Как ограничить адресное пространство компании частными IP-адресами (выделенными в учетных записях AWS) - PullRequest
0 голосов
/ 09 июня 2019

Наша компания имеет собственную сеть / адресное пространство, которое выделяется для учетных записей компании AWS. Учетные записи не Prod, согласно политике компании, не должны иметь доступа к Интернету. Это означает не только отсутствие IGW, но и общедоступных подсетей, общедоступных конечных точек и т. Д.

Нас просят включить все услуги, отвечающие требованиям HIPAA, в учетных записях не Prod, но мы сталкиваемся с тремя проблемами:

  1. Даже без IGW (который мы уже ограничили) некоторые службы, отвечающие требованиям HIPAA, такие как AWS Transfer for SFTP или Quicksight, не ограничиваются работой в данном VPC (диапазон IP-адресов). Как мы можем ограничить использование данной учетной записи только этой учетной записью?
  2. Нам выделен диапазон IP-адресов из адресного пространства Компании для каждой учетной записи / VPC. Это означает, что нет различий между общедоступными и частными IP-адресами.
  3. Ряд служб по умолчанию используют общедоступную конечную точку. Учитывая, что мы используем адресное пространство компании и поэтому не можем просто ограничиться частными диапазонами IP-адресов (поскольку нет различий между общедоступными / частными IP-адресами в этом диапазоне), как мы можем написать политику для наших SCP AWS Organizations, которая ограничивает любые / все сервисы от используя публичные конечные точки?
...