如果我的 VPC1 具有安全组 (sg-aaaaaaaa),允许从源 10.10.10.10/32 进行 ssh 访问,并且我将 VPC1 与 VPC2 对等,后者具有安全组 (sg-bbbbbbbb),允许从源 sg-aaaaaaaa(来自 VPC1 的 SG)进行 ssh 访问。如果我将 VPC2 的 SG (sg-bbbbbbbb) 分配给 EC2 实例,那么我是否能够从 10.10.10.10 登录到 VPC2 中的该 EC2 实例?
我正在尝试在开发和生产 VPC 之间回收我的 SG,这样如果我必须添加/删除 SSH 之类的访问权限,我就不必在多个地方进行更改。这可能吗?或者我误解了 VPC 对等连接的功能,因为它对我的设置不起作用。
答案1
不……当您将安全组而不是 IP 地址指定为源时,它的意思不是这个。它不是继承或聚合。
例如,如果你在 sg-bbbbbbbb 中允许从 sg-aaaaaaaa 进行 SSH,则意味着任何成员实例sg-aaaaaaaa 可以通过 SSH 进入 sg-bbbbbbbb 成员实例。sg-aaaaaaaa 中的规则不会传播到 sg-bbbbbbbb。
当您将安全组指定为规则的来源时,这将允许与源安全组关联的实例访问安全组中的实例。这不会将源安全组的规则添加到此安全组。传入流量将根据与源安全组关联的实例的私有 IP 地址(而不是公有 IP 或弹性 IP 地址)进行允许。
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules