本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
限制对 VPC 配置的更改
调查
我们很乐意听取您的意见。请通过简短的调查
在设计并部署了支持跨境数据传输要求(包括网络数据流)的 AWS 基础设施之后,您可能需要防止修改。以下服务控制策略有助于防止 VPC 配置漂移或意外修改。该策略拒绝新的互联网网关连接、VPC 对等连接、中转网关连接以及新的 VPN 连接。有关本策略如何帮助保护组织中的隐私和个人数据的更多信息,请参阅本指南中的 AWS Transit Gateway。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:AttachInternetGateway", "ec2:CreateInternetGateway", "ec2:CreateVpcPeeringConnection", "ec2:AcceptVpcPeeringConnection", "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:AssociateRouteTable", "ec2:ModifyVpcAttribute", "ec2:*TransitGateway", "ec2:*TransitGateway*", "globalaccelerator:Create*", "globalaccelerator:Update*" ], "Resource": "*", "Effect": "Deny", "Condition": { "ArnNotLike": { "aws:PrincipalARN": [ "arn:aws:iam::*:role/Role1AllowedToBypassThisSCP", "arn:aws:iam::*:role/Role2AllowedToBypassThisSCP" ] } } } ] }
