我需要将某些工作区的互联网访问限制为批准的IP。最简单的(根据我的理解(是修改d-xxxxxxxxxx_workspaceMembers安全组出站规则。为了测试,我刚刚删除了所有出站规则(意味着没有出站访问(,但工作区似乎不会启动。
简短的问题是,我在哪里可以找到出站访问要求的列表,以便将其列入白名单?我能找到的只是客户端互联网要求:https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html
更长的问题是,限制出站访问的最佳方式是什么?我并不反对类似squid代理的东西,但我们的要求并没有那么复杂,一个简单的IP白名单就可以了。
从我的角度来看,正确的方法是使用防火墙设备或AWS网络防火墙(或者端点保护(来控制流量。
发件人:工作空间的安全组
不要修改或删除_controllers和_workspaceMembers安全组。如果您修改或删除这些安全组,您的工作空间将无法正常工作,您将无法重新创建这些组并将其添加回。
或者,通过GPO推出的windows防火墙规则也应该有效,但从我的角度来看,这不是最好的方法。