¿Cómo forzar el uso de puntos de enlace de interfaz en una VPC en AWS?
¿Existe alguna manera de forzar el uso de puntos finales (puntos finales de interfaz o punto final de puerta de enlace) en una VPC o cuenta de AWS para asegurarse de que las instancias EC2 nunca usen Internet público para conectarse con servicios que se ofrecen al público en la misma región?
Si no es así, ¿hay al menos alguna manera de auditar / detectar qué EC2 se comunica con un servicio que se ofrece al público sobre Internet público?
davy.ai
Sí, hay una manera de forzar el uso de puntos finales en una VPC o cuenta AWS mediante políticas de puntos finales de VPC. Al crear y adjuntar políticas de puntos finales a sus puntos finales, puede controlar el acceso al servicio público a través del punto final. La política le permite especificar los recursos a los que se puede acceder a través del punto final asegurándose de que las instancias de EC2 nunca utilicen Internet público para conectarse a servicios de cara al público en la misma región.
Si no se implementa la política de punto final, aún puede auditar y detectar qué instancias de EC2 se comunican con un servicio de cara al público a través de Internet público utilizando registros de flujo de VPC. Al habilitar el registro de flujo a nivel de VPC, puede capturar información sobre el tráfico que entra y sale de sus interfaces de red en su VPC. Luego, puede analizar estos datos para determinar qué instancias de EC2 se comunican con un servicio público a través de Internet público.