Sintaxe e exemplos de políticas declarativas

Esta página descreve a sintaxe da política declarativa e fornece exemplos.

Considerações

• Quando você configura um atributo de serviço usando uma política declarativa, isso pode afetar vários APIs. Qualquer ação não compatível falhará.

• Os administradores da conta não poderão modificar o valor do atributo de serviço no nível da conta individual.

Sintaxe para políticas declarativas

Uma política declarativa é um arquivo de texto simples estruturado de acordo com as regras do JSON. A sintaxe das políticas declarativas segue a sintaxe de todos os tipos de políticas de gerenciamento. Para obter uma discussão completa sobre essa sintaxe, consulte Sintaxe de política e herança para tipos de política de gerenciamento. Este tópico se concentra na aplicação dessa sintaxe geral aos requisitos específicos do tipo de política declarativa.

O exemplo a seguir mostra a sintaxe básica da política declarativa:

{
    "ec2_attributes": {
        "exception_message": {
            "@@assign": "Your custom error message.https://myURL"
        },
    
        ... 
    
        [Insert supported service attributes]
   
        ...
    }   
}

• O nome da chave de campo ec2_attributes. As políticas declarativas sempre começam com um nome de chave fixo para o determinado AWS service (Serviço da AWS). É a linha superior na política de exemplo acima. Atualmente, as políticas declarativas só oferecem suporte EC2 aos serviços relacionados à Amazon.

• Emec2_attributes, você pode usar exception_message para definir uma mensagem de erro personalizada. Para obter mais informações, consulte Mensagens de erro personalizadas para políticas declarativas.

• Emec2_attributes, você pode inserir uma ou mais das políticas declarativas suportadas. Para esses esquemas, consultePolíticas declarativas suportadas.

Políticas declarativas suportadas

A seguir estão os atributos Serviços da AWS e que as políticas declarativas suportam. Em alguns dos exemplos a seguir, a formatação de espaço em branco JSON pode ser compactada para economizar espaço.

VPC Block Public Access

Efeito político

Controla se os recursos na Amazon VPCs e nas sub-redes podem acessar a Internet por meio de gateways da Internet (). IGWs Para obter mais informações, consulte Configuração para acesso à Internet no Guia do usuário da Amazon Virtual Private Cloud.

Conteúdo da política

"vpc_block_public_access": {
    "internet_gateway_block": { // (optional)
        "mode": { // (required)
            "@@assign": "block_ingress" // off | block_ingress | block_bidirectional
        },
        "exclusions_allowed": { // (required)
            "@@assign": "enabled" // enabled | disabled
        }
    }
}

A seguir estão os campos disponíveis para esse atributo:

• "internet_gateway":

  • "mode":

    • "off": o VPC BPA não está ativado.

    • "block_ingress": Todo o tráfego da Internet para o VPCs (exceto para VPCs as sub-redes que estão excluídas) está bloqueado. Apenas o tráfego de e para gateways NAT e gateways da Internet somente de saída é permitido porque esses gateways só permitem o estabelecimento de conexões de saída.

    • "block_bidirectional": Todo o tráfego de e para gateways de internet e gateways de internet somente de saída (exceto excluídos VPCs e sub-redes) está bloqueado.

• "exclusions_allowed": uma exclusão é um modo que pode ser aplicado a uma única VPC ou sub-rede que a isenta do modo VPC BPA da conta e permite acesso bidirecional ou somente de saída.

  • "enabled": as exclusões podem ser criadas pela conta.

  • "disabled": as exclusões não podem ser criadas pela conta.

  nota

  Você pode usar o atributo para configurar se as exclusões são permitidas, mas não é possível criar exclusões com esse atributo em si. Para criar exclusões, você deve criá-las na conta proprietária da VPC. Para obter mais informações sobre a criação de exclusões de VPC BPA, consulte Criar e excluir exclusões no Guia do usuário da Amazon VPC.

Considerações

Se você usar esse atributo em uma política declarativa, não poderá usar as operações a seguir para modificar a configuração imposta para as contas no escopo. Esta lista não é exaustiva:

• ModifyVpcBlockPublicAccessOptions

• CreateVpcBlockPublicAccessExclusion

• ModifyVpcBlockPublicAccessExclusion

Serial Console Access

Efeito político

Controla se o console EC2 serial está acessível. Para obter mais informações sobre o console EC2 serial, consulte o console EC2 serial no Guia do usuário do Amazon Elastic Compute Cloud.

Conteúdo da política

"serial_console_access": {
    "status": { // (required)
        "@@assign": "enabled" // enabled | disabled
    }
}

A seguir estão os campos disponíveis para esse atributo:

• "status":

  • "enabled": o acesso ao console EC2 serial é permitido.

  • "disabled": o acesso ao console EC2 serial está bloqueado.

Considerações

Se você usar esse atributo em uma política declarativa, não poderá usar as operações a seguir para modificar a configuração imposta para as contas no escopo. Esta lista não é exaustiva:

• EnableSerialConsoleAccess

• DisableSerialConsoleAccess

Image Block Public Access

Efeito político

Controla se as Amazon Machine Images (AMIs) podem ser compartilhadas publicamente. Para obter mais informações sobre AMIs, consulte Amazon Machine Images (AMIs) no Guia do usuário do Amazon Elastic Compute Cloud.

Conteúdo da política

"image_block_public_access": {
    "state": { // (required)
        "@@assign": "block_new_sharing" // unblocked | block_new_sharing
    }
}

A seguir estão os campos disponíveis para esse atributo:

• "state":

  • "unblocked": Sem restrições ao compartilhamento público de AMIs.

  • "block_new_sharing": Bloqueia o novo compartilhamento público de AMIs. AMIs que já foram compartilhados publicamente permanecem disponíveis publicamente.

Considerações

Se você usar esse atributo em uma política declarativa, não poderá usar as operações a seguir para modificar a configuração imposta para as contas no escopo. Esta lista não é exaustiva:

• EnableImageBlockPublicAccess

• DisableImageBlockPublicAccess

Allowed Images Settings

Efeito político

Controla a descoberta e o uso de Amazon Machine Images (AMI) na Amazon EC2 com Allowed AMIs.. Para obter mais informações sobre AMIs, consulte Amazon Machine Images (AMIs) no Guia do usuário do Amazon Elastic Compute Cloud.

Conteúdo da política

A seguir estão os campos disponíveis para esse atributo:

"allowed_images_settings": {
    "state": { // (required)
        "@@assign": "enabled" // enabled | disabled | audit_mode
    },
    "image_criteria": { // (optional)
        "criteria_1": {
            "allowed_image_providers": { // limit 200
                "@@append": [
                    "amazon" // amazon | aws_marketplace | aws_backup_vault | 12 digit account ID
                ]
            }
        }
    }
}

• "state":

  • "enabled": O atributo está ativo e obrigatório.

  • "disabled": o atributo está inativo e não é obrigatório.

  • "audit_mode": O atributo está no modo de auditoria. Isso significa que ele identificará imagens não compatíveis, mas não bloqueará seu uso.

• "image_criteria": uma lista de allowed_image_providers objetos que definem as fontes de AMI permitidas.

  • "allowed_image_providers": uma lista separada por vírgulas de nomes de provedores ou contas. IDs

Considerações

Se você usar esse atributo em uma política declarativa, não poderá usar as operações a seguir para modificar a configuração imposta para as contas no escopo. Esta lista não é exaustiva:

• EnableAllowedImagesSettings

• ReplaceImageCriteriaInAllowedImagesSettings

• DisableAllowedImagesSettings

Instance Metadata Defaults

Efeito político

Controla os padrões do IMDS para todas as novas EC2 execuções de instâncias. Para obter mais informações sobre os padrões do IMDS, consulte o IMDS no Guia do usuário do Amazon Elastic Compute Cloud.

Conteúdo da política

A seguir estão os campos disponíveis para esse atributo:

"instance_metadata_defaults": {
    "http_tokens": { // (required)
        "@@assign": "required" // no_preference | required | optional
    },
    "http_put_response_hop_limit": { // (required)
        "@@assign": "4" // -1 | 1 -> 64
    },
    "http_endpoint": { // (required)
        "@@assign": "enabled" // no_preference | enabled | disabled
    },
    "instance_metadata_tags": { // (required)
        "@@assign": "enabled" // no_preference | enabled | disabled
    }
}

• "http_tokens":

  • "no_preference": Outros padrões se aplicam. Por exemplo, a AMI usa como padrão, se aplicável.

  • "required": IMDSv2 deve ser usado. IMDSv1 não é permitido.

  • "optional": Ambos IMDSv1 IMDSv2 são permitidos.

  nota

  Versão de metadados

  Antes de http_tokens configurar como required (IMDSv2 deve ser usado), certifique-se de que nenhuma das suas instâncias esteja fazendo IMDSv1 chamadas.

• "http_put_response_hop_limit":

  • "Integer": valor inteiro de -1 a 64, representando o número máximo de saltos que o token de metadados pode percorrer. Para indicar que não há preferência, especifique -1.

    nota

    Limite de salto

    Se http_tokens estiver definido comorequired, é recomendável http_put_response_hop_limit definir no mínimo 2. Para obter mais informações, consulte Considerações sobre o acesso aos metadados da instância no Guia do usuário do Amazon Elastic Compute Cloud.

• "http_endpoint":

  • "no_preference": Outros padrões se aplicam. Por exemplo, a AMI usa como padrão, se aplicável.

  • "enabled": o endpoint do serviço de metadados da instância está acessível.

  • "disabled": o endpoint do serviço de metadados da instância não está acessível.

• "instance_metadata_tags":

  • "no_preference": Outros padrões se aplicam. Por exemplo, a AMI usa como padrão, se aplicável.

  • "enabled": as tags de instância podem ser acessadas a partir dos metadados da instância.

  • "disabled": as tags da instância não podem ser acessadas a partir dos metadados da instância.

Snapshot Block Public Access

Efeito político

Controla se os snapshots do Amazon EBS estão acessíveis ao público. Para obter mais informações sobre os snapshots do EBS, consulte os snapshots do Amazon EBS no Guia do usuário do Amazon Elastic Block Store.

Conteúdo da política

"snapshot_block_public_access": {
    "state": { // (required)
        "@@assign": "block_new_sharing" // unblocked | block_new_sharing | block_all_sharing
    }
}

A seguir estão os campos disponíveis para esse atributo:

• "state":

  • "block_all_sharing": bloqueia todo o compartilhamento público de instantâneos. Os instantâneos que já foram compartilhados publicamente são tratados como privados e não estão mais disponíveis publicamente.

  • "block_new_sharing": bloqueia o novo compartilhamento público de instantâneos. Os instantâneos que já foram compartilhados publicamente permanecem disponíveis publicamente.

  • "unblocked": sem restrições ao compartilhamento público de instantâneos.

Considerações

Se você usar esse atributo em uma política declarativa, não poderá usar as operações a seguir para modificar a configuração imposta para as contas no escopo. Esta lista não é exaustiva:

• EnableSnapshotBlockPublicAccess

• DisableSnapshotBlockPublicAccess