As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplo de SCPs para Amazon Elastic Compute Cloud (Amazon EC2)
Tópicos
Exigir que as instâncias do Amazon EC2 usem um tipo específico
Com esta SCP, qualquer instância executada que não usa o tipo de instância t2.micro é negada.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RequireMicroInstanceType", "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringNotEquals": { "ec2:InstanceType": "t2.micro" } } } ] }
Evitar o lançamento de instâncias do EC2 sem o IMDSv2
A política a seguir impede que todos os usuários iniciem instâncias do EC2 sem o IMDSv2.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "ec2:MetadataHttpTokens": "required" } } }, { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "NumericGreaterThan": { "ec2:MetadataHttpPutResponseHopLimit": "2" } } }, { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NumericLessThan": { "ec2:RoleDelivery": "2.0" } } }, { "Effect": "Deny", "Action": "ec2:ModifyInstanceMetadataOptions", "Resource": "*" } ] }
A política a seguir impede que todos os usuários iniciem instâncias do EC2 sem o IMDSv2, mas permite que identidades específicas do IAM modifiquem as opções de metadados da instância.
[ { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "ec2:MetadataHttpTokens": "required" } } }, { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "NumericGreaterThan": { "ec2:MetadataHttpPutResponseHopLimit": "2" } } }, { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NumericLessThan": { "ec2:RoleDelivery": "2.0" } } }, { "Effect": "Deny", "Action": "ec2:ModifyInstanceMetadataOptions", "Resource": "*", "Condition": { "ArnNotLike": { "aws:PrincipalARN": [ "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" ] } } } ]
Evitar a desativação da criptografia padrão do Amazon EBS
A política a seguir impede que todos os usuários desabilitem a criptografia padrão do Amazon EBS.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ec2:DisableEbsEncryptionByDefault" ], "Resource": "*" } ] }
Evitar criar e anexar volumes não gp3
A política a seguir restringe que todos os usuários criem ou anexem quaisquer volumes do Amazon EBS que não sejam do tipo de volume gp3. Para obter mais informações, consulte Tipos de volumes do Amazon EBS.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyCreationAndAttachmentOfNonGP3Volumes", "Effect": "Deny", "Action": [ "ec2:AttachVolume", "ec2:CreateVolume", "ec2:RunInstances" ], "Resource": "arn:aws:ec2:*:*:volume/*", "Condition": { "StringNotEquals": { "ec2:VolumeType": "gp3" } } } ] }
Isso pode ajudar a impor uma configuração de volume padronizada em toda a organização.
As modificações do tipo de volume não são evitadas
Você não pode restringir a ação de modificar um volume gp3 existente para um volume Amazon EBS de outro tipo usando SCPs. Por exemplo, essa SCP não impediria que você modificasse um volume gp3 existente para um volume gp2. Isso ocorre porque a chave de condição ec2:VolumeType verifica o tipo de volume antes de ser modificado.
