我们正在为内部团队建立一些安全边界,并希望限制其在公共子网中部署服务的能力。我可以为不部署在公共子网中的EC2建立边界策略,但这仅涵盖EC2服务。有没有办法阻止所有现有或将来的服务部署在特定子网中?
hellionhe 回答:AWS Public Subnet-拒绝服务部署
AWS VPC文档here包含一个可靠的示例,用于允许访问启动资源到特定子网中。相反,您可以对显式DENY应用相同的模式,以防止IAM用户或角色能够将资源启动到特定子网中。
您的政策将类似于:
{
"Version": "2012-10-17","Statement": [{
"Effect": "Deny","Action": "*","Resource”: [
“arn:aws:ec2:region:account:subnet/subnet-11223344556677889"
]
}
]
}