本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 限制对 VPC 配置的更改
<a name="restrict-changes-vpc-configurations"></a>

**调查**  
我们很乐意听取您的意见。请通过[简短的调查](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2)提供 AWS 有关 PRA 的反馈。

在设计并部署了支持跨境数据传输要求（包括网络数据流） AWS 的基础架构之后，您可能需要防止修改。以下服务控制策略有助于防止 VPC 配置漂移或意外修改。该策略拒绝新的互联网网关连接、VPC 对等连接、中转网关连接以及新的 VPN 连接。有关本策略如何帮助保护组织中的隐私和个人数据的更多信息，请参阅本指南中的 [AWS Transit Gateway](network-account.md#transit-gateway)。

```
{
    "Version": "2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Action": [
                "ec2:AttachInternetGateway",
                "ec2:CreateInternetGateway",
                "ec2:CreateVpcPeeringConnection",
                "ec2:AcceptVpcPeeringConnection",
                "ec2:CreateVpc",
                "ec2:CreateSubnet", 
                "ec2:CreateRouteTable",
                "ec2:CreateRoute",
                "ec2:AssociateRouteTable", 
                "ec2:ModifyVpcAttribute",
                "ec2:*TransitGateway",
                "ec2:*TransitGateway*",
                "globalaccelerator:Create*",
                "globalaccelerator:Update*"
                
            ],
            "Resource": "*",
            "Effect": "Deny",
            "Condition": {
                "ArnNotLike": {
                    "aws:PrincipalARN": [
                        "arn:aws:iam::*:role/Role1AllowedToBypassThisSCP",
                        "arn:aws:iam::*:role/Role2AllowedToBypassThisSCP"
                    ]
                }
            }          
        }
    ]
}
```