Richiedi alle EC2 istanze Amazon di utilizzare un tipo specifico Impedisci l'avvio EC2 di istanze senza IMDSv2 Impedisci la disabilitazione della crittografia Amazon EBS predefinita

Esempio SCPs per Amazon Elastic Compute Cloud (AmazonEC2)

Argomenti

Richiedi alle EC2 istanze Amazon di utilizzare un tipo specifico
Impedisci l'avvio EC2 di istanze senza IMDSv2
Impedisci la disabilitazione della crittografia Amazon EBS predefinita

Richiedi alle EC2 istanze Amazon di utilizzare un tipo specifico

In questo modoSCP, qualsiasi avvio di istanza che non utilizza il tipo di t2.micro istanza viene negato.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RequireMicroInstanceType",
      "Effect": "Deny",
      "Action": "ec2:RunInstances",
      "Resource": [
        "arn:aws:ec2:*:*:instance/*"
      ],
      "Condition": {
        "StringNotEquals": {
          "ec2:InstanceType": "t2.micro"
        }
      }
    }
  ]
}

Impedisci l'avvio EC2 di istanze senza IMDSv2

La seguente politica impedisce a tutti gli utenti di avviare EC2 istanze senza. IMDSv2


[
   {
      "Effect":"Deny",
      "Action":"ec2:RunInstances",
      "Resource":"arn:aws:ec2:*:*:instance/*",
      "Condition":{
         "StringNotEquals":{
            "ec2:MetadataHttpTokens":"required"
         }
      }
   },
   {
      "Effect":"Deny",
      "Action":"ec2:RunInstances",
      "Resource":"arn:aws:ec2:*:*:instance/*",
      "Condition":{
         "NumericGreaterThan":{
            "ec2:MetadataHttpPutResponseHopLimit":"3"
         }
      }
   },
   {
      "Effect":"Deny",
      "Action":"*",
      "Resource":"*",
      "Condition":{
         "NumericLessThan":{
            "ec2:RoleDelivery":"2.0"
         }
      }
   },
   {
      "Effect":"Deny",
      "Action":"ec2:ModifyInstanceMetadataOptions",
      "Resource":"*"
   }
]

La seguente politica impedisce a tutti gli utenti di avviare EC2 istanze senza farlo, IMDSv2 ma consente a IAM identità specifiche di modificare le opzioni dei metadati delle istanze.


[
  {
    "Effect": "Deny",
    "Action": "ec2:RunInstances",
    "Resource": "arn:aws:ec2:*:*:instance/*",
    "Condition": {
      "StringNotEquals": {
        "ec2:MetadataHttpTokens": "required"
      }
    }
  },
  {
    "Effect": "Deny",
    "Action": "ec2:RunInstances",
    "Resource": "arn:aws:ec2:*:*:instance/*",
    "Condition": {
      "NumericGreaterThan": {
        "ec2:MetadataHttpPutResponseHopLimit": "3"
      }
    }
  },
  {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "NumericLessThan": {
        "ec2:RoleDelivery": "2.0"
      }
    }
  },
  {
    "Effect": "Deny",
    "Action": "ec2:ModifyInstanceMetadataOptions",
    "Resource": "*",
    "Condition": {
      "ArnNotLike": {
        "aws:PrincipalARN": [
          "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
        ]
      }
    }
  }
]

Impedisci la disabilitazione della crittografia Amazon EBS predefinita

La seguente politica impedisce a tutti gli utenti di disabilitare la crittografia Amazon EBS Encryption predefinita.


{
  "Effect": "Deny",
  "Action": [
    "ec2:DisableEbsEncryptionByDefault"
  ],
  "Resource": "*"
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWS Config

Amazon GuardDuty