AWS -拒绝在公共子网中部署服务

Question

我们正在为我们的内部团队建立一些安全边界，并希望限制他们在公共子网中部署服务的能力。我可以为EC2构建一个边界策略，而不是部署在公共子网中，但这只涉及EC2服务。是否有一种方式阻止所有服务，无论是现有的还是未来的，被部署在特定的子网中？

Answer 1

几乎每个资源都需要一个ENI -弹性网络接口。因此，可以尝试限制在公共子网中创建ENI。这将涵盖EC2，RDS，Fargate，VPC，ELB/ALB等。不确定是否有可能创建这样的IAM策略，我还没有尝试。

在任何情况下，AWS Config都会注意到什么时候创建了一个新的ENI，您可以对此采取行动。看看使用AWS Config规则自动修复不兼容的资源。

希望有帮助:)