有没有办法创建一个默认情况下为所有组织启用 EBS 加密的 cloudformation 脚本?有一个 aws config 规则,我正在寻找此配置规则的补救措施。https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-guardrails.html#ebs-enable-encryption
问问题
1181 次
1 回答
1
这目前无法通过 CloudFormation 实现。https://github.com/aws-cloudformation/aws-cloudformation-coverage-roadmap/issues/158
或者,您可以通过添加以下 IAM 策略语句强制执行只能创建或附加加密 EBS 卷的策略:
{
"Sid": "DenyAnythingRelatedToUnencryptedVolume",
"Effect": "Deny",
"Action": [
"ec2:*"
],
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Resource": "*"
}
于 2020-10-13T03:21:25.797 回答