Общедоступная подсеть AWS - запретить развертывание служб

Question

Мы устанавливаем некоторые границы безопасности для наших внутренних групп и хотели бы ограничить их возможности развертывания служб в общедоступных подсетях. Я могу построить граничную политику для EC2, которая не будет развернута в общедоступных подсетях, но это касается только службы EC2Есть ли способ заблокировать все службы, существующие или будущие, от развертывания в определенной подсети?

Answer 1

Документация AWS VPC здесь содержит хороший пример разрешения доступа к ресурсам запуска в определенной подсети. Вы можете, наоборот, применить тот же шаблон с явным DENY, чтобы запретить пользователю или роли IAM запускать ресурсы в определенных подсетях.

Ваша политика будет выглядеть примерно так:

{
   "Version": "2012-10-17",
   "Statement": [{
      "Effect": "Deny",
      "Action": "*",
      "Resource”: [
        “arn:aws:ec2:region:account:subnet/subnet-11223344556677889"
      ]
    }
  ]
}