在这里搜索了之前的问题后,普遍的共识似乎是,如果我拥有的实例被分配了一个私有 IP 10.208.34.55,那么只有我拥有的其他实例才能通过该地址访问它。请参阅:
对吗?那么,我可以将所有实例视为位于 LAN 上,并验证和信任来自 10.XXX.XXX.XXX 的任何机器,因为我确信它是我的?
我只是想确定一下。我发现亚马逊似乎更感兴趣的是赞美云和他们的三个字符的缩写,而不是实际提供清晰的技术文档。
答案1
Amazon EC2 提供安全组,您的实例是其中的一部分,这样您就可以向帐户上的其他主机组或其他外部主机授予权限。请参阅 [用户指南][1] -> 概念 -> 网络安全,了解简要概述。
通常在“默认”安全组中,你可以完全访问组中的其他成员(即所有你的其他默认主机)并且没有外部入站访问。 EC2 内其他帐户中的主机或您帐户中但不在“默认组”中的主机将无法访问您的实例。
您可以为安全组添加规则以授予其他安全组的访问权限,或者添加规则以授予 IP 地址/范围的访问权限。
更直接地回答您的问题:只要您的安全组规则只允许来自同一组的访问,那么您的实例就应该受到防火墙的保护,不允许任何其他客户访问,即使它们共享相同的 IP 空间。
[1]:http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/EC2 用户指南
答案2
Gareth - 我假设两个组都打开了 SSH 端口,因此从一个帐户到另一个帐户的 SSH 成功并不表明你的结论。这个想法很简单 - 在安全组内 - 所有端口都打开 - 外部访问 - 符合你的定义 - 就此而言,亚马逊中的另一个组与外部访问完全相同。
答案3
答案是肯定的“不”——我有多个 EC2 帐户,刚刚尝试从帐户 B 上的另一个实例登录到帐户 A 上的一个实例。我能够从 B 通过 SSH 连接到 A,没有任何问题(除了需要帐户 A 的 SSH 密钥)。
您应该假设 10.0.0.0/8 上的任何人都可以访问您的实例,无论他们使用什么 EC2 帐户。