Amazon Virtual Private Cloud(Amazon VPC)에 대한 SCP 예제 - AWS Organizations
사용자의 Amazon VPC 흐름 로그 삭제 방지 인터넷 액세스가 없는 VPC가 액세스 권한을 얻지 못하도록 방지

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Virtual Private Cloud(Amazon VPC)에 대한 SCP 예제

사용자의 Amazon VPC 흐름 로그 삭제 방지

이 SCP는 영향 받는 모든 계정의 사용자 또는 역할이 Amazon Elastic Compute Cloud(Amazon EC2) 흐름 로그나 CloudWatch 로그 그룹 또는 로그 스트림을 삭제하지 못하도록 합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ec2:DeleteFlowLogs",
        "logs:DeleteLogGroup",
        "logs:DeleteLogStream"
      ],
      "Resource": "*"
    }
  ]
 }

인터넷 액세스가 없는 VPC가 액세스 권한을 얻지 못하도록 방지

이 SCP는 영향 받는 모든 계정의 사용자 또는 역할이 Amazon EC2 virtual private clouds(VPC)의 구성을 변경하여 인터넷에 대한 직접 액세스 권한을 부여하는 것을 방지합니다. 이는 기존 직접 액세스 또는 온프레미스 네트워크 환경을 통한 라우팅을 하는 어떠한 액세스도 막지 않습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ec2:AttachInternetGateway",
        "ec2:CreateInternetGateway",
        "ec2:CreateEgressOnlyInternetGateway",
        "ec2:CreateVpcPeeringConnection",
        "ec2:AcceptVpcPeeringConnection",
        "globalaccelerator:Create*",
        "globalaccelerator:Update*"
      ],
      "Resource": "*"
    }
  ]
}