Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplo SCPs de Amazon Elastic Compute Cloud (Amazon EC2)
Temas
Exigir que EC2 las instancias de Amazon usen un tipo específico
Con esta SCP, se denegarán todos los lanzamientos de instancias que no usen el tipo de instancia t2.micro.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RequireMicroInstanceType", "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringNotEquals": { "ec2:InstanceType": "t2.micro" } } } ] }
Impida el lanzamiento de EC2 instancias sin IMDSv2
La siguiente política impide a todos los usuarios lanzar EC2 instancias sin IMDSv2 ellas.
[ { "Effect":"Deny", "Action":"ec2:RunInstances", "Resource":"arn:aws:ec2:*:*:instance/*", "Condition":{ "StringNotEquals":{ "ec2:MetadataHttpTokens":"required" } } }, { "Effect":"Deny", "Action":"ec2:RunInstances", "Resource":"arn:aws:ec2:*:*:instance/*", "Condition":{ "NumericGreaterThan":{ "ec2:MetadataHttpPutResponseHopLimit":"3" } } }, { "Effect":"Deny", "Action":"*", "Resource":"*", "Condition":{ "NumericLessThan":{ "ec2:RoleDelivery":"2.0" } } }, { "Effect":"Deny", "Action":"ec2:ModifyInstanceMetadataOptions", "Resource":"*" } ]
La siguiente política impide a todos los usuarios lanzar EC2 instancias sin ellas, IMDSv2 pero permite que identidades de IAM específicas modifiquen las opciones de metadatos de las instancias.
[ { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "ec2:MetadataHttpTokens": "required" } } }, { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "NumericGreaterThan": { "ec2:MetadataHttpPutResponseHopLimit": "3" } } }, { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NumericLessThan": { "ec2:RoleDelivery": "2.0" } } }, { "Effect": "Deny", "Action": "ec2:ModifyInstanceMetadataOptions", "Resource": "*", "Condition": { "ArnNotLike": { "aws:PrincipalARN": [ "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" ] } } } ]
Impedir la desactivación del cifrado predeterminado de Amazon EBS
La siguiente política impide que todos los usuarios deshabiliten el cifrado predeterminado de Amazon EBS.
{ "Effect": "Deny", "Action": [ "ec2:DisableEbsEncryptionByDefault" ], "Resource": "*" }
Impida crear y adjuntar volúmenes que no sean de gp3
La siguiente política impide a todos los usuarios crear o adjuntar volúmenes de Amazon EBS que no sean del tipo de volumen gp3. Para obtener más información, consulte Tipos de volúmenes de Amazon EBS.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyCreationAndAttachmentOfNonGP3Volumes", "Effect": "Deny", "Action": [ "ec2:AttachVolume", "ec2:CreateVolume", "ec2:RunInstances" ], "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "StringNotEquals": { "ec2:VolumeType": "gp3" } } } ] }
Esto puede ayudar a aplicar una configuración de volumen estandarizada en toda la organización.
No se impiden las modificaciones del tipo de volumen
No puede restringir la acción de modificar un volumen gp3 existente a un volumen de Amazon EBS de otro tipo utilizando. SCPs Por ejemplo, este SCP no le impediría modificar un volumen gp3 existente por un volumen gp2. Esto se debe a que la clave de condición ec2:VolumeType comprueba el tipo de volumen antes de modificarlo.
