Amazon EC2：带有安全组的 IP 列表

Question

不可以，您不能将一个安全组的 IP 地址引用到另一个安全组中。您需要在每个安全组中重复 IP 地址列表。

另一个需要考虑的选项是将这些 IP 地址的所有端口权限简单地堆放到一个安全组中。即一个 IP 地址列表和一个端口列表。然后将此安全组添加到需要授予这些 IP 地址访问权限的每个实例。

如果您控制 IP 地址列表中的服务器，这种方法可能很有意义，因为您负责控制它们尝试在哪些端口上联系哪些实例。

请记住，如果特定实例未运行该特定服务，则授予在特定服务器端口（例如，MySQL）上连接的权限不会造成太大危害。

存在这样的风险：服务可能会在您意想不到的地方启动；存在这样的风险：您控制的外部服务器可能被攻击者攻击；存在这样的风险：攻击者可能使用您意想不到的端口从您的外部服务器进入您的 EC2 服务器。

您可以自行权衡不同的利益和风险，并确定最适合每种情况的方法。

我倾向于相信简单、易于维护的安全结构通常是最好的方法，因为它可以降低在更新更复杂的安全计划时犯错误所带来的风险。

Answer 1

不可以，您不能将一个安全组的 IP 地址引用到另一个安全组中。您需要在每个安全组中重复 IP 地址列表。

另一个需要考虑的选项是将这些 IP 地址的所有端口权限简单地堆放到一个安全组中。即一个 IP 地址列表和一个端口列表。然后将此安全组添加到需要授予这些 IP 地址访问权限的每个实例。

如果您控制 IP 地址列表中的服务器，这种方法可能很有意义，因为您负责控制它们尝试在哪些端口上联系哪些实例。

请记住，如果特定实例未运行该特定服务，则授予在特定服务器端口（例如，MySQL）上连接的权限不会造成太大危害。

存在这样的风险：服务可能会在您意想不到的地方启动；存在这样的风险：您控制的外部服务器可能被攻击者攻击；存在这样的风险：攻击者可能使用您意想不到的端口从您的外部服务器进入您的 EC2 服务器。

您可以自行权衡不同的利益和风险，并确定最适合每种情况的方法。

我倾向于相信简单、易于维护的安全结构通常是最好的方法，因为它可以降低在更新更复杂的安全计划时犯错误所带来的风险。

相关内容