我现在有5个不同的安全组,我试图尽我所能组织.
我有时需要打开某些实例的SSH访问权限,具体取决于我所处的位置,所以我从我当前的IP中为入站端口22添加规则.我可以很好但是为了保持整洁,我希望能够指定这个IP来自格拉斯哥的办公室,这个来自伦敦,纽约等,但是我看不到放一点点或额外信息的方法.
我们有几个人正在更新一个安全组,过了一段时间,有些人忘记删除临时规则,当我们想要清理安全组并删除那些临时规则同时保留永久规则时,这些规则会变得有点混乱.
我在文档中看不到任何可以让我在每条规则旁边添加这个小描述的内容; 我错过了什么?
在AWS管理控制台中,我有一个实例。当我转到该实例的描述并单击时,view inbound rules我得到:
80 tcp 0.0.0.0/0 ?
22 tcp 24.47.137.69/32 ?
443 tcp 0.0.0.0/0 ?
如果我转到该实例的安全组——只有一个——并删除端口 443 规则,它会从安全组中删除,但是当我返回实例页面并view inbound rules再次单击时,我得到同样的结果:
80 tcp 0.0.0.0/0 ?
22 tcp 24.47.137.69/32 ?
443 tcp 0.0.0.0/0 ?
知道为什么实例的入站规则在它的安全组是时没有更新吗?
我有一个在 AWS 中运行的 Fargate 服务。我用它来运行多个任务。一些任务连接到 RDS 数据库以查询数据库。
如何将 Fargate 服务添加到 RDS 数据库的安全组的内部规则中?- 有没有办法将弹性 IP 与 Fargate 集群相关联?
我有多个 IP,并且我想将这些 IP 的访问权限添加到某些安全组。有没有办法声明一次 IP 并在安全组中重复使用它们,而不是在每个安全组上声明这些 IP?
我已经构建了一个运行我的网站的 Fargate 集群。该服务正确启动网站任务,但在尝试连接到我的数据库实例时停止。
MongoError: failed to connect to server [123.456.789.0:27017] on first connect [MongoError: connection 0 to 123.456.789.0:27017 timed out]
如何将 Fargate 集群添加到我的数据库实例上的安全组。我没有可以找到的 fargate 集群的公共 IP 地址或范围。我在 aws 文档中找不到任何适当的指南。
amazon-ecs aws-security-group network-security-groups aws-fargate
按照 AWS 文档进行操作后,我成功创建了 RDS 数据库实例 (PosgreSQL),并想知道是否可以创建一条规则来限制可访问数据库的允许 IP 地址。
老实说,我不知道从哪里开始。我在 AWS 文档的某个地方迷失了大约 2 个小时。如果有人能给我指出一些有用的东西,我将不胜感激。
我的Supported PlatformRDS 是VPC,如果有帮助的话我有一个默认值VPC。
我正在尝试为开发和 QA 环境配置我的 terraform,每个环境都有自己的安全组,我用data:
data "aws_security_group" "ssh" {
name = "SG-SSH"
}
data "aws_security_group" "postgres" {
name = "SG-Postgres"
}
有没有办法根据目标环境指定拉入哪些安全组?我试过这个:
locals {
sgs = {
dev = ["${data.aws_security_group.postgres.id}", "${data.aws_security_group.ssh.id}"]
qa = ["${data.aws_security_group.postgres.id}"]
}
}
然后我用 来引用"${local.sgs[var.env]}"。但是,ssh安全组仅存在于开发环境中,因此当我针对 QA 环境时,我仍然得到:
data.aws_security_group.ssh: data.aws_security_group.ssh: no matching SecurityGroup found
amazon-web-services terraform aws-security-group terraform-provider-aws
出于与管理相关的原因,我需要将 RDS 的公共可访问性选项设置为“否”。
但是,我们也在考虑能够从我们的本地设备访问 RDS。我们能够这样做的唯一方法是在公共可访问性中选择“是”。当然,VPC、网关、子网和安全组已经设置了适当的面向公众的东西,这可能是 Yes 选项起作用的原因。
但是当我们将其设置为 No 时,现在只有 EC2 实例能够连接到数据库。
有没有办法解决这个问题,或者这真的是公共可访问性标志的设计吗?
提前致谢。
我正在定义一个 cloudformation 堆栈,其中安全组应允许来自指定 IP 地址的入口流量。我已将这些 IP 地址定义为映射,将来当我们在我们的平台上吸引新客户时,它们将会增长。我当前的 cloudformation 堆栈看起来像
AWSTemplateFormatVersion: '2010-09-09'
Description: Security group.
Parameters:
VPCStackName:
Type: String
Description: The name of VPC stack
Mappings:
# Security group configuration for different environments
SecurityGroupConfiguration:
PROD:
IPAddress: "149.250.241.202/32 149.250.241.202/32"
NON-PROD:
IPAddress: "149.250.241.202/32, 149.250.241.204/32, 149.250.241.205/32"
Resources:
# Add security groups and their ingress
PublicSubnetSecurityGroup:
Type: AWS::EC2::SecurityGroup
Properties:
GroupDescription: Test security group
VpcId:
Fn::ImportValue:
!Sub "${VPCStackName}-vpcid"
SecurityGroupIngress:
- CidrIp: !FindInMap ['SecurityGroupConfiguration', 'PROD', 'IPAddress']
IpProtocol: -1
无论我用“ ”、“,”或“;”分隔它们,这都不允许创建SG。
我想尝试的第二种方法是将这些映射定义为一个列表,并根据配置的元素数量动态迭代它们。对于PROD和NON-PROD列表将具有不同数量的 IP 地址,因此我将无法定义索引。例如,生产将有 …
我一直在为 AWS 基础设施编写可重用的模块。在创建安全组时,我的方法是为安全组创建一个通用模块并在控制代码中提供端口列表。但是,在使用count它时,会为每个端口创建一个安全组。有没有办法像在这种情况下那样迭代特定部分?
SG模块
resource "aws_security_group" "this" {
name = var.sg_name
description = var.description
vpc_id = var.vpc_id
count = min(length(var.ingress_ports))
ingress {
from_port = var.ingress_ports[count.index]
to_port = var.ingress_ports[count.index]
protocol = "tcp"
cidr_blocks = ["10.0.0.0/8"]
}
egress {
from_port = 0
to_port = 0
protocol = "-1"
cidr_blocks = ["0.0.0.0/0"]
}
}
控制代码
module "qliksense_sg" {
source = "modules/aws-sg"
sg_name = "My-SG"
description = "A security group"
vpc_id = module.vpc.vpc_id
ingress_ports = ["80", "443"]
}
amazon-web-services terraform aws-security-group terraform-provider-aws
aws-fargate ×2
terraform ×2
amazon-ec2 ×1
amazon-ecs ×1
amazon-rds ×1
amazon-vpc ×1
mysql ×1
rds ×1