Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de SCP para Amazon Elastic Compute Cloud (Amazon EC2)
Temas
Requerir que las instancias de Amazon EC2 usen un tipo específico
Con esta SCP, se denegarán todos los lanzamientos de instancias que no usen el tipo de instancia t2.micro.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RequireMicroInstanceType", "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringNotEquals": { "ec2:InstanceType": "t2.micro" } } } ] }
Impedir el lanzamiento de instancias de EC2 sin IMDSv2
La siguiente política impide que todos los usuarios lancen instancias de EC2 sin IMDSv2.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "ec2:MetadataHttpTokens": "required" } } }, { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "NumericGreaterThan": { "ec2:MetadataHttpPutResponseHopLimit": "2" } } }, { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NumericLessThan": { "ec2:RoleDelivery": "2.0" } } }, { "Effect": "Deny", "Action": "ec2:ModifyInstanceMetadataOptions", "Resource": "*" } ] }
La siguiente política impide que todos los usuarios lancen instancias de EC2 sin IMDSv2, pero permite que identidades de IAM específicas modifiquen las opciones de metadatos de la instancia.
[ { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "ec2:MetadataHttpTokens": "required" } } }, { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "NumericGreaterThan": { "ec2:MetadataHttpPutResponseHopLimit": "2" } } }, { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NumericLessThan": { "ec2:RoleDelivery": "2.0" } } }, { "Effect": "Deny", "Action": "ec2:ModifyInstanceMetadataOptions", "Resource": "*", "Condition": { "ArnNotLike": { "aws:PrincipalARN": [ "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" ] } } } ]
Impedir la desactivación del cifrado predeterminado de Amazon EBS
La siguiente política impide que todos los usuarios deshabiliten el cifrado predeterminado de Amazon EBS.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ec2:DisableEbsEncryptionByDefault" ], "Resource": "*" } ] }
Evite crear y adjuntar volúmenes que no sean gp3
La siguiente política impide a todos los usuarios crear o asociar volúmenes de Amazon EBS que no sean del tipo gp3. Para obtener más información, consulte Tipos de volúmenes de Amazon EBS.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyCreationAndAttachmentOfNonGP3Volumes", "Effect": "Deny", "Action": [ "ec2:AttachVolume", "ec2:CreateVolume", "ec2:RunInstances" ], "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "StringNotEquals": { "ec2:VolumeType": "gp3" } } } ] }
Esto puede ayudar a aplicar una configuración de volumen estandarizada en la organización.
No se impiden las modificaciones del tipo de volumen
No puede restringir la acción de modificar un volumen gp3 existente a un volumen de Amazon EBS de otro tipo mediante SCP. Por ejemplo, este SCP no le impide modificar un volumen gp3 existente por un volumen gp2. Esto se debe a que la clave de condición ec2:VolumeType verifica el tipo de volumen antes de modificarlo.
