

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# EC2 政策
<a name="orgs_manage_policies_ec2"></a>

EC2 策略允许您在整个组织中大规模集中声明和强制执行 Amazon EC2、Amazon VPC 和 Amazon EBS 所需的配置。一旦附加后，即使服务添加了新功能或 API，该配置都将始终保持不变。

**Topics**
+ [自定义错误消息](#orgs_manage_policies_ec2-custom-message)
+ [账户状态报告](#orgs_manage_policies_ec2-account-status-report)
+ [支持的 属性](#orgs_manage_policies_ec2-supported-controls)
+ [开始使用](orgs_manage_policies-ec2_getting-started.md)
+ [最佳实践](orgs_manage_policies_ec2_best-practices.md)
+ [生成账户状态报告](orgs_manage_policies_ec2_status-report.md)
+ [EC2 策略语法和示例](orgs_manage_policies_ec2_syntax.md)

## EC2 策略的自定义错误消息
<a name="orgs_manage_policies_ec2-custom-message"></a>

EC2 策略允许您创建自定义错误消息。例如，如果 API 操作因 EC2 策略而失败，则可以设置错误消息或提供自定义 URL，例如指向内部 wiki 的链接或描述失败的消息的链接。如果您未指定自定义错误消息，则会 Amazon Organizations 提供以下默认错误消息：`Example: This action is denied due to an organizational policy in effect`。

您还可以使用审核创建 EC2 策略、更新 EC2 策略和删除 EC2 策略的过程 Amazon CloudTrail。 CloudTrail 可以标记由于 EC2 策略导致的 API 操作失败。有关更多信息，请参阅[日志记录和监控](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_security_incident-response.html)。

**重要**  
请勿在自定义错误消息中包含*个人身份信息（PII）*或其他敏感信息。PII 包括可用于识别或定位个人的一般信息，涵盖财务、医疗、教育或就业等记录。PII 示例包括地址、银行账号和电话号码。

## EC2 策略的账户状态报告
<a name="orgs_manage_policies_ec2-account-status-report"></a>

*账户状态报告*允许您查看范围内账户的 EC2 策略支持的所有属性的当前状态。您可以选择要包含在报告范围内的账户和组织单元（OU），也可以通过选择根来选择整个组织。

此报告提供区域细分来帮助您评估就绪情况，并评测属性的当前状态是*跨账户统一*（通过 `numberOfMatchedAccounts`）还是*不一致*（通过 `numberOfUnmatchedAccounts`）。您还可以看到*最常见值*，即该属性中最常观察到的配置值。

图 1 中生成了一份账户状态报告，其中显示了以下属性的账户间一致性：VPC 屏蔽公共访问权限和映像屏蔽公共访问权限。这意味着，对于每个属性，范围内的所有账户对该属性的配置都相同。

生成的账户状态报告显示了以下属性的不一致账户：允许的映像设置、实例元数据默认值、Serial Console 访问权限和快照屏蔽公共访问权限。在此示例中，不一致账户的每个属性都是因为存在一个账户具有不同的配置值。

如果存在最常见值，则会显示在相应的列中。有关每个属性控制内容的更多详细信息，请参阅 [EC2 策略语法和示例策略](orgs_manage_policies_ec2_syntax.md)。

您也可以展开属性查看区域明细。在此示例中，展开了“映像屏蔽公共访问权限”项，在每个区域中，您都可以看到具备账户间的统一性。

选择附加用于强制执行基准配置的 EC2 策略取决于您的具体使用案例。在附加 EC2 策略之前，使用账户状态报告来帮助你评估准备情况。

有关更多信息，请参阅[生成账户状态报告](orgs_manage_policies_ec2_status-report.md)。

![VPC 屏蔽公共访问权限和映像屏蔽公共访问权限具备跨账户一致性的示例账户状态报告](http://docs.amazonaws.cn/organizations/latest/userguide/images/ec2-status-report.png)


*图 1：VPC 屏蔽公共访问权限和映像屏蔽公共访问权限具备跨账户一致性的示例账户状态报告。*

## EC2 策略支持的属性
<a name="orgs_manage_policies_ec2-supported-controls"></a>

下表显示了 Amazon EC2 相关服务支持的属性。


**EC2 政策**  


- **Amazon VPC**
  - **属性:** VPC 屏蔽公共访问权限
  - **策略效果:** 控制 Amazon VPC 和子网中的资源能否通过互联网网关（IGW）访问互联网。
  - **策略内容:** [查看策略](orgs_manage_policies_ec2_syntax.md#ec2-policy-vpc-block-public-access)
  - **更多信息:** 有关更多信息，请参阅《Amazon VPC 用户指南》中的[屏蔽 VPC 和子网的公共访问权限](https://docs.amazonaws.cn/vpc/latest/userguide/security-vpc-bpa.html)。

- **Amazon EC2**
  - **属性:** Serial Console 访问权限 / **策略效果:** 控制 EC2 Serial Console 是否可访问。 / **策略内容:** [查看策略](orgs_manage_policies_ec2_syntax.md#ec2-policy-ec2-serial-console-access) / **更多信息:** 有关更多信息，请参阅《Amazon Elastic Compute Cloud 用户指南》中的[配置对 EC2 Serial Console 的访问](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/configure-access-to-serial-console.html)。
  - **属性:** 映像屏蔽公共访问权限 / **策略效果:** 控制亚马逊机器映像（AMI）是否可以公开共享。 / **策略内容:** [查看策略](orgs_manage_policies_ec2_syntax.md#ec2-policy-ec2-ami-block-public-access) / **更多信息:** 有关更多信息，请参阅《Amazon Elastic Cloud Computer 用户指南》中的[了解 AMI 的屏蔽公共访问权限](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/block-public-access-to-amis.html)。
  - **属性:** 允许的映像设置 / **策略效果:** 使用“允许的 AMI”控制在 Amazon EC2 中对亚马逊机器映像（AMI）的发现和使用。 / **策略内容:** [查看策略](orgs_manage_policies_ec2_syntax.md#ec2-policy-ec2-ami-allowed-images) / **更多信息:** 有关更多信息，请参阅《Amazon Elastic Compute Cloud 用户指南》中的[亚马逊机器映像（AMI）](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2-allowed-amis.html)。
  - **属性:** 实例元数据默认值 / **策略效果:** 控制所有新 EC2 实例启动的 IMDS 默认值。 / **策略内容:** [查看策略](orgs_manage_policies_ec2_syntax.md#ec2-policy-default-imds-version) / **更多信息:** 有关更多信息，请参阅《Amazon Elastic Compute Cloud 用户指南》中的[为新实例配置实例元数据选项](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html)。

- **Amazon EBS**
  - **属性:** 快照屏蔽公共访问权限
  - **策略效果:** 控制 Amazon EBS 快照是否可以公开访问。
  - **策略内容:** [查看策略](orgs_manage_policies_ec2_syntax.md#ec2-policy-vpc-eb2-snapshots-block-public-access)
  - **更多信息:** 有关更多信息，请参阅《Amazon Elastic Block Store User Guide》中的 [Block public access for Amazon EBS snapshots](https://docs.amazonaws.cn/ebs/latest/userguide/block-public-access-snapshots.html)。

