Мы устанавливаем некоторые границы безопасности для наших внутренних групп и хотели бы ограничить их способность развертывать службы в общедоступных подсетях. Я могу создать граничную политику для EC2, которая не будет развертываться в общедоступных подсетях, но это касается только службы EC2. Есть ли способ заблокировать развертывание всех существующих или будущих сервисов в определенной подсети?
Практически каждому ресурсу нужен ENI - эластичный сетевой интерфейс. Поэтому можете попытаться ограничить создание ENI в своих общедоступных подсетях. Это касается EC2, RDS, Fargate, VPC-Lambda, ELB / ALB и т. Д. Не уверен, можно ли создать такую политику IAM, я не пробовал.
В любом слючае AWS Config заметит, когда был создан новый ENI, и вы сможете действовать в соответствии с этим. Проверять, выписываться Используйте правила AWS Config для автоматического исправления несоответствующих ресурсов.
Надеюсь, это поможет :)