使用一个 AWS 安全组实现主 IP 对 AWS 实例的访问

使用一个 AWS 安全组实现主 IP 对 AWS 实例的访问

我需要从家里访问我们公司的 AWS 实例。
所有访问均由 AWS 安全组管理,每次提供商更改我的家庭 IP 时,我都需要在那里更改我的家庭 IP。
为了简化此例程,我的想法是创建一个安全组,允许我的 IP 进行所有入站和出站流量,并使用此组向我的所有实例的安全组授予访问权限。

我试过了,但没有成功。
有人能解释一下这个问题吗?
谢谢!

答案1

通常最简单的方法是付费购买静态 IP。您可以使用静态 IP,但这意味着要定期更换它。

将您的静态或动态 IP 添加到新的安全组。将该安全组分配给您要登录的所有资源。安全组是附加的。

您的问题并没有清楚地表明您所做的事情,所以我无法说出哪里出了问题。

您已在评论中回复

我的意思是,我想创建一个组“MyGroup”,其中包含允许所有进出流量的规则,并将该组添加到我在 AWS 中的所有其他组中 - 例如,如果我想允许从我的 IP 通过 RDP 连接到“FirstGroup”中的服务器,我只需在 FirstGroup 中创建一个入站规则,允许从 MyGroup 通过 RDP 连接。我希望我说得更清楚一些。

安全组基本上是单个 ENI(弹性网络接口)周围的防火墙。它不是子网,也不是代理,它非常简单。此外,AWS 网络不是可传递的,流量不会像您希望的那样跳跃。

除非您在“MyGroup”安全组中运行堡垒主机/服务器,否则您的计划将无法奏效。如果您想要一个包含您的家庭 IP 的单独安全组(这是我在个人 AWS 帐户中所做的),您必须确保每个实例都与该安全组相关联。制定一条允许从该组进入/退出的规则并不能实现您想要做的事情。

允许安全组引用其他安全组对于某些事情确实很有用。我经常将它们用作层,就像以前在本地网络中使用的子网一样。我会为负载均衡器、应用服务器和数据库服务器设置一个 SG,所有这些都允许从其他 SG 进行适当的入口/出口,并且 LB 允许从互联网入口。

答案2

请随意使用我的 powershell 脚本来实现这一点。

该脚本检测您的公共 IP 并将其添加到专用 RDP 和 SSH 安全组的入站安全组规则中。

如果这些组不存在,脚本将创建它们并将其添加到适当的实例中。

https://github.com/manuelh2410/public/blob/1/AWSIP_Linux_Win.ps1

相关内容