPublicAccessExclusion

Serial Console Access

Effetto delle politiche

Controlla se la console EC2 seriale è accessibile. Per ulteriori informazioni sulla console EC2 seriale, consulta EC2 Serial Console nella Amazon Elastic Compute Cloud User Guide.

Contenuto della policy

"serial_console_access": {
    "status": { // (required)
        "@@assign": "enabled" // enabled | disabled
    }
}

Di seguito sono riportati i campi disponibili per questo attributo:

• "status":

  • "enabled": l'accesso alla console EC2 seriale è consentito.

  • "disabled": l'accesso alla console EC2 seriale è bloccato.

Considerazioni

Se si utilizza questo attributo in una politica dichiarativa, non è possibile utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:

• EnableSerialConsoleAccess

• DisableSerialConsoleAccess

Image Block Public Access

Effetto delle politiche

Controlla se Amazon Machine Images (AMIs) è condivisibile pubblicamente. Per ulteriori informazioni AMIs, consulta Amazon Machine Images (AMIs) nella Amazon Elastic Compute Cloud User Guide.

Contenuto della policy

"image_block_public_access": {
    "state": { // (required)
        "@@assign": "block_new_sharing" // unblocked | block_new_sharing
    }
}

Di seguito sono riportati i campi disponibili per questo attributo:

• "state":

  • "unblocked": Nessuna restrizione alla condivisione pubblica di AMIs.

  • "block_new_sharing": Blocca la nuova condivisione pubblica di AMIs. AMIs che erano già condivisi pubblicamente rimangono disponibili al pubblico.

Considerazioni

Se si utilizza questo attributo in una politica dichiarativa, non è possibile utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:

• EnableImageBlockPublicAccess

• DisableImageBlockPublicAccess

Allowed Images Settings

Effetto delle politiche

Controlla l'individuazione e l'uso di Amazon Machine Images (AMI) in Amazon EC2 con Allowed AMIs. Per ulteriori informazioni AMIs, consulta Controllare l'individuazione e l'uso di AMIs in Amazon EC2 with Allowed AMIs nella Amazon Elastic Compute Cloud User Guide.

Contenuto della policy

Di seguito sono riportati i campi disponibili per questo attributo:

"allowed_images_settings": {
    "state": { // (required)
        "@@assign": "enabled" // enabled | disabled | audit_mode
    },
    "image_criteria": { // (optional)
        "criteria_1": {
            "marketplace_product_codes": { // limit 50
                "@@append": [
                    "abcdefg1234567890" // Letters (A–Z, a–z) and numbers (0–9) and Length: 1-25 characters
                ]
            }
        },
        "criteria_2": {
            "allowed_image_providers": { // limit 200
                "@@append": [
                    "123456789012", // amazon | aws_marketplace | aws_backup_vault | 12 digit account ID
                    "123456789013"
                ]
            },
            "creation_date_condition": {
                "maximum_days_since_created": {
                    "@@assign": 300 // Minimum value of 0. Maximum value of 2147483647
                }
            }
        },
        "criteria_3": {
            "allowed_image_providers": { // limit 200
                "@@assign": [
                    "123456789014" // amazon | aws_marketplace | aws_backup_vault | 12 digit account ID
                ]
            },
            "image_names": { // limit 50
                "@@assign": [
                    "golden-ami-*"
                ]
            }
        },
        "criteria_4": {
            "allowed_image_providers": {
                "@@assign": [
                    "amazon" // amazon | aws_marketplace | aws_backup_vault | 12 digit account ID
                ]
            },
            "deprecation_time_condition": {
                "maximum_days_since_deprecated": {
                    "@@assign": 0 // Minimum value of 0. Maximum value of 2147483647
                }
            }
        }
    }
}

• "state":

  • "enabled": L'attributo è attivo e applicato.

  • "disabled": l'attributo è inattivo e non applicato.

  • "audit_mode": L'attributo è in modalità di controllo. Ciò significa che identificherà le immagini non conformi ma non ne bloccherà l'utilizzo.

• "image_criteria": Un elenco di criteri. Supporta fino a 10 criteri con il nome da criteria_1 a criteria_10

  • "allowed_image_providers": un elenco separato da virgole di account IDs a 12 cifre o alias del proprietario di Amazon, aws_marketplace, aws_backup_vault.

  • "image_names": i nomi delle immagini consentite. I nomi possono includere caratteri jolly (? e *). Lunghezza: 1—128 caratteri. Con? , il minimo è di 3 caratteri.

  • "marketplace_product_codes": i codici prodotto del AWS Marketplace per le immagini consentite. Lunghezza: 1-25 caratteri Caratteri validi: lettere (A—Z, a—z) e numeri (0—9)

  • "creation_date_condition": L'età massima consentita per le immagini.

    • "maximum_days_since_created": Il numero massimo di giorni trascorsi dalla creazione dell'immagine. Intervallo valido: valore minimo di 0. Valore massimo di 2147483647.

  • "deprecation_time_condition": periodo massimo di deprecazione per le immagini consentite.

    • "maximum_days_since_deprecated": Il numero massimo di giorni trascorsi da quando l'immagine è diventata obsoleta. Intervallo valido: valore minimo di 0. Valore massimo di 2147483647.

Considerazioni

Se si utilizza questo attributo in una politica dichiarativa, non è possibile utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:

• EnableAllowedImagesSettings

• ReplaceImageCriteriaInAllowedImagesSettings

• DisableAllowedImagesSettings

Instance Metadata Defaults

Effetto delle politiche

Controlla le impostazioni predefinite IMDS per tutti i lanci di nuove EC2 istanze. Nota che questa configurazione imposta solo i valori predefiniti e non impone le impostazioni della versione IMDS. Per ulteriori informazioni sulle impostazioni predefinite IMDS, consulta IMDS nella Amazon Elastic Compute Cloud User Guide.

Contenuti della policy

Di seguito sono riportati i campi disponibili per questo attributo:

"instance_metadata_defaults": {
    "http_tokens": { // (required)
        "@@assign": "required" // no_preference | required | optional
    },
    "http_put_response_hop_limit": { // (required)
        "@@assign": "4" // -1 | 1 -> 64
    },
    "http_endpoint": { // (required)
        "@@assign": "enabled" // no_preference | enabled | disabled
    },
    "instance_metadata_tags": { // (required)
        "@@assign": "enabled" // no_preference | enabled | disabled
    }
}

• "http_tokens":

  • "no_preference": si applicano altre impostazioni predefinite. Ad esempio, i valori predefiniti AMI, se applicabile.

  • "required": IMDSv2 deve essere usato. IMDSv1 non è consentito.

  • "optional": Sono IMDSv1 IMDSv2 consentiti entrambi.

  Nota

  Versione dei metadati

  Prima di http_tokens impostare su required (IMDSv2 deve essere usato), assicurati che nessuna delle tue istanze stia effettuando IMDSv1 chiamate.

• "http_put_response_hop_limit":

  • "Integer": Valore intero compreso tra -1 e 64, che rappresenta il numero massimo di hop che il token dei metadati può percorrere. Per non indicare alcuna preferenza, specificare -1.

    Nota

    Limite di hop

    Se http_tokens è impostato surequired, si consiglia di http_put_response_hop_limit impostarlo su un minimo di 2. Per ulteriori informazioni, consulta Considerazioni sull'accesso ai metadati dell'istanza nella Guida per l'utente di Amazon Elastic Compute Cloud.

• "http_endpoint":

  • "no_preference": si applicano altre impostazioni predefinite. Ad esempio, i valori predefiniti AMI, se applicabile.

  • "enabled": L'endpoint del servizio di metadati dell'istanza è accessibile.

  • "disabled": l'endpoint del servizio di metadati dell'istanza non è accessibile.

• "instance_metadata_tags":

  • "no_preference": si applicano altre impostazioni predefinite. Ad esempio, i valori predefiniti AMI, se applicabile.

  • "enabled": È possibile accedere ai tag di istanza dai metadati dell'istanza.

  • "disabled": Non è possibile accedere ai tag di istanza dai metadati dell'istanza.

Snapshot Block Public Access

Effetto della politica

Controlla se gli snapshot di Amazon EBS sono accessibili pubblicamente. Per ulteriori informazioni sugli snapshot EBS, consulta gli snapshot di Amazon EBS nella Amazon Elastic Block Store User Guide.

Contenuto della policy

"snapshot_block_public_access": {
    "state": { // (required)
        "@@assign": "block_new_sharing" // unblocked | block_new_sharing | block_all_sharing
    }
}

Di seguito sono riportati i campi disponibili per questo attributo:

• "state":

  • "block_all_sharing": blocca tutte le condivisioni pubbliche di istantanee. Le istantanee che erano già condivise pubblicamente vengono trattate come private e non sono più disponibili pubblicamente.

  • "block_new_sharing": blocca la nuova condivisione pubblica di istantanee. Le istantanee che erano già condivise pubblicamente rimangono disponibili pubblicamente.

  • "unblocked": nessuna restrizione alla condivisione pubblica delle istantanee.

Considerazioni

Se si utilizza questo attributo in una politica dichiarativa, non è possibile utilizzare le seguenti operazioni per modificare la configurazione applicata per gli account inclusi nell'ambito. Questo elenco non è esaustivo:

• EnableSnapshotBlockPublicAccess

• DisableSnapshotBlockPublicAccess