问题描述
是否有一种创建cloudformation脚本的方法,该脚本默认为所有组织启用EBS加密?我正在为此解决方案寻找补救措施的aws配置规则。 https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-guardrails.html#ebs-enable-encryption
解决方法
目前无法通过CloudFormation实现。 https://github.com/aws-cloudformation/aws-cloudformation-coverage-roadmap/issues/158
或者,您可以通过添加以下IAM策略语句来强制执行仅创建或附加加密的EBS卷的策略:
{
"Sid": "DenyAnythingRelatedToUnencryptedVolume","Effect": "Deny","Action": [
"ec2:*"
],"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},"Resource": "*"
}