标签: aws-security-group

我想启动一个 ec2 实例。我面临的挑战是我需要为此实例配置安全组，并且我希望只允许来自自动缩放组的实例访问它。在这种情况下如何设置入站，因为来自 Auto Scale 的实例会有所不同？

我想EFS在AWS其中创建，文档中说，我只能将其附加到与我的VPC.

如何知道我的安全组VPC？

假设是这样，default并且我的实例具有不同的安全组，由不同的向导在不同的时间创建。怎么可能，该实例属于VPC但具有不同的安全组VPC？

我的目标很简单:

允许VPC内的任何实例连接到特定安全组.

允许来源的字段表明:"CIDR,IP或安全组".

有没有办法让我指定一个VPC？

我之所以在VPC中有多个具有不同安全组的实例,但都需要访问我正在创建的安全组.

我有两个 AWS EC2 实例尝试通过自定义 TCP 端口相互通信。每个实例都有自己的安全组，但都不能相互通信。

这是我的设置：

EC2实例1

• 名称：实例1
• 公共IP地址：aaa.bbb.ccc.ddd
• 安全组 ID：sg-xxxxxxxxx1
• SG入站规则：无
• SG出站规则：
  • 类型：所有流量、协议：全部、端口范围：全部、目标：0.0.0.0/0

EC2实例2

• 名称：实例2
• 公共IP地址：www.xxx.yyy.zzz
• 安全组 ID：sg-xxxxxxxxx2
• SG入境规则：
  • 类型：自定义 TCP 规则，协议：TCP，端口范围：12345，来源：sg-xxxxxxxxxx1

SG出站规则：

• 类型：所有流量、协议：全部、端口范围：全部、目标：0.0.0.0/0

问题

每当实例 1 尝试向 发起 TCP 请求时www.xxx.yyy.zzz:12345，连接就会超时。

如果我将以下入站规则添加到实例 2 的 SG，它就可以正常工作：

• 类型：所有流量，协议：全部，端口范围：12345，源：0.0.0.0/0

概括

我需要实例 1 与实例 2 通信，而不允许来自任何地方的流量访问端口 12345。有没有办法做到这一点？

我正在使用 terraform 进行 AWS 资源配置。我需要自我参考“mySG”。从 Terraform 文档我可以使用

 ingress {
          from_port = 0
          to_port = 0
          protocol = -1
          self = true
      }

但是不同的协议呢？使用控制台 有以下历史入站规则可用：

      Type      Protocol         PortRange      Source
1. All TCP      TCP             0-65535         mySG 
2. All UDP       UDP              0-65535         mySG 
3. Custom TCP    TCP             1856            mySG

（是否需要第三个条目？考虑所有端口的第一个条目）上述入口规则是否处理所有 3 个条目？如果不是什么应该是 terraform 语法。

我在同一可用区中有 2 个实例，并且都有公共 IP 地址。我向两个实例添加了一个安全组，允许入站 ICMP ping 的源为同一安全组。当我 ping 私有 IP 地址时，可以 ping 通。但是，当我 ping 公共 IP 地址时，却 ping 失败。

• 作为“源”（或目标）的安全组是否仅限于该组中实例的私有 IP？为什么作为“源”的安全组无法识别公共 IP 地址？

相反，当我将源更改为 0.0.0.0/0 时，ping 公共 IP 会成功。

我让 AWS EKS 节点访问 RDS，其中我已在 RDS 安全组中将 EKS 节点的公共 IP 列入白名单。但这不是可行的解决方案，因为 EKS 节点可能会被替换，并且其公共 IP 可能会随之更改。

如何让该EKS节点与RDS的连接更加稳定？

假设我有一个 Web 服务器，它是一个 EC2 实例和一个 RDS。

EC2实例与RDS通信。

为了安全起见，我可以在应用程序负载均衡器后面设置此设置，并使用安全组仅允许入站流量通过 ALB。ALB 将仅通过 HTTPS 与互联网通信。

在内部，我可以设置一个安全组，仅接受来自 ALB 安全组的传入流量。我会将此安全组附加到 EC2 实例。然后，我可以拥有另一个安全组，仅允许来自 EC2 实例的传入流量。该安全组将附加到 RDS。

EC2 实例的安全组将允许通过 HTTPS 的出站流量用于更新、下载软件包等。

根据我对此设置如何工作的（有限）理解，与 RDS 的通信必须严格从 EC2 实例进行，并且与 EC2 实例的入站通信必须严格从 ALB 进行，ALB 配置为仅接受通过 SSL 的请求。

从安全性角度来说，这样的设置安全吗？

运营这样的机构会存在哪些风险？

配置私有和公共子集（如此处所示）有什么好处（如果有的话）？

在我的控制面板中，我看到一个安全组有 250 条规则，但我在列表中只看到两条规则：

我想念什么？

我是AWS的新手，我想问这个问题。有没有办法将SSH连接到通过Cloudformation创建的EC2实例？

我只是想问一下，因为密钥对是在AWS控制台中手动创建EC2实例时生成的，对吗？如果EC2是从Cloudformation创建的怎么办？