AWS Public 子网 - 拒绝服务部署
AWS Public Subnet - deny services deployment
我们正在为我们的内部团队构建一些安全边界,并希望限制他们在 Public 子网中部署服务的能力。我可以为不部署在 public 子网中的 EC2 构建边界策略,但这仅涵盖 EC2 服务。有没有办法阻止所有现有或未来的服务部署在特定子网中?
AWS VPC 文档 here 包含一个可靠的示例,用于允许访问特定子网中的启动资源。您可以相反地应用具有显式拒绝的相同模式,以防止 IAM 用户或角色能够在特定子网中启动资源。
您的政策类似于:
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": "*",
"Resource”: [
“arn:aws:ec2:region:account:subnet/subnet-11223344556677889"
]
}
]
}
我们正在为我们的内部团队构建一些安全边界,并希望限制他们在 Public 子网中部署服务的能力。我可以为不部署在 public 子网中的 EC2 构建边界策略,但这仅涵盖 EC2 服务。有没有办法阻止所有现有或未来的服务部署在特定子网中?
AWS VPC 文档 here 包含一个可靠的示例,用于允许访问特定子网中的启动资源。您可以相反地应用具有显式拒绝的相同模式,以防止 IAM 用户或角色能够在特定子网中启动资源。
您的政策类似于:
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": "*",
"Resource”: [
“arn:aws:ec2:region:account:subnet/subnet-11223344556677889"
]
}
]
}