VPC 設定の変更を制限する - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPC 設定の変更を制限する

ご意見をお待ちしています。簡単なアンケートに回答して、PRA AWS に関するフィードバックを提供してください。

ネットワークデータフローを含むクロスボーダーデータ転送要件をサポートする AWS インフラストラクチャを設計してデプロイしたら、変更を防ぐことができます。次のサービスコントロールポリシーは、VPC 設定のドリフトや意図しない変更を防ぐのに役立ちます。新しいインターネットゲートウェイアタッチメント、VPC ピアリング接続、トランジットゲートウェイアタッチメント、および新しい VPN 接続を拒否します。このポリシーが組織内のプライバシーと個人データを保護する方法の詳細については、このガイドAWS Transit Gatewayの「」を参照してください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:AttachInternetGateway",
                "ec2:CreateInternetGateway",
                "ec2:CreateVpcPeeringConnection",
                "ec2:AcceptVpcPeeringConnection",
                "ec2:CreateVpc",
                "ec2:CreateSubnet", 
                "ec2:CreateRouteTable",
                "ec2:CreateRoute",
                "ec2:AssociateRouteTable", 
                "ec2:ModifyVpcAttribute",
                "ec2:*TransitGateway",
                "ec2:*TransitGateway*",
                "globalaccelerator:Create*",
                "globalaccelerator:Update*"
                
            ],
            "Resource": "*",
            "Effect": "Deny",
            "Condition": {
                "ArnNotLike": {
                    "aws:PrincipalARN": [
                        "arn:aws:iam::*:role/Role1AllowedToBypassThisSCP",
                        "arn:aws:iam::*:role/Role2AllowedToBypassThisSCP"
                    ]
                }
            }          
        }
    ]
}