声明性政策 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

声明性政策

声明式策略允许您在整个组织中大规模地集中声明和强制执行所需的配置。 Amazon Web Services 服务 连接后,当服务添加新功能或时,配置将始终保持不变APIs。使用声明性策略来防止不合规的操作。例如,您可以屏蔽整个组织中对 Amazon VPC 资源的公共互联网访问。

使用声明式策略的主要好处是:

  • 易用性:您可以通过 Amazon Organizations 和 Amazon Control Tower 控制台中的几个选项或使用 Amazon CLI & 使用几个命令来强制执行基本配置 Amazon SDKs。 Amazon Web Services 服务

  • 设置一次就算了:的基准配置始终保持 Amazon Web Services 服务 不变,即使服务引入了新功能或APIs。当向组织添加新帐户或创建新的委托人和资源时,也会保留基准配置。

  • 透明度:账户状态报告允许您查看范围内账户的声明性策略支持的所有属性的当前状态。您还可以创建可自定义的错误消息,这可以帮助管理员将最终用户重定向到内部维基页面,或者提供描述性消息,帮助最终用户了解操作失败的原因。

有关支持的属 Amazon Web Services 服务 性和属性的完整列表,请参阅支持 Amazon Web Services 服务 和属性

声明式政策是如何运作的

声明式策略是在服务的控制平面中强制执行的,这与诸如服务控制策略 (SCPs) 和资源控制策略 () 之类的授权策略有重要区别。RCPs虽然授权策略规范访问权限APIs,但声明性策略直接应用于服务级别,以强制执行持久意图。这样可以确保始终强制执行基准配置,即使服务引入了新功能或新功能APIs也是如此。

下表有助于说明这种区别,并提供了一些用例。

服务控制策略 资源控制政策 声明性政策
为什么?

大规模集中定义和实施对委托人(例如IAM用户和IAM角色)的一致访问控制。

大规模集中定义和实施一致的资源访问控制

集中定义和强制执行大规模 Amazon 服务的基准配置。

怎么样?

通过控制某个API级别的委托人的最大可用访问权限。

通过控制某个API级别上资源的最大可用访问权限。

通过在 Amazon Web Services 服务 不使用API操作的情况下强制执行所需的配置。

管理与服务相关的角色?
反馈机制 不可自定义的访问被拒绝SCP错误。 不可自定义的访问被拒绝RCP错误。 可自定义的错误消息。有关更多信息,请参阅 声明式策略的自定义错误消息
策略示例 根据请求的Amazon Web Services 区域拒绝访问Amazon 将访问权限限制为仅访问您的资源的HTTPS连接 允许的图像设置

在您创建附加声明性政策后,该政策将在您的组织中应用和执行。声明式策略可以应用于整个组织、组织单位 (OUs) 或帐户。加入组织的账户将自动继承组织中的声明性政策。有关更多信息,请参阅 了解管理策略继承

有效的策略是从组织根目录继承的一组规则,OUs以及直接关联到账户的规则。有效策略指定适用于账户的最终规则集。有关更多信息,请参阅 查看有效管理策略

如果分离声明性策略,则该属性状态将回滚到附加声明性策略之前的状态。

声明式策略的自定义错误消息

声明性策略允许您创建自定义错误消息。例如,如果某项API操作因声明性策略而失败,则可以设置错误消息或提供自定义消息URL,例如指向内部 wiki 的链接或描述失败的消息的链接。如果您未指定自定义错误消息,则会 Amazon Organizations 提供以下默认错误消息:Example: This action is denied due to an organizational policy in effect

您还可以使用审核创建声明性策略、更新声明性策略和删除声明性策略的过程。 Amazon CloudTrail CloudTrail 可以标记由于声明式策略而导致的API操作失败。有关更多信息,请参阅日志和监控

重要

请勿在自定义错误消息中包含个人身份信息 (PII) 或其他敏感信息。 PII包括可用于识别或定位个人的一般信息。它涵盖财务、医疗、教育或就业等记录。 PII示例包括地址、银行账号和电话号码。

声明性政策的账户状态报告

账户状态报告允许您查看范围内账户的声明性策略支持的所有属性的当前状态。您可以选择要包含在报告范围内的账户和组织单位 (OUs),也可以通过选择根目录来选择整个组织。

此报告通过提供区域细分来帮助您评估准备情况,以及属性的当前状态是跨账户(通过numberOfMatchedAccounts一致还是不一致(通过numberOfUnmatchedAccounts)。您还可以看到最常用的值,即该属性中最常观察到的配置值。

在图 1 中,生成了一份账户状态报告,该报告显示了不同账户在以下属性上的统一性:VPC阻止公共访问和图像屏蔽公共访问、实例元数据默认值、快照阻止公共访问和允许的图像设置。这意味着,对于每个属性,范围内的所有帐户对该属性的配置都相同。

生成的账户状态报告显示以下属性的账户不一致:允许的图像设置、实例元数据默认值、串行控制台访问权限和快照区块公共访问权限。在此示例中,账户不一致的每个属性都是由于存在一个具有不同配置值的账户。

如果存在频率最高的值,则该值将显示在相应的列中。有关每个属性控制的内容的更多详细信息,请参阅声明式策略语法和示例策略

您也可以展开属性以查看区域划分。在此示例中,Image Block Public Access 得到了扩展,在每个区域中,您都可以看到不同账户之间也有统一性。

选择附加用于强制执行基准配置的声明性策略取决于您的具体用例。在附加声明性政策之前,使用账户状态报告来帮助你评估自己的准备情况。

有关更多信息,请参阅生成账户状态报告

图 1:账户状态报告示例,显示VPC屏蔽公共访问权限和图片屏蔽公共访问权限的账户状态报告保持一致。

支持 Amazon Web Services 服务 和属性

的声明式策略支持的属性 EC2

下表显示了 Amazon EC2 相关服务支持的属性。

的声明性政策 EC2
Amazon 服务 属性 政策效应 政策内容 更多信息
Amazon VPC VPC 阻止公有访问 控制 Amazon VPCs 和子网中的资源能否通过互联网网关访问互联网(IGWs)。 查看策略 有关更多信息,请参阅 A mazon VPC 用户指南中的阻止对VPCs和子网的公开访问
Amazon EC2 串行控制台访问 控制是否可以访问EC2串行控制台。 查看策略 有关更多信息,请参阅 Amazon 弹性计算云用户指南中的配置EC2串行控制台访问权限
图像屏蔽公共访问 控制 Amazon 机器映像 (AMIs) 是否可公开共享。 查看策略 有关更多信息,请参阅《Amazon 弹性计算云用户指南》AMIs中的 “了解封锁公共访问”。
允许的图像设置 使用 “允许” 控制亚马逊系统映像 (AMI) 的发现和使用AMIs。EC2 查看策略 有关更多信息,请参阅亚马逊弹性计算云用户指南中的亚马逊系统映像 (AMIs)
实例元数据默认值 控制所有新EC2实例启动的IMDS默认值。 查看策略 有关更多信息,请参阅 Amazon 弹性计算云用户指南中的为新实例配置实例元数据选项
Amazon EBS 快照阻止公共访问 控制 Amazon EBS 快照是否可公开访问。 查看策略 有关更多信息,请参阅 Amazon El astic Block Store 用户指南中的阻止对亚马逊EBS快照的公开访问