Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Is it possible to prevent certain security group rules account/org wide?

0

i.e. say I want to prevent 0.0.0.0/0 or some arbitrary IP from ever being applied as a security group rule, is it possible to do this from a an organization/account wide control approach?

  • Chris_G EXPERTE
    vor 2 Jahren

    The first thing that comes to mind is using AWS Config with a Custom Rule built on a Lambda function, but I don't think this is the only way so I'm not writing this as an answer.

Themen
Vernetzung & Bereitstellung von InhaltenManagement & Unternehmensführung
Tags
Amazon VPCAWS ConfigVernetzung & Bereitstellung von InhaltenAWS OrganisationenSicherheitsgruppe
Sprache
English
AWSKid2k
gefragt vor 2 Jahren2801 Aufrufe
1 Antwort
2
Akzeptierte Antwort

There is no condition on a IAM statement where you can reference the destination of an ingress rule. You can do a DETECTIVE control via AWS Config as Chris_G said in the comment. See:How to auto-remediate internet accessible ports with AWS Config and AWS Systems Manager

Maybe another way to approach this, depending on what you are trying to achieve, is to create a SCP that denies the CreateInternetGateway and AttachInternetGateway EC2 operations.

profile pictureAWS
EXPERTE
kentrad
beantwortet vor 2 Jahren

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt