Amazon web services 如果EBS不是’；t加密

我想限制在存储未加密的情况下启动任何ec2实例。

我在这里看到两个选项：

防止使用

ec2:Encrypted

条件密钥（）创建未加密卷。此条件键还可用于IAM策略中的

ec2:RunInstances

操作。检查文档中支持的条件标签（Guide/list_amazonec2.html）

将以下策略语句添加到附加到要强制EBS卷加密的用户或角色的策略中：

效果：允许
行动：
-ec2：运行实例
-ec2:CreateVolume#确保单独创建卷也是加密的
资源：“*”
条件：
布尔：
ec2：加密：True

使用AWS配置启用detective控件，这采用了更具教育意义的方法。可以实现自动修复（）

---

现在，您可以在默认情况下为EBS启用加密

---

在当前区域中默认启用ebs加密如何？无法根据所连接的Amazon ebs卷的属性控制对

运行实例

或

开始状态

的权限。防止创建未加密卷会更容易。最好使用AWS SDK API的一些挂钩来执行OP中提到的操作。可能是使用方面。@JohnRotenstein On

RunInstances

可以根据thr文档使用加密的条件密钥检查。开始和停止不是这样的，你是对的！选项1的gojng流程是什么。在编辑答案之前，我从未使用过条件访问键。策略语句也可以在具有服务控制策略的AWS组织中的帐户级别上使用！{“Version”：“2012-10-17”，“Statement”：[{“Effect”：“Allow”，“Action”：“ec2:*”，“Resource”：“*”，“Condition”：{“Bool”：{“ec2:Encrypted”：“True”}}}}}}}}}我在尝试启动AMI时遇到API错误“描述所选AMI时出错，您无权执行此操作。”请记住，

ec2:

操作通配符将阻止不存在请求标志

ec2:Encrypted

的ec2操作。请阅读顶部的红色框（）.Create on语句allow with CONTECTION，一个仅用于带条件的应用操作。