Amazon Virtual Private Cloud (Amazon VPC) 的範例 SCP - AWS Organizations
防止使用者刪除 Amazon VPC 流程日誌 防止尚沒有網際網路存取的任何 VPC 取得存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Virtual Private Cloud (Amazon VPC) 的範例 SCP

防止使用者刪除 Amazon VPC 流程日誌

此 SCP 可防止任何受影響帳戶中的使用者或角色刪除 Amazon Elastic Compute Cloud (Amazon EC2) 流程日誌或 CloudWatch 日誌群組或日誌串流。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ec2:DeleteFlowLogs",
        "logs:DeleteLogGroup",
        "logs:DeleteLogStream"
      ],
      "Resource": "*"
    }
  ]
 }

防止尚沒有網際網路存取的任何 VPC 取得存取

此 SCP 可防止任何受影響帳戶中的使用者或角色變更您的 Amazon EC2 Virtual Private Cloud (VPC) 的組態,以授予它們網際網路的直接存取。它不會封鎖現有的直接存取,或透過您的現場部署網路環境路由的任何存取。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ec2:AttachInternetGateway",
        "ec2:CreateInternetGateway",
        "ec2:CreateEgressOnlyInternetGateway",
        "ec2:CreateVpcPeeringConnection",
        "ec2:AcceptVpcPeeringConnection",
        "globalaccelerator:Create*",
        "globalaccelerator:Update*"
      ],
      "Resource": "*"
    }
  ]
}