有没有办法从路由表中的网络动态更新安全组?

有没有办法从路由表中的网络动态更新安全组?

有点惊讶这两项服务之间没有更紧密的集成(我想也许有,但我错过了)

我有一个包含通往各种网络的路由的路由表,并且还将其配置为通过 BGP 从 VPN 传播路由。这些都是动态的

现在我有一个位于使用该路由表的子网上的 EC2 实例

是否有某种方式/功能可以创建一个安全组,自动允许来自路由表中的所有目标路由的入站访问?路由表正在从 BGP 动态更新,如果有一个 SG 可以跟踪这一点,那么任何新路由都会自动被允许

答案1

您可以每 5 分钟启动一个简单的 Lambda 函数,它将扫描路由表并将所有前缀添加到安全组。

如果添加路线和打开 SG 之间的 5 分钟延迟太长,您可以查看CloudWatch 事件- 当 RTB 更新时可能会触发事件,并且当触发此事件时您可以再次启动 Lambda 函数。这可能会更快。

你可以从中获得一些灵感aws-ipranges-updater- 可以使用官方 AWS 前缀更新安全组或路由表的 lambda。根据您的需要进行修改并添加事件触发器。

希望有帮助:)

相关内容