如何解决如果未加密EBS,如何限制EC2实例的启动
如果存储未加密,我想限制启动任何ec2实例的能力。
解决方法
我在这里看到两个选项:
- 防止使用
ec2:Encrypted条件密钥(https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html#amazonec2-ec2_Encrypted)创建未加密的卷。此条件密钥也可以用于IAM策略中的ec2:RunInstances操作。请查看文档中所支持的条件标签(https://docs.aws.amazon.com/IAM/latest/User Guide / list_amazonec2.html)。
将以下策略声明添加到您想要执行EBS卷加密的用户或角色所附加的策略中:
Effect: Allow
Action:
- ec2:RunInstances
- ec2:CreateVolume #makes sure creating a volume separatly is also encrypted
Resource: “*”
Condition:
Bool:
ec2:Encrypted: True
- 使用AWS Config启用侦探控件,该方法遵循一种更具教育意义的方法。可以实施自动修复(https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)。
您现在可以默认为EBS启用加密。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
