我可以在 aws 安全组中添加 dns 名称吗
Can I add dns name in aws security group
我必须将我的动态 IP(每次都会更改)连接到 AWS EC2 机器。
为此,我将 public IP 映射到域名 (xyz.com),现在我正尝试将其添加到安全组。
但是 AWS 安全组不允许添加 DNS 名称。
这样做是否正确,如果不正确请建议我。
您无法按照您想要的方式连接动态ip;每次您的 ip 更改时,如果您想允许它通过您的安全组,您需要将设置更改为您的新 IP。
您可以编写一个小脚本,将其制作成桌面上的图标,但它使用 AWS API 重新允许您当前的 ip,使其在更改时更容易。
安全组和 ACL 无法解析 DNS 主机名。
您可以使用 AWS CLI 编写 IP 动态地址更新脚本:
aws ec2 authorize-security-group-ingress --group-id --protocol tcp --port 22 --cidr /24
http://docs.aws.amazon.com/cli/latest/userguide/cli-ec2-sg.html
我已经使用这个小 bash 脚本从我当前的地址在防火墙上戳了一个洞:
#!/bin/sh
AWS_IP=$(curl http://checkip.amazonaws.com)
aws ec2 authorize-security-group-ingress --group-name my-security-group \
--protocol tcp --port 22 \
--cidr $AWS_IP/32
但是,这会导致安全组中充满来自随机 IP 地址的瑞士奶酪漏洞,因此您随后会想问一个问题,即如何不让安全组使用不再属于您的临时地址.解决该问题的一种方法是设置一个具有(相对)稳定 IP 地址端点的 VPN,然后仅允许该单个地址通过安全组。
我为动态 ip 创建了一个安全组,每次我 运行 我的脚本都会删除存储在文件中的 ip。
这是我针对 windows 的解决方案。
SETLOCAL
@echo off
SET mypath=%~dp0
set PATH=%PATH%;"C:\Program Files\Amazon\AWSCLI\";"C:\Program Files (x86)\PuTTY\";"C:\MyApps\gnuwin32\bin"
set GROUPID= PUT YOUR DYNAMIC SECURITY GROUP ID HERE
rem aws ec2 create-security-group --group-name dynamic_ips --vpc-id vpc-81a519e5 --description "Dynamic Ip Address"
set /p MYIP=<%mypath%\MYIP_NODELETE.txt
aws ec2 revoke-security-group-ingress --group-id %GROUPID% --protocol tcp --port 0-65535 --cidr %MYIP%/24
wget -qO %mypath%\MYIP_NODELETE.txt http://ipinfo.io/ip
set /p MYIP=<%mypath%\MYIP_NODELETE.txt
aws ec2 authorize-security-group-ingress --group-id %GROUPID% --protocol tcp --port 0-65535 --cidr %MYIP%/24
rem cat %mypath%\MYIP_NODELETE.txt
pause
AWS 安全规则仅允许 IP 范围,称为 CIDRs,您可以使用 AWS CLI 进行更新。但是,您不能简单地更新现有规则的 CIDR,您需要:
- 删除旧规则:
aws ec2 revoke-security-group-ingress ...
- 创建新规则:
aws ec2 authorize-security-group-ingress ...
例子
我发现此脚本的某种形式可用于封装必要的步骤:
#!/bin/bash
# == Script Config ===================
# The rule description is used to determine the rule that should be updated.
RULE_DESCRIPTION=My-Rule-Description
SECURITY_GROUP_NAME=My-Security-Group-Name
# ====================================
OLD_CIDR_IP=`aws ec2 describe-security-groups --query "SecurityGroups[?GroupName=='"$SECURITY_GROUP_NAME"'].IpPermissions[*].IpRanges[?Description=='"$RULE_DESCRIPTION"'].CidrIp" --output text`
NEW_IP=`curl -s http://checkip.amazonaws.com`
NEW_CIDR_IP=$NEW_IP'/32'
# If IP has changed and the old IP could be obtained, remove the old rule
if [[ $OLD_CIDR_IP != "" ]] && [[ $OLD_CIDR_IP != $NEW_CIDR_IP ]]; then
aws ec2 revoke-security-group-ingress --group-name $SECURITY_GROUP_NAME --protocol tcp --port 8080 --cidr $OLD_CIDR_IP
fi
# If the IP has changed and the new IP could be obtained, create a new rule
if [[ $NEW_IP != "" ]] && [[ $OLD_CIDR_IP != $NEW_CIDR_IP ]]; then
aws ec2 authorize-security-group-ingress --group-name $SECURITY_GROUP_NAME --ip-permissions '[{"IpProtocol": "tcp", "FromPort": 8080, "ToPort": 8080, "IpRanges": [{"CidrIp": "'$NEW_CIDR_IP'", "Description": "'$RULE_DESCRIPTION'"}]}]'
fi
说明
此方法使用以下 3 个 AWS CLI 命令,取自上面的示例并删除了 bash 脚本。
1) 通过规则描述获取特定安全组规则的CIDR IP。这个命令在query参数中使用JMESPath来return只有我们想要的数据:
aws ec2 describe-security-groups --query "SecurityGroups[?GroupName=='MY_SECURITY_GROUP_NAME'].IpPermissions[*].IpRanges[?Description=='MY_RULE_DESCRIPTION'].CidrIp" --output text
2) 删除旧 CIDR 的规则(即使规则不存在也会成功):
aws ec2 revoke-security-group-ingress --group-name MY_SECURITY_GROUP_NAME --protocol tcp --port 80 --cidr 0.0.0.0/32
3) 为新的 CIDR 添加规则(规则已存在时失败):
aws ec2 authorize-security-group-ingress --group-name MY_SECURITY_GROUP_NAME --ip-permissions '[{"IpProtocol": "tcp", "FromPort": 8080, "ToPort": 8080, "IpRanges": [{"CidrIp": "1.1.1.1/32", "Description": "MY_RULE_DESCRIPTION"}]}]'
为什么不在 public IP 上创建 Bastion 主机,然后将其用作您的 jumpbox?
我必须将我的动态 IP(每次都会更改)连接到 AWS EC2 机器。
为此,我将 public IP 映射到域名 (xyz.com),现在我正尝试将其添加到安全组。
但是 AWS 安全组不允许添加 DNS 名称。
这样做是否正确,如果不正确请建议我。
您无法按照您想要的方式连接动态ip;每次您的 ip 更改时,如果您想允许它通过您的安全组,您需要将设置更改为您的新 IP。
您可以编写一个小脚本,将其制作成桌面上的图标,但它使用 AWS API 重新允许您当前的 ip,使其在更改时更容易。
安全组和 ACL 无法解析 DNS 主机名。
您可以使用 AWS CLI 编写 IP 动态地址更新脚本:
aws ec2 authorize-security-group-ingress --group-id --protocol tcp --port 22 --cidr /24
http://docs.aws.amazon.com/cli/latest/userguide/cli-ec2-sg.html
我已经使用这个小 bash 脚本从我当前的地址在防火墙上戳了一个洞:
#!/bin/sh
AWS_IP=$(curl http://checkip.amazonaws.com)
aws ec2 authorize-security-group-ingress --group-name my-security-group \
--protocol tcp --port 22 \
--cidr $AWS_IP/32
但是,这会导致安全组中充满来自随机 IP 地址的瑞士奶酪漏洞,因此您随后会想问一个问题,即如何不让安全组使用不再属于您的临时地址.解决该问题的一种方法是设置一个具有(相对)稳定 IP 地址端点的 VPN,然后仅允许该单个地址通过安全组。
我为动态 ip 创建了一个安全组,每次我 运行 我的脚本都会删除存储在文件中的 ip。
这是我针对 windows 的解决方案。
SETLOCAL
@echo off
SET mypath=%~dp0
set PATH=%PATH%;"C:\Program Files\Amazon\AWSCLI\";"C:\Program Files (x86)\PuTTY\";"C:\MyApps\gnuwin32\bin"
set GROUPID= PUT YOUR DYNAMIC SECURITY GROUP ID HERE
rem aws ec2 create-security-group --group-name dynamic_ips --vpc-id vpc-81a519e5 --description "Dynamic Ip Address"
set /p MYIP=<%mypath%\MYIP_NODELETE.txt
aws ec2 revoke-security-group-ingress --group-id %GROUPID% --protocol tcp --port 0-65535 --cidr %MYIP%/24
wget -qO %mypath%\MYIP_NODELETE.txt http://ipinfo.io/ip
set /p MYIP=<%mypath%\MYIP_NODELETE.txt
aws ec2 authorize-security-group-ingress --group-id %GROUPID% --protocol tcp --port 0-65535 --cidr %MYIP%/24
rem cat %mypath%\MYIP_NODELETE.txt
pause
AWS 安全规则仅允许 IP 范围,称为 CIDRs,您可以使用 AWS CLI 进行更新。但是,您不能简单地更新现有规则的 CIDR,您需要:
- 删除旧规则:
aws ec2 revoke-security-group-ingress ... - 创建新规则:
aws ec2 authorize-security-group-ingress ...
例子
我发现此脚本的某种形式可用于封装必要的步骤:
#!/bin/bash
# == Script Config ===================
# The rule description is used to determine the rule that should be updated.
RULE_DESCRIPTION=My-Rule-Description
SECURITY_GROUP_NAME=My-Security-Group-Name
# ====================================
OLD_CIDR_IP=`aws ec2 describe-security-groups --query "SecurityGroups[?GroupName=='"$SECURITY_GROUP_NAME"'].IpPermissions[*].IpRanges[?Description=='"$RULE_DESCRIPTION"'].CidrIp" --output text`
NEW_IP=`curl -s http://checkip.amazonaws.com`
NEW_CIDR_IP=$NEW_IP'/32'
# If IP has changed and the old IP could be obtained, remove the old rule
if [[ $OLD_CIDR_IP != "" ]] && [[ $OLD_CIDR_IP != $NEW_CIDR_IP ]]; then
aws ec2 revoke-security-group-ingress --group-name $SECURITY_GROUP_NAME --protocol tcp --port 8080 --cidr $OLD_CIDR_IP
fi
# If the IP has changed and the new IP could be obtained, create a new rule
if [[ $NEW_IP != "" ]] && [[ $OLD_CIDR_IP != $NEW_CIDR_IP ]]; then
aws ec2 authorize-security-group-ingress --group-name $SECURITY_GROUP_NAME --ip-permissions '[{"IpProtocol": "tcp", "FromPort": 8080, "ToPort": 8080, "IpRanges": [{"CidrIp": "'$NEW_CIDR_IP'", "Description": "'$RULE_DESCRIPTION'"}]}]'
fi
说明
此方法使用以下 3 个 AWS CLI 命令,取自上面的示例并删除了 bash 脚本。
1) 通过规则描述获取特定安全组规则的CIDR IP。这个命令在query参数中使用JMESPath来return只有我们想要的数据:
aws ec2 describe-security-groups --query "SecurityGroups[?GroupName=='MY_SECURITY_GROUP_NAME'].IpPermissions[*].IpRanges[?Description=='MY_RULE_DESCRIPTION'].CidrIp" --output text
2) 删除旧 CIDR 的规则(即使规则不存在也会成功):
aws ec2 revoke-security-group-ingress --group-name MY_SECURITY_GROUP_NAME --protocol tcp --port 80 --cidr 0.0.0.0/32
3) 为新的 CIDR 添加规则(规则已存在时失败):
aws ec2 authorize-security-group-ingress --group-name MY_SECURITY_GROUP_NAME --ip-permissions '[{"IpProtocol": "tcp", "FromPort": 8080, "ToPort": 8080, "IpRanges": [{"CidrIp": "1.1.1.1/32", "Description": "MY_RULE_DESCRIPTION"}]}]'
为什么不在 public IP 上创建 Bastion 主机,然后将其用作您的 jumpbox?