AWS Service Control Policie для предотвращения открытия интернет-соединений в среде VPN

Question

AWS Service Control Policie для предотвращения открытия интернет-соединений в среде VPN

У нас есть несколько вспомогательных учетных записей AWS, которые находятся под платежным аккаунтом (организацией). Поскольку эти учетные записи подключены через vpn к нашему частному облаку, я хочу, чтобы разработчики не могли открывать порты в Интернет по умолчанию. Существует ли хорошая политика по умолчанию для предотвращения большинства основных вещей, которые могут вызвать проблемы с безопасностью, не ограничивая разработчиков? в основном должно быть разрешено запускать и останавливать вещи внутри, но мы должны убедиться, что они не могут открывать вещи, которые могут вызвать проблемы безопасности в нашем приватном облаке. Я просто быстро просмотрел некоторые настройки и предложил эту политику, но мне хотелось бы услышать, есть ли еще что-то для рассмотрения или есть ли уже хорошие примеры.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "aws-portal:ModifyAccount",
                "aws-portal:ModifyBilling",
                "aws-portal:ModifyPaymentMethods"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Deny",
            "Action": [
                "budgets:ModifyBudget"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Deny",
            "Action": [
                "directconnect:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Deny",
            "Action": [
                "cur:DeleteReportDefinition"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Deny",
            "Action": [
                "organizations:CreateAccount",
                "organizations:CreateOrganization",
                "organizations:CreateOrganizationalUnit",
                "organizations:DeleteOrganization",
                "organizations:DeleteOrganizationalUnit",
                "organizations:DeletePolicy",
                "organizations:DisablePolicyType",
                "organizations:InviteAccountToOrganization",
                "organizations:LeaveOrganization",
                "organizations:MoveAccount",
                "organizations:RemoveAccountFromOrganization",
                "organizations:UpdateOrganizationalUnit",
                "organizations:UpdatePolicy"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Deny",
            "Action": [
                "ec2:AttachInternetGateway",
                "ec2:CreateInternetGateway",
                "ec2:DeleteInternetGateway",
                "ec2:DetachInternetGateway"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Deny",
            "Action": [
                "ec2:AttachVpnGateway",
                "ec2:CreateVpnConnection",
                "ec2:CreateVpnConnectionRoute",
                "ec2:CreateVpnGateway",
                "ec2:DeleteVpnConnection",
                "ec2:DeleteVpnConnectionRoute",
                "ec2:DeleteVpnGateway",
                "ec2:DetachVpnGateway"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

1

amazon-web-services aws-organizations aws-vpc

Источник

user2951625 19 сен '17 в 10:39

0 ответов

Другие вопросы по тегам amazon-web-services aws-organizations aws-vpc