Amazon Elastic Compute Cloud(Amazon EC2)에 대한 SCP 예제 - AWS Organizations
Amazon EC2 인스턴스가 특정 유형을 사용하도록 요구IMDSv2가 없는 EC2 인스턴스 시작을 방지기본 Amazon EBS 암호화 비활성화 방지비gp3 볼륨 생성 및 연결 방지

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Elastic Compute Cloud(Amazon EC2)에 대한 SCP 예제

Amazon EC2 인스턴스가 특정 유형을 사용하도록 요구

이 SCP는 t2.micro 인스턴스 유형을 사용하지 않는 인스턴스 시작을 모두 거부합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RequireMicroInstanceType",
      "Effect": "Deny",
      "Action": "ec2:RunInstances",
      "Resource": [
        "arn:aws:ec2:*:*:instance/*"
      ],
      "Condition": {
        "StringNotEquals": {
          "ec2:InstanceType": "t2.micro"
        }
      }
    }
  ]
}

IMDSv2가 없는 EC2 인스턴스 시작을 방지

다음 정책은 모든 사용자가 IMDSv2 없이 EC2 인스턴스를 시작하지 못하도록 제한합니다.

[
   {
      "Effect":"Deny",
      "Action":"ec2:RunInstances",
      "Resource":"arn:aws:ec2:*:*:instance/*",
      "Condition":{
         "StringNotEquals":{
            "ec2:MetadataHttpTokens":"required"
         }
      }
   },
   {
      "Effect":"Deny",
      "Action":"ec2:RunInstances",
      "Resource":"arn:aws:ec2:*:*:instance/*",
      "Condition":{
         "NumericGreaterThan":{
            "ec2:MetadataHttpPutResponseHopLimit":"3"
         }
      }
   },
   {
      "Effect":"Deny",
      "Action":"*",
      "Resource":"*",
      "Condition":{
         "NumericLessThan":{
            "ec2:RoleDelivery":"2.0"
         }
      }
   },
   {
      "Effect":"Deny",
      "Action":"ec2:ModifyInstanceMetadataOptions",
      "Resource":"*"
   }
]

다음 정책은 모든 사용자가 IMDSv2 없이 EC2 인스턴스를 시작하지 못하도록 제한하지만 특정 IAM 자격 증명이 인스턴스 메타데이터 옵션을 수정할 수 있도록 허용합니다.

[
  {
    "Effect": "Deny",
    "Action": "ec2:RunInstances",
    "Resource": "arn:aws:ec2:*:*:instance/*",
    "Condition": {
      "StringNotEquals": {
        "ec2:MetadataHttpTokens": "required"
      }
    }
  },
  {
    "Effect": "Deny",
    "Action": "ec2:RunInstances",
    "Resource": "arn:aws:ec2:*:*:instance/*",
    "Condition": {
      "NumericGreaterThan": {
        "ec2:MetadataHttpPutResponseHopLimit": "3"
      }
    }
  },
  {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "NumericLessThan": {
        "ec2:RoleDelivery": "2.0"
      }
    }
  },
  {
    "Effect": "Deny",
    "Action": "ec2:ModifyInstanceMetadataOptions",
    "Resource": "*",
    "Condition": {
      "ArnNotLike": {
        "aws:PrincipalARN": [
          "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
        ]
      }
    }
  }
]

기본 Amazon EBS 암호화 비활성화 방지

다음 정책은 모든 사용자가 기본 Amazon EBS 암호화를 비활성화하지 못하도록 제한합니다.

{
  "Effect": "Deny",
  "Action": [
    "ec2:DisableEbsEncryptionByDefault"
  ],
  "Resource": "*"
}

비gp3 볼륨 생성 및 연결 방지

다음 정책은 모든 사용자가 gp3 볼륨 유형이 아닌 Amazon EBS 볼륨을 생성하거나 연결하는 것을 제한합니다. 자세한 내용은 Amazon EBS 볼륨 유형을 참조하세요.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyCreationAndAttachmentOfNonGP3Volumes",
      "Effect": "Deny",
      "Action": [
        "ec2:AttachVolume",
        "ec2:CreateVolume",
        "ec2:RunInstances"
      ],
      "Resource": "arn:aws:ec2:*:*:volume/*",
      "Condition": {
        "StringNotEquals": {
          "ec2:VolumeType": "gp3"
        }
      }
    }
  ]
}

이렇게 하면 조직 전체에 표준화된 볼륨 구성을 적용하는 데 도움이 될 수 있습니다.

볼륨 유형 수정은 방지되지 않습니다.

SCPs를 사용하여 기존 gp3 볼륨을 다른 유형의 Amazon EBS 볼륨으로 수정하는 작업을 제한할 수 없습니다. 예를 들어이 SCP는 기존 gp3 볼륨을 gp2 볼륨으로 수정하는 것을 방지하지 않습니다. 이는 조건 키가 수정되기 전에 볼륨 유형을 ec2:VolumeType 확인하기 때문입니다.