亚马逊 Virtual Private Cloud(亚马逊 VPC)示例 SCPs - Amazon Organizations
阻止用户删除 Amazon VPC 流日志 阻止还没有 Internet 访问权的任何 VPC 获取它
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊 Virtual Private Cloud(亚马逊 VPC)示例 SCPs

阻止用户删除 Amazon VPC 流日志

此 SCP 可防止任何受影响账户中的用户或角色删除亚马逊弹性计算云 (Amazon EC2) 流日志、 CloudWatch 日志组或日志流。

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ec2:DeleteFlowLogs",
        "logs:DeleteLogGroup",
        "logs:DeleteLogStream"
      ],
      "Resource": "*"
    }
  ]
 }

阻止还没有 Internet 访问权的任何 VPC 获取它

此 SCP 可防止任何受影响账户中的用户或角色更改您的 Amazon EC2 虚拟私有云 (VPCs) 的配置,以授予他们直接访问互联网的权限。它不会阻止现有直接访问或通过您的本地网络环境路由的任何访问。

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ec2:AttachInternetGateway",
        "ec2:CreateInternetGateway",
        "ec2:CreateEgressOnlyInternetGateway",
        "ec2:CreateVpcPeeringConnection",
        "ec2:AcceptVpcPeeringConnection",
        "globalaccelerator:Create*",
        "globalaccelerator:Update*"
      ],
      "Resource": "*"
    }
  ]
}