Наша компания имеет собственную сеть / адресное пространство, которое выделяется для учетных записей компании AWS. Учетные записи не Prod, согласно политике компании, не должны иметь доступа к Интернету. Это означает не только отсутствие IGW, но и общедоступных подсетей, общедоступных конечных точек и т. Д.
Нас просят включить все услуги, отвечающие требованиям HIPAA, в учетных записях не Prod, но мы сталкиваемся с тремя проблемами:
- Даже без IGW (который мы уже ограничили) некоторые службы, отвечающие требованиям HIPAA, такие как AWS Transfer for SFTP или Quicksight, не ограничиваются работой в данном VPC (диапазон IP-адресов). Как мы можем ограничить использование данной учетной записи только этой учетной записью?
- Нам выделен диапазон IP-адресов из адресного пространства Компании для каждой учетной записи / VPC. Это означает, что нет различий между общедоступными и частными IP-адресами.
- Ряд служб по умолчанию используют общедоступную конечную точку. Учитывая, что мы используем адресное пространство компании и поэтому не можем просто ограничиться частными диапазонами IP-адресов (поскольку нет различий между общедоступными / частными IP-адресами в этом диапазоне), как мы можем написать политику для наших SCP AWS Organizations, которая ограничивает любые / все сервисы от используя публичные конечные точки?