我被要求制定一项政策并将其附加到一个angular色上:政策必须做到: 描述AWS中的所有内容 允许有限访问EC2,例如创build实例,创buildAIM,创build快照,附加驱动器等,但是我希望这些策略被附加到基于区域的angular色上。 所有这一切都是为了避免用户删除所有跨区域的EC2,所以如果用户删除错误等实例,他有权删除该区域only..any想法? 谢谢 我做到这一点 { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1499242644000", "Effect": "Allow", "Action": [ "ec2:*" ], "Resource": [ "*" ] }, { "Sid": "Stmt1499243073000", "Effect": "Deny", "Action": [ "ec2:TerminateInstances" ], "Condition": { "StringEquals": { "ec2:AvailabilityZone": "eu-west-2a" } }, "Resource": [ "arn:aws:ec2:*:*:instance/*" ] } ] }
如果我的VPC1具有安全组(sg-aaaaaaaa),允许从源10.10.10.10/32进行ssh访问,并且VPC1与具有允许从源sg-aaaaaaaa进行ssh访问的安全组(sg-bbbbbbbb)的VPC2进行通信来自VPC1的SG)。 如果我将VPC2中的SG(sg-bbbbbbbb)分配给EC2实例,那么我是否可以从10.10.10.10开始在VPC2中login到EC2实例? 我正在尝试在dev和prod VPC之间回收我的SG,所以如果必须添加/删除SSH等内容,我不必在多个地方进行更改。 这可能吗? 或者我误解了VPC对等的能力,B / C它不能为我设置的方式工作。
我在AWS上有一个VPC我希望通过安全连接将它连接到位于防火墙内的我的内部LAN。 我有几个来自客户的问题。 如何将VPC连接到内部LAN,考虑到VPC所有节点都是Linux机器(ubuntu®或RedHat®)。 如何确保从VPC节点生成的每个请求仅来自VPC节点,是否有办法获得一些SSL证书或任何其他方式? 客户build议DMZ服务器上的反向代理DMZ可用于VPC和内部LAN。 这个问题与SF中的这个问题类似,但是这是针对Linux而不是针对Windows的。
我有一个公共的VPC vpc-xxxx63 我有一个名为vpc-xxxx99的私人VPC 我想路由stream量从公共vpc私人vpc 我去VPC仪表板 – >路由表 select公共VPC并select编辑 目标字段自动完成下的唯一选项是igw-xxxx互联网网关。 如何路由到VPC?
我有两台服务器,称为NGinxServer和AppServer。 NGinxServer是所有AppServer调用的可访问入口点。 出于安全原因,我修改了AppServer的安全组,不允许任何连接,除了那些来自NGinxServer安全组(NGinxServer-SG)的连接。 但是,当我这样做时,我无法完成从Web浏览器 – > NGinxServer – > AppServer的任何代理请求。 我可能做错了什么? 我认为NGinx代表了整个连接的持续时间,但是我只能认为,NGinx要么是阻止了被安全组规则阻止的连接,要么是AWS看到的代理stream量仍然有数据显示起源于Web浏览器,而不是NGinx,并相应地阻止它。 任何帮助是极大的赞赏。 编辑解决scheme:由Michael – sqlbot提供的评论/答案是正确的解决scheme。 我正在使用公共IP而不是私有IP 。
我读到它可能在VPC中创build弹性负载平衡器,但我没有find如何创build它。 我怎样才能在VPC中创build弹性负载平衡器?
所以我使用刀ec2插件创build一个服务器,在一个VPC,然后提供与厨师独奏。 这是我的基本命令: knife ec2 server create -S private-key -I ami-1234 –flavor=m1.medium –subnet xyz 服务器正常启动,并具有适当的VPC IP地址。 我的问题是,我也需要一个公共的IP地址。 当我通过ec2 web控制台启动一个实例时,它只是有一个选项为你的实例自动分配一个公共IP地址 我只是无法弄清楚如何通过刀子命令做到这一点。
我在业余时间使用按需实例来testing某些服务。 所以,我非常频繁地开始和停止这个例子,我看到它的公有和私有IP每次都在变化。 这很烦人,因为我总是需要在使用testing服务的几个应用程序中更改主机名。 我想要的是至less有一个“固定的”,静态的私人 IP。 我在某处读到,添加ENI接口可能是解决scheme。 在这种情况下,你能给我提供一个简单的例子吗? 在其他情况下,更干净的解决scheme是什么?
我已经使用vsftp运行了一段时间的FTP服务,使用被动模式没有任何问题。 我最近使用openvpnbuild立了一个VPN,据我所知,我已经正确地configuration了一切。 我能够使用本地IP等(包括FTP服务器)连接到服务器,并浏览互联网。 出于某种原因,我无法通过VPN使用FTP,我可以连接并login,但当客户端(filezilla)发出LIST时,它会卡住。 我相信这是一个围绕被动的问题,虽然我能够从networking内部的其他服务器(使用被动)连接到FTP。 有没有人有过这个,或有任何想法,我可能已经错过了? 仅供参考使用cent os 6.5的AWS VPC! 谢谢! FTP日志,欢迎信息,用户名和外部IPreplace为#; Thu Feb 19 17:03:24 2015 [pid 29762] CONNECT: Client "10.0.0.17" Thu Feb 19 17:03:24 2015 [pid 29762] FTP response: Client "10.0.0.17", "220 Welcome to #############." Thu Feb 19 17:03:24 2015 [pid 29762] FTP command: Client "10.0.0.17", "AUTH TLS" Thu Feb 19 17:03:24 2015 […]
我们在工作中使用我们的VPC的堡垒连接到几个私人服务器,我已经设置别名(SSH主机别名),以加快反弹到下一个服务器的过程,但这是一个缓慢的过程,许多用户最终catget我们configurationfind适当的别名。 我想找出一种方法能够让我们的用户能够通过堡垒ssh / sftp? 有谁知道一个可接受的方法? 我简单地看了一下mosh-server,但不确定这是否是正确的方法。