AWS Organizations の Service Control Policy でアカウントの権限を限定する - ablog と同様の手順で、AWS Organizations の Service Control Policy(SCP) でAWSアカウントの S3 Static website hosting の有効化を禁止してみた。
設定
- s3:PutBucketWebsite を Deny する SCP を作成する。
- Organization Unit に SCP をアタッチする。
- ポリシーエディタで確認すると以下の通り。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1535859242000", "Effect": "Deny", "Action": [ "s3:PutBucketWebsite" ], "Resource": [ "*" ] } ] }