Мы устанавливаем некоторые границы безопасности для наших внутренних групп и хотели бы ограничить их способность развертывать службы в общедоступных подсетях. Я могу создать граничную политику для EC2, которая не будет развертываться в общедоступных подсетях, но это касается только службы EC2. Есть ли способ заблокировать развертывание всех сервисов, существующих или будущих, в определенной подсети?
В значительной степени каждому ресурсу нужно ENI - Эластичный Сетевой интерфейс . Поэтому может попытаться ограничить создание ENI в Ваших общедоступных подсетях. Это покроет EC2, RDS, Fargate, Лямбду VPC, ELB/ALB, и т.д. Не уверенный, если будет возможно создать меня, политика как этот, я не попробовал.
В любом случае Конфигурация AWS заметит, когда новая ENI была создана, и можно реагировать на это. Выезд Использование Правила Конфигурации AWS Автоматически Устранить Несовместимые Ресурсы .
Hope, которая помогает :)