我们正在为内部团队构建一些安全边界,并希望限制他们在公共子网中部署服务的能力。我可以为 EC2 构建一个边界策略,使其不部署在公共子网中,但这仅涵盖 EC2 服务。有没有办法阻止所有现有或未来的服务部署在特定子网中?
答案1
几乎每种资源都需要ENI——弹性网络接口。因此可以尝试限制公共子网中的 ENI 创建。这将涵盖 EC2、RDS、Fargate、VPC-Lambda、ELB/ALB 等。不确定是否可以创建这样的 IAM 策略,我还没有尝试过。
任何状况之下AWS Config会注意到何时创建了新的 ENI,然后您可以据此采取行动。查看使用 AWS Config 规则自动修复不合规资源。
希望有帮助:)