如果我的VPC1具有安全组(sg-aaaaaaaa),允许从源10.10.10.10/32进行ssh访问,并且VPC1与具有允许从源sg-aaaaaaaa进行ssh访问的安全组(sg-bbbbbbbb)的VPC2进行通信来自VPC1的SG)。 如果我将VPC2中的SG(sg-bbbbbbbb)分配给EC2实例,那么我是否可以从10.10.10.10开始在VPC2中login到EC2实例?
我正在尝试在dev和prod VPC之间回收我的SG,所以如果必须添加/删除SSH等内容,我不必在多个地方进行更改。 这可能吗? 或者我误解了VPC对等的能力,B / C它不能为我设置的方式工作。
不,这不是当您将安全组指定为源而不是IP地址时的含义。 这不是inheritance或聚合。
例如,如果您在sg-bbbbbbbb中允许sg-aaaaaaaa使用SSH,则意味着作为sg-aaaaaaaa 成员的任何实例都可以使用SSH进入sg-bbbbbbbb成员的实例。 sg-aaaaaaaa中的规则不会传播到sg-bbbbbbbb中。
当您将安全组指定为规则的源时,这允许与源安全组关联的实例访问安全组中的实例。 这不会将源安全组中的规则添加到此安全组。 根据与源安全组关联的实例的私有IP地址(而不是公有IP或弹性IP地址)允许传入stream量。
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules