我最终在安全配置文件中重复了外部 IP
我了解如何使用安全组来指定服务器到服务器的访问。但以下 EC2 安全组配置是否可行...
Group: Known Clients
TCP IPs:1.1.1.1/32 ports:any
TCP IPs:2.2.2.2/32 ports:any
Group: RDP Access
TCP port:3389 group:Known Clients
我无法让这样的事情发挥作用。
答案1
不可以,您不能将一个安全组的 IP 地址引用到另一个安全组中。您需要在每个安全组中重复 IP 地址列表。
另一个需要考虑的选项是将这些 IP 地址的所有端口权限简单地堆放到一个安全组中。即一个 IP 地址列表和一个端口列表。然后将此安全组添加到需要授予这些 IP 地址访问权限的每个实例。
如果您控制 IP 地址列表中的服务器,这种方法可能很有意义,因为您负责控制它们尝试在哪些端口上联系哪些实例。
请记住,如果特定实例未运行该特定服务,则授予在特定服务器端口(例如,MySQL)上连接的权限不会造成太大危害。
存在这样的风险:服务可能会在您意想不到的地方启动;存在这样的风险:您控制的外部服务器可能被攻击者攻击;存在这样的风险:攻击者可能使用您意想不到的端口从您的外部服务器进入您的 EC2 服务器。
您可以自行权衡不同的利益和风险,并确定最适合每种情况的方法。
我倾向于相信简单、易于维护的安全结构通常是最好的方法,因为它可以降低在更新更复杂的安全计划时犯错误所带来的风险。