如何创建分层 AWS 安全组?
How do I create hierarchical AWS Security Groups?
我想在 AWS 中创建一个 2 级安全组层次结构。
- 位置组 - 特定于不同位置的 IP 地址组(例如 "office"、"home"、"customer 1" 等)。这些基本组中的每一个都授予每个 IP 访问所有流量(端口 0-65535)
- 环境组 - 然后我尝试将这些基本位置组添加到我的更高级别的环境组(例如 "test"、"prod"、"reporting db",等等)。我将为 EC2 中的不同实例使用环境组。因此,例如服务器 "uat_01" 将引用 "test" 环境组,该环境组将依次授予对 "office" 的访问权限。
这是我为安全组 sg-f2d8....(办公室)设置的入站规则设置
我正在添加使用端口范围访问 HTTP(或 HTTPS,或 MySQL 等,根据需要)的基本组,并使用 "Custom" 配置引用基本组与组标识符,例如"sg-f2d8...."
在“安全组”面板中,一切正常,但我无法从所选 IP 访问。
请帮忙!有人告诉我 EC2 安全组可以通过这种方式引用基本组,但我似乎无法理解!
谢谢!
当您将安全组作为入站规则的源(或出站规则的目标)时,您引用的是与该组关联的资源(即您创建的属于该组的 ec2 实例),而不是真正允许该组允许的流量(这是对 aws-security 组的一种常见误解)。通过这种方式引用安全组之间也没有传递性。
现在为了实现你想要实现的目标,我能想到的唯一解决方法是创建 home-test、office-test、home-prod 风格的组,并在每个组中放入你想要的源 ip会觉得合适。在一天结束时,这些将只是“1 级”安全组。
正式的答案是不,您不能创建分层 aws sec 组。
我想在 AWS 中创建一个 2 级安全组层次结构。
- 位置组 - 特定于不同位置的 IP 地址组(例如 "office"、"home"、"customer 1" 等)。这些基本组中的每一个都授予每个 IP 访问所有流量(端口 0-65535)
- 环境组 - 然后我尝试将这些基本位置组添加到我的更高级别的环境组(例如 "test"、"prod"、"reporting db",等等)。我将为 EC2 中的不同实例使用环境组。因此,例如服务器 "uat_01" 将引用 "test" 环境组,该环境组将依次授予对 "office" 的访问权限。
这是我为安全组 sg-f2d8....(办公室)设置的入站规则设置
我正在添加使用端口范围访问 HTTP(或 HTTPS,或 MySQL 等,根据需要)的基本组,并使用 "Custom" 配置引用基本组与组标识符,例如"sg-f2d8...."
在“安全组”面板中,一切正常,但我无法从所选 IP 访问。
请帮忙!有人告诉我 EC2 安全组可以通过这种方式引用基本组,但我似乎无法理解!
谢谢!
当您将安全组作为入站规则的源(或出站规则的目标)时,您引用的是与该组关联的资源(即您创建的属于该组的 ec2 实例),而不是真正允许该组允许的流量(这是对 aws-security 组的一种常见误解)。通过这种方式引用安全组之间也没有传递性。
现在为了实现你想要实现的目标,我能想到的唯一解决方法是创建 home-test、office-test、home-prod 风格的组,并在每个组中放入你想要的源 ip会觉得合适。在一天结束时,这些将只是“1 级”安全组。
正式的答案是不,您不能创建分层 aws sec 组。