AWS Organizations の SCP を使って特定のIPアドレスのみで AWS が利用できるようにしてみよう #AWS - Qiita
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Deny",
"Action": "*",
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"aws:username": [
"*"
]
},
"NotIpAddress": {
"aws:SourceIp": [
"x.x.x.x/24",
"x.x.x.x/24"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
]
}
参考:AWS Organizations の SCP を使ってリージョン制限をかけてみよう #AWS - Qiita
利用できるリージョンを東京リージョン(ap-northeast-1)とグローバルサービスのためにバージニア北部リージョン(us-east-1)のみに制限する
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "denyRegion",
"Effect": "Deny",
"Action": [
"*"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": [
"ap-northeast-1",
"us-east-1"
]
}
}
}
]
}
参考:AWS OrganizationsのSCP設計で参考になりそうなサンプルポリシーを作成してみる - サーバーワークスエンジニアブログ
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyIAMOperations",
"Effect": "Deny",
"Action": [
"iam:CreateAccessKey",
"iam:DeleteAccountPasswordPolicy"
],
"Resource": [
"*"
]
}
]
}
参考:AWS OrganizationsのSCP設計で参考になりそうなサンプルポリシーを作成してみる - サーバーワークスエンジニアブログ
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ForceRDSStorageEncryption",
"Effect": "Deny",
"Action": [
"rds:CreateDBInstance",
"rds:CreateDBCluster"
],
"Resource": [
"*"
],
"Condition": {
"Bool": {
"rds:StorageEncrypted": "false"
}
}
},
{
"Sid": "ForceEBSStorageEncryption",
"Effect": "Deny",
"Action": [
"ec2:RunInstances",
"ec2:CreateVolume"
],
"Resource": [
"*"
],
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
}
},
{
"Sid": "ForceEFSStorageEncryption",
"Effect": "Deny",
"Action": [
"elasticfilesystem:CreateFileSystem"
],
"Resource": [
"*"
],
"Condition": {
"Bool": {
"elasticfilesystem:Encrypted": "false"
}
}
}
]
}
一般向けサイト
ITエンジニア向けサイト
英語サイト
Portfolio
Copyright (c) 2023 クラウドのインフラ技術 All Rights Reserved.