Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh SCPs untuk Amazon Elastic Compute Cloud (Amazon EC2)
Topik
Memerlukan EC2 instans Amazon untuk menggunakan tipe tertentu
Dengan SCP ini, setiap instans yang meluncurkan tidak menggunakan jenis instans t2.micro
akan ditolak.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RequireMicroInstanceType", "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringNotEquals": { "ec2:InstanceType": "t2.micro" } } } ] }
Cegah peluncuran EC2 instance tanpa IMDSv2
Kebijakan berikut membatasi semua pengguna untuk meluncurkan EC2 instans tanpa. IMDSv2
[ { "Effect":"Deny", "Action":"ec2:RunInstances", "Resource":"arn:aws:ec2:*:*:instance/*", "Condition":{ "StringNotEquals":{ "ec2:MetadataHttpTokens":"required" } } }, { "Effect":"Deny", "Action":"ec2:RunInstances", "Resource":"arn:aws:ec2:*:*:instance/*", "Condition":{ "NumericGreaterThan":{ "ec2:MetadataHttpPutResponseHopLimit":"3" } } }, { "Effect":"Deny", "Action":"*", "Resource":"*", "Condition":{ "NumericLessThan":{ "ec2:RoleDelivery":"2.0" } } }, { "Effect":"Deny", "Action":"ec2:ModifyInstanceMetadataOptions", "Resource":"*" } ]
Kebijakan berikut membatasi semua pengguna untuk meluncurkan EC2 instance tanpa IMDSv2 tetapi mengizinkan identitas IAM tertentu untuk mengubah opsi metadata instans.
[ { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "ec2:MetadataHttpTokens": "required" } } }, { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "NumericGreaterThan": { "ec2:MetadataHttpPutResponseHopLimit": "3" } } }, { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NumericLessThan": { "ec2:RoleDelivery": "2.0" } } }, { "Effect": "Deny", "Action": "ec2:ModifyInstanceMetadataOptions", "Resource": "*", "Condition": { "ArnNotLike": { "aws:PrincipalARN": [ "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" ] } } } ]
Mencegah penonaktifan enkripsi Amazon EBS default
Kebijakan berikut membatasi semua pengguna untuk menonaktifkan Enkripsi Amazon EBS default.
{ "Effect": "Deny", "Action": [ "ec2:DisableEbsEncryptionByDefault" ], "Resource": "*" }
Mencegah membuat dan melampirkan volume non-gp3
Kebijakan berikut membatasi semua pengguna untuk membuat atau melampirkan volume Amazon EBS apa pun yang bukan dari tipe volume gp3. Untuk informasi selengkapnya, lihat jenis volume Amazon EBS.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyCreationAndAttachmentOfNonGP3Volumes", "Effect": "Deny", "Action": [ "ec2:AttachVolume", "ec2:CreateVolume", "ec2:RunInstances" ], "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "StringNotEquals": { "ec2:VolumeType": "gp3" } } } ] }
Ini dapat membantu menegakkan konfigurasi volume standar di seluruh organisasi.
Modifikasi tipe volume tidak dicegah
Anda tidak dapat membatasi tindakan memodifikasi volume gp3 yang ada ke volume Amazon EBS dari jenis lain yang digunakan. SCPs Misalnya, SCP ini tidak akan mencegah Anda memodifikasi volume gp3 yang ada menjadi volume gp2. Ini karena tombol kondisi ec2:VolumeType
memeriksa jenis volume sebelum dimodifikasi.