我们有许多50多个外部(非AWS)服务器,我们需要在许多(〜50个)安全组(vpc)上列入白名单。 除了对规则数目的限制之外,逐个添加和删除所有组的条目是一件痛苦的事情。
我尝试将所有外部IP添加到单独的SG,并在其他SG中将SG列入白名单,但显然这只适用于内部(AWS)实例1 。
[1] 无法访问属于AWS中的安全组的所有服务器
有没有其他办法可以做到这一点?
当你说你“在其他SG上列入白名单”你究竟是什么意思?
我只需用这些规则创build一个安全组,并将该安全组分配给所有实例。 一个实例可以有多个安全组,规则在宽容的意义上是叠加的。 即默认拒绝,除非任何安全组中的任何规则都允许访问。 您将不得不创build新的实例来更改与EC2实例关联的安全组,但是一旦与组关联,所做的任何更改都将实时完成。
您也可以使用在子网级别工作的networkingACL。 NACL就像一个防火墙,它们在子网级别运行,尽pipe每个NACL可以应用到多个子网。 他们可以添加更多适用于子网中所有实例的“拒绝”规则,但无法打开安全组已closures的端口。 记住它们是无状态的,所以你需要添加传入和传出的规则。
请注意,您链接的问题/答案是一个非常具体的情况,不适用于您,关于使用私人或公共IP。 安全组适用于私有EC2 IP或公共IP。 例如,我build立了安全组,允许只有我的CDN提供商和我的家庭IP地址访问,这些IP地址绝对是公有IP。