Даже когда я создаю экземпляры EC2 в частной подсети, они должны иметь возможность отправлять трафик в Интернет, если я хочу зарегистрировать их в кластере ECS.Защита правил исходящего трафика от экземпляров EC2 при использовании ECS
Я использую шлюз NAT для этого, но я все еще чувствую себя неуверенно, что экземпляры могут отправлять личную информацию в любом месте в случае захвата.
Какой будет самый компактный диапазон CIDR, который я могу использовать для группы безопасности экземпляров, вместо 0.0.0.0/0?
, кажется, что подобная функциональность будет доступна soonish с помощью VPC Endpoints, после создания конечной точки вы будете ограничивать исходящий трафик конкретной службы: http://docs.aws.amazon.com/ AmazonVPC/latest/UserGuide/vpc-endpoints.html # vpc-endpoints-security –