有没有办法在 Terraform 中管理 AWS 安全组来编辑现有 SG 的规则?
例如:如果我配置一个新实例,现有 SG 的入口规则将更新以允许新配置的实例。当实例终止时,SG 还需要更新。
如果 Terraform 没有直接支持,请随意建议其他常见做法。
amazon-web-services terraform aws-security-group terraform-provider-aws
我有一个正在运行网站并关联 ALB 的 ec2 实例。
通常,作为 ec2 实例安全组内部的实践,会引用 alb 安全组,但这里客户端的配置方式是,在 ec2 实例内部,源是安全组本身的名称。
名称为 ec2 实例的安全组
sg-0bc7e4b8b0fc62ec7 - default
根据我对 aws 安全组的理解,在入站规则下,当涉及到源时,我们可以提及 IP 地址、CIDR 块或reference another security group.
但这对于入站规则意味着什么,其中所有流量、所有端口都被允许,但源 = sg-0bc7e4b8b0fc62ec7 / default。
我对使用与源相同的安全组名称感到困惑,这条规则意味着什么?
我一直在尝试在 AWS 上实施一项新策略,以允许特定用户管理特定安全组。我曾经可以使用此功能,但几周前它停止工作,现在无论我尝试什么,我都无法让它再次工作。
是否有人拥有有关如何创建策略以允许用户修改特定安全角色的有效 JSON 配置?这主要是为了允许某些用户在使用动态 IP 时更改防火墙规则。
编辑:这是我当前的 JSON 配置:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "s1",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:DescribeNetworkAcls",
"ec2:DescribeSecurityGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "s2",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": [
"arn:aws:ec2:*:*:security-group/sg-<my id>"
]
}
]
}
amazon-ec2 amazon-web-services aws-security-group aws-policies
场景 1:我为所有流量创建了入站 HTTP 规则。然后,我仅针对特定 IP(不是我的 IP)创建了 HTTP 出站规则。我仍然能够看到http内容。那么,这是否意味着如果将入站规则设置为所有流量,则出站规则不会产生任何影响?
场景 2:然后,我删除了入站 http 规则,并使用我的 IP 创建了出站 http 规则。它不允许我访问 http 内容。
场景2是有道理的,但基于场景1,我只是无法理解出站规则的用法。您能否分享一些可以使用出站规则的场景?
我最近在 AWS elasticache 上创建了一个 Redis 集群,但在通过本地计算机上的 redis-cli 连接时遇到问题。每次我运行命令时:
redis-cli -h <redis_cluster_domain> -p 6379
连接从未建立并最终因超时而退出。
最终,我发现它是由于安全组上的设置而被阻止的,因此我编辑了入站规则以允许来自我的 IP 地址的所有流量。即使执行此操作后,我仍然无法连接到集群。有什么想法可能是为什么吗?
amazon-web-services amazon-elasticache amazon-vpc redis-cli aws-security-group
在文档中:https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-update-security-groups.html 编辑负载均衡器的安全组时,内容如下:
Update the associated security groups
You can update the security groups associated with your load balancer at any time.
To update security groups using the console:
1. Open the Amazon EC2 console at https://console.aws.amazon.com/ec2/.
2. On the navigation pane, under LOAD BALANCING, choose Load Balancers.
3. Select the load balancer.
4. On the Description tab, under Security, choose Edit security groups.
5. To associate a security group with your load balancer, select it. To remove a security …amazon-ec2 amazon-web-services amazon-elb aws-security-group
我目前正在学习AWS 认证解决方案架构师 - 助理 (SAA-C02) Linkedin 学习课程,但遇到了一些关于安全组的令人困惑的问题。在讲座中,讲师表示,使用安全组时:
我们在决定是否允许流量之前评估所有规则
与 NACL 的工作方式相反,NACL 一旦规则匹配就停止处理。
但在讲座结束时,总结如下:
确保规则顺序正确非常重要,否则将无法实现所需的权限
我不明白这一点。如果所有规则都被评估,那么为什么它们的顺序很重要呢?此外,安全组仅支持允许规则。不存在一条规则允许流量而另一条规则拒绝流量的情况。
amazon-ec2 amazon-web-services aws-security-group aws-networking
我找到了一个允许所有流量的安全组,0.0.0.0并且我想知道正在使用该安全组的所有资源。
是否有任何 AWS CLI 命令用于此操作,或者我应该检查每个资源以查看是否附加了此安全组?
我使用Amazon EC2托管一些网站和数据库。
我明天有新的开发人员加入。如果我创建一个IAM用户,并向他附加“ AmazonEC2FullAccess-arn:aws:iam :: aws:policy / AmazonEC2FullAccess-通过AWS管理控制台提供对Amazon EC2的完全访问权限。”策略,
他将能够访问过去创建的linux ec2实例中存储的机密信息。基本上,此策略是否以某种方式允许访问预先创建的linux实例。
编辑:如果他/她尝试磁盘恢复程序怎么办?例如,在新的ec2实例中挂载vm的磁盘