我们公司拥有自己的网络/地址空间,该网络/地址空间已分配给公司的AWS账户。根据公司政策,不允许非产品帐户访问Internet。这意味着不仅没有IGW,而且没有公共子网,没有公共端点等。
我们被要求在非产品帐户中启用所有符合HIPAA资格的服务,但我们面临三个问题:
- 即使没有IGW(我们已经限制了),某些符合HIPAA要求的服务(例如,适用于SFTP的AWS Transfer或Quicksight)也不限于在给定的VPC(IP范围)中运行。我们如何将给定帐户内的使用限制为仅该帐户?
- 我们从公司地址空间中为每个帐户/ VPC分配了IP范围。这意味着公共IP和私有IP之间没有区别。
- 默认情况下,许多服务确实使用公共端点。鉴于我们使用公司地址空间,因此不能简单地将其限制在私有IP范围内(因为此范围内的公共/私有IP之间没有区别),我们如何为我们的AWS Organizations SCP编写一项策略,以限制使用公共端点?