SCP 문법은 "강제"적용이다.
Tag 문법은 선언한 Tag에 대해서만 적용이된다.
Tag 문법의 경우 선언하지 않은 Tag는 적용되지 않는다.
따라서 이 경우는 다음과 같은 방법으로 적용한다.
1. SCP 문법을 통해 "off"라는 Tag Key를 강제 선언한다.
2. Tag 문법을 통해 "off"의 Tag Value 값을 선언한다.
1) SCP 문법
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ScpEssentialInstanceTag",
"Effect": "Deny",
"Action": [
"ec2:RunInstances"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"ForAllValues:StringNotEquals": {
"aws:TagKeys": "off"
}
}
}
]
}
tag Key가 off가 아닐경우 EC2 생성 거부 정책
2) Tag 정책 문법
{
"tags": {
"off": {
"tag_value": {
"@@assign": [
"6PM",
"7PM",
"8PM",
"9PM",
"10PM",
"11PM",
"12PM",
"1AM",
"2AM",
"3AM"
]
},
"enforced_for": {
"@@assign": [
"ec2:instance"
]
}
}
}
}
3) 테스트
'Cloud Infra Architecture (AWS) > AWS Organization' 카테고리의 다른 글
[AWS Organization] SCP MFA 필수 사용 (0) | 2024.02.11 |
---|---|
[AWS Organization] 특정 Instance Type 생성 제한하기 (0) | 2024.02.11 |
[AWS Organization] SCP budgets 접근 허용 정책 (0) | 2024.02.11 |
[AWS Organization] Route53 domain 구매 방지 (0) | 2024.02.11 |
[AWS Organization] Region 제한 SCP (0) | 2024.02.11 |