通过IAM策略限制广域安全组规则访问

Question

概述：用户将直接从源ip登录到windows EC2实例，源ip往往会发生变化。

当前状态：我们为用户提供了修改/创建/删除安全组的访问权限。

需要：用户可以选择添加广泛开放的安全组规则，这些规则暴露了不必要的漏洞。是否有一种方法可以限制用户向安全组规则中添加大范围开放入站访问(0.0.0.0)/限制用户仅将其源ip添加到安全组的入站访问规则中？

我的初步发现：我检查了IAM文档，我没有找到任何方法来实现这一点。是否有更好的解决办法来实现这一点，而不是在他们添加了一个广泛开放的安全组规则之后获得警报/通知？

Answer 1

不幸的是，您组合了两件事情:谁可以配置安全组(这是由IAM权限管理的)，以及如何配置安全组(这取决于EC2)。你不能一个人做你想做的事。

在AWS博客上的这个例子展示了如何使用系统管理器自动补救安全组。有可能是AWS防火墙管理器也可以提供帮助，但我自己还没用过。