如何将嵌套安全组添加到另一个安全组并使其与应用程序负载均衡器一起使用?

How do I add a nested security group to another security Group and have it work with an Application loads balancer?

我有一个带有 SG (ALB_SG) 的 ALB,我只想授予对同一 VPC 中另一个 SG (Whitelist_SG) 中已经定义的 IP 列表的访问权限。

我已经为 ALB_SG 创建了 2 个(相关的)入口规则。

  1. 443 从 Whitelist_SG
  2. 进入
  3. 80 次进入来自 Whitelist_SG

在 Whitelist_SG 中,我有一个来自允许所有端口的相关 CIDR 块的入口列表。

当我访问 ALB 时超时(SG 错误的迹象)。如果我将 Whitelist_SG 直接添加到 ALB,它就可以工作。

我缺少什么才能使嵌套规则起作用?

顺便说一句,我知道当我通过嵌套规则将 Whitelist_SG 添加到 EC2 实例时,我还必须将它添加到实例网络适配器。我在这里假设它是这样的。

AWS 安全组的工作方式与您尝试使用的方式不同。没有像您尝试的那样“嵌套”或“链接”安全组的概念。

从另一个安全组引用一个安全组的能力仅适用于允许一个安全组的成员访问另一个安全组的成员。安全组成员资格仅适用于 运行 在您的 VPC(或对等 VPC)中的 EC2 实例、Lambda 函数等资源。

例如,将笔记本电脑的 IP 地址添加到安全组 A 只会让您的笔记本电脑可以访问安全组 A 直接连接的任何内容。它不会使您的笔记本电脑成为安全组 A 的“成员”。