EC2 安全组 Source/Destination 控制
EC2 Security Groups Source/Destination control
我正在阅读 AWS Certified Solutions Architect Official Study Guide 一书,我发现了以下信息(见附件)。我的问题是:突出显示的文本是否意味着我可以控制到我的 EC2 的流量是否只能来自分配给某个安全组的实例?如果是这样,任何人都可以对此进行简单的解释或参考吗?
谢谢
Security Group Rule Attributes
是的。
下面是一个很好的例子,说明您可以在哪里使用它。
您有一个负载均衡器,L,和一组 EC2,E
L 有一个安全组 Ls,它允许从端口 443 进入任何地方。
您在 EC2 的端口 8080 上有一些东西 运行,但不希望它公开。
您可以为 EC2 分配一个安全组,Es,并说“允许端口 8080 从这些 CIDR 入站。但是您必须提供一个 ip 地址范围以允许入口。
作为替代方案,您可以将安全组规则添加到 Es,即 "permit TCP 8080 from source security group Ls"
这意味着,只有来自 Ls 安全组的入站流量才会被允许 Es。
这是将您的 EC2 锁定到负载均衡器的一种非常简洁的方法,无需指定负载均衡器的 IP 地址(也就是说,如果它有一个的话)
我正在阅读 AWS Certified Solutions Architect Official Study Guide 一书,我发现了以下信息(见附件)。我的问题是:突出显示的文本是否意味着我可以控制到我的 EC2 的流量是否只能来自分配给某个安全组的实例?如果是这样,任何人都可以对此进行简单的解释或参考吗? 谢谢
Security Group Rule Attributes
是的。
下面是一个很好的例子,说明您可以在哪里使用它。
您有一个负载均衡器,L,和一组 EC2,E
L 有一个安全组 Ls,它允许从端口 443 进入任何地方。
您在 EC2 的端口 8080 上有一些东西 运行,但不希望它公开。
您可以为 EC2 分配一个安全组,Es,并说“允许端口 8080 从这些 CIDR 入站。但是您必须提供一个 ip 地址范围以允许入口。
作为替代方案,您可以将安全组规则添加到 Es,即 "permit TCP 8080 from source security group Ls"
这意味着,只有来自 Ls 安全组的入站流量才会被允许 Es。
这是将您的 EC2 锁定到负载均衡器的一种非常简洁的方法,无需指定负载均衡器的 IP 地址(也就是说,如果它有一个的话)