Aplicação da criptografia EBS na AWS Organization usando SCP (Service Control Policy)

Atualizado em setembro de 2020

As informações na página da AWS vinculadas abaixo foram alteradas. A limitação em torno do EC2 e usuários root parece ter sido removida. A seguinte política deve funcionar

{
  "Effect": "Deny",
  "Action": "ec2:CreateVolume",
  "Resource": "*",
  "Condition": {
    "Bool": {
      "ec2:Encrypted": "false"
    }
  }
},
{
  "Sid": "PreventEc2MountUnencryptedVolume",
  "Effect": "Deny",
  "Action": "ec2:RunInstances",
  "Resource": "arn:aws:ec2:*:*:volume/*",
  "Condition": {
    "Bool": {
      "ec2:Encrypted": "false"
     }
   }
}

Você pode e provavelmente deve restringir o usuário root de forma mais geral usando uma política como a encontrada nesta página . O usuário root não deve ser usado para administração de rotina, mas tê-los disponíveis e com permissões para realizar tarefas-chave como um quebra-vidros é sensato.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RestrictEC2ForRoot",
      "Effect": "Deny",
      "Action": [
        "ec2:*",
        "s3:*",
        "kms:*"
      ],
      "Resource": [
        "*"
      ],    
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

Resposta original de abril de 2019

Acontece que o SCP funciona conforme o esperado, mas há um problema - de acordo com esta página da AWS "Todas as chaves de condição que começam com "ec2" não são avaliadas ao usar credenciais raiz".

Como o requisito para o volume ser criptografado está dentro de uma chave de condição, ele não foi aplicado enquanto eu estava logado como root. Quando fiz login como usuário do IAM, o SCP foi aplicado conforme o esperado.

Aqui está o texto completo da documentação da AWS.

Documentos da AWS

Atualmente, ao usar credenciais de usuário raiz para fazer solicitações do Amazon EC2, os elementos de política de recurso e condição não funcionam conforme o esperado das seguintes maneiras:

Resource ARNs – If you specify an AWS resource ARN in an SCP's resource element, it won't match the resource the root user performs

a ação do Amazon EC2 durante a avaliação da política. Isso significa que as restrições especificadas para esta ação não se aplicam ao usuário root. As instruções de negação que especificam todos os recursos ("Resource": "*") para ações do Amazon EC2 são avaliadas corretamente para usuários root.

Amazon EC2 condition keys – All condition keys that start with "ec2" aren't evaluated when using root credentials. Because policy

as condições não forem avaliadas corretamente para usuários root, os usuários com credenciais root podem ter acesso não intencional a ações do Amazon EC2.

Esse problema não afeta usuários e funções do IAM ou qualquer serviço da AWS, exceto Amazon EC2. Apenas o usuário root está sujeito a esse problema. Se você não quiser que seu usuário root tenha acesso às ações do Amazon EC2, anexe um SCP como o exemplo Restrict Access to Amazon EC2 for Root User à raiz da sua organização.

Aqui está o SCP ao qual eles vinculam

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RestrictEC2ForRoot",
      "Effect": "Deny",
      "Action": [
        "ec2:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}