网络访问控制列表的 AWS 服务控制策略
AWS service control policy for network access control list
是否可以创建 AWS 服务控制策略来阻止具有默认路由 (0.0.0.0/0) 的 NACL 条目,该默认路由打开除 80 和 443 之外的所有端口到互联网?
我创建了以下内容,但它没有按预期工作
{
“Version: “2012-10-17”,
“Statement”: [
{
“Effect”: “Deny”,
“Action”: [
“ec2:CreateNetworkAclEntry”
],
“Resource”: “*”,
“Condition”: {
“StringEquals”: {
“ec2:Attribute/CidrBlock”:[“0.0.0.0/0”],
“ec2:Attribute/CidrBlock”:[“::/0”],
},
“StringNotEquals”: {
“ec2:Attribute/PortRange”: [
80,
443
]
}
}
}
]
}
不,我不认为这可以通过 SCP 实现。
正在检查 the SAR for EC2,CreateNetworkAclEntry 不支持您尝试使用的 ec2:Attribute 条件。
是否可以创建 AWS 服务控制策略来阻止具有默认路由 (0.0.0.0/0) 的 NACL 条目,该默认路由打开除 80 和 443 之外的所有端口到互联网?
我创建了以下内容,但它没有按预期工作
{
“Version: “2012-10-17”,
“Statement”: [
{
“Effect”: “Deny”,
“Action”: [
“ec2:CreateNetworkAclEntry”
],
“Resource”: “*”,
“Condition”: {
“StringEquals”: {
“ec2:Attribute/CidrBlock”:[“0.0.0.0/0”],
“ec2:Attribute/CidrBlock”:[“::/0”],
},
“StringNotEquals”: {
“ec2:Attribute/PortRange”: [
80,
443
]
}
}
}
]
}
不,我不认为这可以通过 SCP 实现。
正在检查 the SAR for EC2,CreateNetworkAclEntry 不支持您尝试使用的 ec2:Attribute 条件。