ablog

不器用で落着きのない技術者のメモ

AWS Organizations の Service Control Policy でアカウントの S3 Static website hosting の有効化を禁止する

AWS

AWS Organizations の Service Control Policy でアカウントの権限を限定する - ablog と同様の手順で、AWS Organizations の Service Control Policy（SCP）でAWSアカウントの S3 Static website hosting の有効化を禁止してみた。

設定

s3:PutBucketWebsite を Deny する SCP を作成する。

Organization Unit に SCP をアタッチする。

ポリシーエディタで確認すると以下の通り。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1535859242000",
            "Effect": "Deny",
            "Action": [
                "s3:PutBucketWebsite"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

確認

SCP で s3:PutBucketWebsite を Deny したAWSアカウントで、S3 Static website hosting を有効化できないことを確認する。