Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiel SCPs für Amazon Elastic Compute Cloud (Amazon EC2)
Themen
Erfordern, dass EC2 Amazon-Instances einen bestimmten Typ verwenden
Mit dieser SCP wird das Starten aller Instances abgelehnt, die nicht den Instance-Typ t2.micro
verwenden.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RequireMicroInstanceType", "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringNotEquals": { "ec2:InstanceType": "t2.micro" } } } ] }
Verhindern Sie das Starten von EC2 Instances ohne IMDSv2
Die folgende Richtlinie verhindert, dass alle Benutzer EC2 Instances ohne IMDSv2 Instances starten.
[ { "Effect":"Deny", "Action":"ec2:RunInstances", "Resource":"arn:aws:ec2:*:*:instance/*", "Condition":{ "StringNotEquals":{ "ec2:MetadataHttpTokens":"required" } } }, { "Effect":"Deny", "Action":"ec2:RunInstances", "Resource":"arn:aws:ec2:*:*:instance/*", "Condition":{ "NumericGreaterThan":{ "ec2:MetadataHttpPutResponseHopLimit":"3" } } }, { "Effect":"Deny", "Action":"*", "Resource":"*", "Condition":{ "NumericLessThan":{ "ec2:RoleDelivery":"2.0" } } }, { "Effect":"Deny", "Action":"ec2:ModifyInstanceMetadataOptions", "Resource":"*" } ]
Die folgende Richtlinie verhindert, dass alle Benutzer EC2 Instances ohne Instances starten, erlaubt IMDSv2 aber bestimmten IAM-Identitäten, die Optionen für Instance-Metadaten zu ändern.
[ { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "ec2:MetadataHttpTokens": "required" } } }, { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "NumericGreaterThan": { "ec2:MetadataHttpPutResponseHopLimit": "3" } } }, { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NumericLessThan": { "ec2:RoleDelivery": "2.0" } } }, { "Effect": "Deny", "Action": "ec2:ModifyInstanceMetadataOptions", "Resource": "*", "Condition": { "ArnNotLike": { "aws:PrincipalARN": [ "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" ] } } } ]
Verhindern Sie die Deaktivierung der standardmäßigen Amazon-EBS-Verschlüsselung
Die folgende Richtlinie hindert alle Benutzer daran, die standardmäßige Amazon-EBS-Verschlüsselung zu deaktivieren.
{ "Effect": "Deny", "Action": [ "ec2:DisableEbsEncryptionByDefault" ], "Resource": "*" }
Verhindern Sie das Erstellen und Anhängen von Volumes, die nicht zu GP3 gehören
Die folgende Richtlinie verhindert, dass alle Benutzer Amazon EBS-Volumes erstellen oder anhängen, die nicht vom GP3-Volumetyp sind. Weitere Informationen finden Sie unter Amazon EBS-Volumetypen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyCreationAndAttachmentOfNonGP3Volumes", "Effect": "Deny", "Action": [ "ec2:AttachVolume", "ec2:CreateVolume", "ec2:RunInstances" ], "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "StringNotEquals": { "ec2:VolumeType": "gp3" } } } ] }
Dies kann dazu beitragen, eine standardisierte Volume-Konfiguration in einer Organisation durchzusetzen.
Änderungen am Datenträgertyp werden nicht verhindert
Sie können die Aktion der Änderung eines vorhandenen gp3-Volumes nicht auf ein Amazon EBS-Volume eines anderen Typs beschränken, indem Sie. SCPs Dieser SCP würde Sie beispielsweise nicht daran hindern, ein vorhandenes GP3-Volume in ein GP2-Volume umzuwandeln. Das liegt daran, dass der Bedingungsschlüssel den Volumetyp ec2:VolumeType
überprüft, bevor er geändert wird.