기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
선언적 정책 구문 및 예제
이 페이지에서는 선언적 정책 구문을 설명하고 예제를 제공합니다.
고려 사항
-
선언적 정책을 사용하여 서비스 속성을 구성하면 여러 APIs. 규정을 준수하지 않는 작업은 모두 실패합니다.
-
계정 관리자는 개별 계정 수준에서 서비스 속성의 값을 수정할 수 없습니다.
선언적 정책에 대한 구문
선언적 정책은 JSON
다음 예제에서는 기본 선언적 정책 구문을 보여줍니다.
{ "ec2_attributes": { "exception_message": { "@@assign": "Your custom error message.https://myURL" }, ... [Insert supported service attributes] ... } }
-
ec2_attributes필드 키 이름입니다. 선언적 정책은 항상 지정된의 고정 키 이름으로 시작합니다 AWS 서비스. 위의 예제 정책에서 맨 위 줄입니다. 현재 선언적 정책은 Amazon EC2 관련 서비스만 지원했습니다. -
에서
exception_message를 사용하여 사용자 지정 오류 메시지를ec2_attributes설정할 수 있습니다. 자세한 내용은 선언적 정책에 대한 사용자 지정 오류 메시지를 참조하세요. -
에서 지원되는 선언적 정책을 하나 이상 삽입
ec2_attributes할 수 있습니다. 이러한 스키마는 섹션을 참조하세요지원되는 선언적 정책.
지원되는 선언적 정책
선언적 정책이 지원하는 AWS 서비스 및 속성은 다음과 같습니다. 다음 예제 중 일부에서는 공간을 절약하기 위해 JSON 공백 서식이 압축되었을 수 있습니다.
-
VPC 퍼블릭 액세스 차단
-
직렬 콘솔 액세스
-
이미지 블록 퍼블릭 액세스
-
허용된 이미지 설정
-
인스턴스 메타데이터 기본값
-
스냅샷 퍼블릭 액세스 차단
- VPC Block Public Access
-
정책 효과
Amazon VPCs 및 서브넷의 리소스가 인터넷 게이트웨이(IGWs. 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서의 인터넷 액세스를 위한 구성을 참조하세요.
정책 내용
"vpc_block_public_access": { "internet_gateway_block": { // (optional) "mode": { // (required) "@@assign": "block_ingress" // off | block_ingress | block_bidirectional }, "exclusions_allowed": { // (required) "@@assign": "enabled" // enabled | disabled } } }다음은이 속성에 사용할 수 있는 필드입니다.
-
"internet_gateway":-
"mode":-
"off": VPC BPA가 활성화되지 않았습니다. -
"block_ingress": VPCs에 대한 모든 인터넷 트래픽(제외된 VPCs 또는 서브넷 제외)이 차단됩니다. NAT 게이트웨이 및 송신 전용 인터넷 게이트웨이를 오가는 트래픽만 허용되는데, 이러한 게이트웨이는 아웃바운드 연결만 설정되도록 허용하기 때문입니다. -
"block_bidirectional": 인터넷 게이트웨이 및 외부 전용 인터넷 게이트웨이(제외된 VPCs 및 서브넷 제외)와의 모든 트래픽이 차단됩니다.
-
-
-
"exclusions_allowed": 제외는 계정의 VPC BPA 모드에서 제외하고 양방향 또는 송신 전용 액세스를 허용하는 단일 VPC 또는 서브넷에 적용할 수 있는 모드입니다.-
"enabled": 계정에서 제외 항목을 생성할 수 있습니다. -
"disabled": 계정에서 제외 항목을 생성할 수 없습니다.
참고
속성을 사용하여 제외가 허용되는지 여부를 구성할 수 있지만이 속성 자체로는 제외를 생성할 수 없습니다. 제외 항목을 생성하려면 VPC를 소유한 계정에서 생성해야 합니다. VPC BPA 제외 항목 생성에 대한 자세한 내용은 Amazon VPC 사용 설명서의 제외 항목 생성 및 삭제를 참조하세요.
-
고려 사항
선언적 정책에서이 속성을 사용하는 경우 다음 작업을 사용하여 범위 내 계정에 적용되는 구성을 수정할 수 없습니다. 이 목록은 전체 목록이 아닙니다.
-
ModifyVpcBlockPublicAccessOptions -
CreateVpcBlockPublicAccessExclusion -
ModifyVpcBlockPublicAccessExclusion
-
- Serial Console Access
-
정책 효과
EC2 직렬 콘솔에 액세스할 수 있는지 여부를 제어합니다. EC2 직렬 콘솔에 대한 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서의 EC2 직렬 콘솔을 참조하세요.
정책 내용
"serial_console_access": { "status": { // (required) "@@assign": "enabled" // enabled | disabled } }다음은이 속성에 사용할 수 있는 필드입니다.
-
"status":-
"enabled": EC2 직렬 콘솔 액세스가 허용됩니다. -
"disabled": EC2 직렬 콘솔 액세스가 차단되었습니다.
-
고려 사항
선언적 정책에서이 속성을 사용하는 경우 다음 작업을 사용하여 범위 내 계정에 적용되는 구성을 수정할 수 없습니다. 이 목록은 전체 목록이 아닙니다.
-
EnableSerialConsoleAccess -
DisableSerialConsoleAccess
-
- Image Block Public Access
-
정책 효과
Amazon Machine Image(AMIs. AMI에 대한 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서의 Amazon Machine Image(AMIs)를 참조하세요.
정책 내용
"image_block_public_access": { "state": { // (required) "@@assign": "block_new_sharing" // unblocked | block_new_sharing } }다음은이 속성에 사용할 수 있는 필드입니다.
-
"state":-
"unblocked": AMIs의 공개 공유에는 제한이 없습니다. -
"block_new_sharing": AMIs. 이미 공개적으로 공유된 AMIs 공개적으로 사용할 수 있습니다.
-
고려 사항
선언적 정책에서이 속성을 사용하는 경우 다음 작업을 사용하여 범위 내 계정에 적용되는 구성을 수정할 수 없습니다. 이 목록은 전체 목록이 아닙니다.
-
EnableImageBlockPublicAccess -
DisableImageBlockPublicAccess
-
- Allowed Images Settings
-
정책 효과
허용된 AMI를 사용하여 Amazon EC2에서 Amazon Machine Image(AMIs. AMI에 대한 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서의 허용된 AMIs를 사용하여 Amazon EC2에서 AMIs 검색 및 사용 제어를 참조하세요Amazon EC2.
정책 내용
다음은이 속성에 사용할 수 있는 필드입니다.
"allowed_images_settings": { "state": { // (required) "@@assign": "enabled" // enabled | disabled | audit_mode }, "image_criteria": { // (optional) "criteria_1": { "marketplace_product_codes": { // limit 50 "@@append": [ "abcdefg1234567890" // Letters (A–Z, a–z) and numbers (0–9) and Length: 1-25 characters ] } }, "criteria_2": { "allowed_image_providers": { // limit 200 "@@append": [ "123456789012", // amazon | aws_marketplace | aws_backup_vault | 12 digit account ID "123456789013" ] }, "creation_date_condition": { "maximum_days_since_created": { "@@assign":300// Minimum value of 0. Maximum value of 2147483647 } } }, "criteria_3": { "allowed_image_providers": { // limit 200 "@@assign": [ "123456789014" // amazon | aws_marketplace | aws_backup_vault | 12 digit account ID ] }, "image_names": { // limit 50 "@@assign": [ "golden-ami-*" ] } }, "criteria_4": { "allowed_image_providers": { "@@assign": [ "amazon" // amazon | aws_marketplace | aws_backup_vault | 12 digit account ID ] }, "deprecation_time_condition": { "maximum_days_since_deprecated": { "@@assign":0// Minimum value of 0. Maximum value of 2147483647 } } } } }-
"state":-
"enabled": 속성이 활성 상태이고 적용됩니다. -
"disabled": 속성이 비활성 상태이며 적용되지 않습니다. -
"audit_mode": 속성이 감사 모드입니다. 즉, 규정을 준수하지 않는 이미지를 식별하지만 사용을 차단하지는 않습니다.
-
-
"image_criteria": 기준 목록입니다. criteria_1에서 criteria_10까지의 이름으로 최대 10개의 기준 지원-
"allowed_image_providers": amazon, aws_marketplace, aws_backup_vault의 12자리 계정 IDs 또는 소유자 별칭을 쉼표로 구분한 목록입니다. -
"image_names": 허용되는 이미지의 이름입니다. 이름에는 와일드카드(? 및 *)가 포함될 수 있습니다. 길이: 1~128자. ?의 경우 최소 문자 수는 3자입니다. -
"marketplace_product_codes": 허용된 이미지에 대한 AWS Marketplace 제품 코드입니다. 길이: 1~25자 유효한 문자: 문자(A~Z, a~z) 및 숫자(0~9) -
"creation_date_condition": 허용되는 이미지의 최대 수명입니다.-
"maximum_days_since_created": 이미지가 생성된 이후 경과한 최대 일수입니다. 유효 범위: 최소값은 0입니다. 최대값은 2147483647입니다.
-
-
"deprecation_time_condition": 허용된 이미지의 사용 중단 이후 최대 기간입니다.-
"maximum_days_since_deprecated": 이미지가 더 이상 사용되지 않은 이후 경과한 최대 일수입니다. 유효 범위: 최소값은 0입니다. 최대값은 2147483647입니다.
-
-
고려 사항
선언적 정책에서이 속성을 사용하는 경우 다음 작업을 사용하여 범위 내 계정에 적용되는 구성을 수정할 수 없습니다. 이 목록은 전체 목록이 아닙니다.
-
EnableAllowedImagesSettings -
ReplaceImageCriteriaInAllowedImagesSettings -
DisableAllowedImagesSettings
-
- Instance Metadata Defaults
-
정책 효과
모든 새 EC2 인스턴스 시작에 대한 IMDS 기본값을 제어합니다. 이 구성은 기본값만 설정하며 IMDS 버전 설정을 적용하지 않습니다. IMDS 기본값에 대한 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서의 IMDS를 참조하세요.
정책 내용
다음은이 속성에 사용할 수 있는 필드입니다.
"instance_metadata_defaults": { "http_tokens": { // (required) "@@assign": "required" // no_preference | required | optional }, "http_put_response_hop_limit": { // (required) "@@assign": "4" // -1 | 1 -> 64 }, "http_endpoint": { // (required) "@@assign": "enabled" // no_preference | enabled | disabled }, "instance_metadata_tags": { // (required) "@@assign": "enabled" // no_preference | enabled | disabled } }-
"http_tokens":-
"no_preference": 다른 기본값이 적용됩니다. 예를 들어 AMI는 해당하는 경우 기본값입니다. -
"required": IMDSv2를 사용해야 합니다. IMDSv1은 허용되지 않습니다. -
"optional": IMDSv1과 IMDSv2가 모두 허용됩니다.
참고
메타데이터 버전
http_tokens를required(IMDSv2를 사용해야 함)로 설정하기 전에 IMDSv1 호출을 수행하는 인스턴스가 없는지 확인합니다. -
-
"http_put_response_hop_limit":-
": 메타데이터 토큰이 이동할 수 있는 최대 홉 수를 나타내는 -1~64 사이의 정수 값입니다. 기본 설정이 없음을 표시하려면 -1을 지정합니다.Integer"참고
홉 제한
http_tokens가 로 설정된 경우 최소 2http_put_response_hop_limit로 설정하는required것이 좋습니다. 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서의 인스턴스 메타데이터 액세스 고려 사항을 참조하세요.
-
-
"http_endpoint":-
"no_preference": 다른 기본값이 적용됩니다. 예를 들어 AMI는 해당하는 경우 기본값입니다. -
"enabled": 인스턴스 메타데이터 서비스 엔드포인트에 액세스할 수 있습니다. -
"disabled": 인스턴스 메타데이터 서비스 엔드포인트에 액세스할 수 없습니다.
-
-
"instance_metadata_tags":-
"no_preference": 다른 기본값이 적용됩니다. 예를 들어 AMI는 해당하는 경우 기본값입니다. -
"enabled": 인스턴스 메타데이터에서 인스턴스 태그에 액세스할 수 있습니다. -
"disabled": 인스턴스 메타데이터에서 인스턴스 태그에 액세스할 수 없습니다.
-
-
- Snapshot Block Public Access
-
정책 효과
Amazon EBS 스냅샷에 공개적으로 액세스할 수 있는지 여부를 제어합니다. EBS 스냅샷에 대한 자세한 내용은 Amazon Elastic Block Store 사용 설명서의 Amazon EBS 스냅샷을 참조하세요.
정책 내용
"snapshot_block_public_access": { "state": { // (required) "@@assign": "block_new_sharing" // unblocked | block_new_sharing | block_all_sharing } }다음은이 속성에 사용할 수 있는 필드입니다.
-
"state":-
"block_all_sharing": 스냅샷의 모든 퍼블릭 공유를 차단합니다. 이미 공개적으로 공유된 스냅샷은 비공개로 취급되며 더 이상 공개적으로 사용할 수 없습니다. -
"block_new_sharing": 스냅샷의 새 퍼블릭 공유를 차단합니다. 이미 공개적으로 공유된 스냅샷은 공개적으로 사용할 수 있습니다. -
"unblocked": 스냅샷의 공개 공유에는 제한이 없습니다.
-
고려 사항
선언적 정책에서이 속성을 사용하는 경우 다음 작업을 사용하여 범위 내 계정에 적용되는 구성을 수정할 수 없습니다. 이 목록은 전체 목록이 아닙니다.
-
EnableSnapshotBlockPublicAccess -
DisableSnapshotBlockPublicAccess
-
