Memerlukan EC2 instans Amazon untuk menggunakan tipe tertentu Cegah peluncuran EC2 instance tanpa IMDSv2 Mencegah penonaktifan enkripsi Amazon default EBS

Contoh SCPs untuk Amazon Elastic Compute Cloud (AmazonEC2)

Topik

Memerlukan EC2 instans Amazon untuk menggunakan tipe tertentu
Cegah peluncuran EC2 instance tanpa IMDSv2
Mencegah penonaktifan enkripsi Amazon default EBS

Memerlukan EC2 instans Amazon untuk menggunakan tipe tertentu

Dengan iniSCP, peluncuran instance apa pun yang tidak menggunakan tipe t2.micro instance ditolak.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RequireMicroInstanceType",
      "Effect": "Deny",
      "Action": "ec2:RunInstances",
      "Resource": [
        "arn:aws:ec2:*:*:instance/*"
      ],
      "Condition": {
        "StringNotEquals": {
          "ec2:InstanceType": "t2.micro"
        }
      }
    }
  ]
}

Cegah peluncuran EC2 instance tanpa IMDSv2

Kebijakan berikut membatasi semua pengguna untuk meluncurkan EC2 instans tanpa. IMDSv2


[
   {
      "Effect":"Deny",
      "Action":"ec2:RunInstances",
      "Resource":"arn:aws:ec2:*:*:instance/*",
      "Condition":{
         "StringNotEquals":{
            "ec2:MetadataHttpTokens":"required"
         }
      }
   },
   {
      "Effect":"Deny",
      "Action":"ec2:RunInstances",
      "Resource":"arn:aws:ec2:*:*:instance/*",
      "Condition":{
         "NumericGreaterThan":{
            "ec2:MetadataHttpPutResponseHopLimit":"3"
         }
      }
   },
   {
      "Effect":"Deny",
      "Action":"*",
      "Resource":"*",
      "Condition":{
         "NumericLessThan":{
            "ec2:RoleDelivery":"2.0"
         }
      }
   },
   {
      "Effect":"Deny",
      "Action":"ec2:ModifyInstanceMetadataOptions",
      "Resource":"*"
   }
]

Kebijakan berikut membatasi semua pengguna untuk meluncurkan EC2 instance tanpa IMDSv2 tetapi mengizinkan IAM identitas tertentu untuk memodifikasi opsi metadata instance.


[
  {
    "Effect": "Deny",
    "Action": "ec2:RunInstances",
    "Resource": "arn:aws:ec2:*:*:instance/*",
    "Condition": {
      "StringNotEquals": {
        "ec2:MetadataHttpTokens": "required"
      }
    }
  },
  {
    "Effect": "Deny",
    "Action": "ec2:RunInstances",
    "Resource": "arn:aws:ec2:*:*:instance/*",
    "Condition": {
      "NumericGreaterThan": {
        "ec2:MetadataHttpPutResponseHopLimit": "3"
      }
    }
  },
  {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "NumericLessThan": {
        "ec2:RoleDelivery": "2.0"
      }
    }
  },
  {
    "Effect": "Deny",
    "Action": "ec2:ModifyInstanceMetadataOptions",
    "Resource": "*",
    "Condition": {
      "ArnNotLike": {
        "aws:PrincipalARN": [
          "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
        ]
      }
    }
  }
]

Mencegah penonaktifan enkripsi Amazon default EBS

Kebijakan berikut membatasi semua pengguna untuk menonaktifkan Enkripsi Amazon default. EBS


{
  "Effect": "Deny",
  "Action": [
    "ec2:DisableEbsEncryptionByDefault"
  ],
  "Resource": "*"
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

AWS Config

Amazon GuardDuty