기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Elastic Compute Cloud(Amazon EC2)에 대한 SCP 예제
주제
Amazon EC2 인스턴스가 특정 유형을 사용하도록 요구
이 SCP는 t2.micro
인스턴스 유형을 사용하지 않는 인스턴스 시작을 모두 거부합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RequireMicroInstanceType", "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringNotEquals": { "ec2:InstanceType": "t2.micro" } } } ] }
IMDSv2가 없는 EC2 인스턴스 시작을 방지
다음 정책은 모든 사용자가 IMDSv2 없이 EC2 인스턴스를 시작하지 못하도록 제한합니다.
[ { "Effect":"Deny", "Action":"ec2:RunInstances", "Resource":"arn:aws:ec2:*:*:instance/*", "Condition":{ "StringNotEquals":{ "ec2:MetadataHttpTokens":"required" } } }, { "Effect":"Deny", "Action":"ec2:RunInstances", "Resource":"arn:aws:ec2:*:*:instance/*", "Condition":{ "NumericGreaterThan":{ "ec2:MetadataHttpPutResponseHopLimit":"3" } } }, { "Effect":"Deny", "Action":"*", "Resource":"*", "Condition":{ "NumericLessThan":{ "ec2:RoleDelivery":"2.0" } } }, { "Effect":"Deny", "Action":"ec2:ModifyInstanceMetadataOptions", "Resource":"*" } ]
다음 정책은 모든 사용자가 IMDSv2 없이 EC2 인스턴스를 시작하지 못하도록 제한하지만 특정 IAM 자격 증명이 인스턴스 메타데이터 옵션을 수정할 수 있도록 허용합니다.
[ { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "ec2:MetadataHttpTokens": "required" } } }, { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "NumericGreaterThan": { "ec2:MetadataHttpPutResponseHopLimit": "3" } } }, { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NumericLessThan": { "ec2:RoleDelivery": "2.0" } } }, { "Effect": "Deny", "Action": "ec2:ModifyInstanceMetadataOptions", "Resource": "*", "Condition": { "ArnNotLike": { "aws:PrincipalARN": [ "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" ] } } } ]
기본 Amazon EBS 암호화 비활성화 방지
다음 정책은 모든 사용자가 기본 Amazon EBS 암호화를 비활성화하지 못하도록 제한합니다.
{ "Effect": "Deny", "Action": [ "ec2:DisableEbsEncryptionByDefault" ], "Resource": "*" }
비gp3 볼륨 생성 및 연결 방지
다음 정책은 모든 사용자가 gp3 볼륨 유형이 아닌 Amazon EBS 볼륨을 생성하거나 연결하는 것을 제한합니다. 자세한 내용은 Amazon EBS 볼륨 유형을 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyCreationAndAttachmentOfNonGP3Volumes", "Effect": "Deny", "Action": [ "ec2:AttachVolume", "ec2:CreateVolume", "ec2:RunInstances" ], "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "StringNotEquals": { "ec2:VolumeType": "gp3" } } } ] }
이렇게 하면 조직 전체에 표준화된 볼륨 구성을 적용하는 데 도움이 될 수 있습니다.
볼륨 유형 수정은 방지되지 않습니다.
SCPs를 사용하여 기존 gp3 볼륨을 다른 유형의 Amazon EBS 볼륨으로 수정하는 작업을 제한할 수 없습니다. 예를 들어이 SCP는 기존 gp3 볼륨을 gp2 볼륨으로 수정하는 것을 방지하지 않습니다. 이는 조건 키가 수정되기 전에 볼륨 유형을 ec2:VolumeType
확인하기 때문입니다.