AWS安全组-EC2至RDS
我想问一下关于在AWS中连接EC2到RDP的问题。
我已经将我的EC2安全组(包含EC2实例)添加到默认的RDP组中,数据正在流动——连接正常。
EC2安全组启用了端口80到0.0.0.0/0以及SSH到我的IP。
我有点担心,通过将这个EC2组添加到RDS数据库,它将允许来自任何地方的端口80流量访问数据库。这是对的还是错的?
如果像这样连接RDS实例,EC2中的规则是否适用于它们?
我确实在AWS网站上读到“数据库安全组只允许访问数据库服务器端口”。有人能确认这是正确的吗?
谢谢你
共有2个答案
我也有兴趣了解更多这方面的信息。实际上,我从未注意到“其他流量”进入RDS实例。总是假设只有DB端口被允许通过RDS实例。在我看来,允许其他车辆通过似乎有点奇怪。
总的来说,我认为这只是允许通过的原始安全组——它不会从您允许的安全组继承规则。
我认为这与添加来自另一个安全组的入口是一样的,因为它允许来自该安全组的流量通过,但不允许恰好符合安全组中某个规则的流量。(这与在引导时为实例分配安全组不同,因为所有匹配的流量都将被允许:而不是来自在引导时分配的所述安全组的流量)。
- SGs:
- InstanceA有安全组:WEB、DB、HQ_访问
- RDS实例允许来自DB SG的任何流量,这将允许RDS与InstanceA通信,但不与InstanceB通信,并且不允许任何其他流量。如果出于某种原因,您添加了对RDS实例的安全组WEB或HQ_访问,它将不允许端口80或22流量通过,但将允许InstanceA本身通过适当的DB端口与其通信
注意:安全组很容易混淆,所以我希望这能有所帮助
您不必担心RDS服务器上会打开其他端口。
在RDS DB安全策略中使用EC2安全组时,它被视为访问控制列表。
基本上,您所说的是,您希望让属于特定EC2安全组的任何实例使用该DB安全组策略访问RDS实例。
EC2安全组中定义的具体规则并不重要。
这种行为基本上只是为您提供了一种方便的方法,可以轻松地允许从具有某种公共关联(其安全组)的服务器集群进行访问。
-
可能的重复项: AWS 安全组 - EC2 到 RDS 我有一个EC2实例正在运行,一个RDS实例正在运行。。。 我也有2个安全组: > Web服务器组: > 自定义 TCP 规则 0.0.0.0/0 端口 80 SSH (谷歌我的IP)/32 所有TCP流量–(源)数据库服务器组 所有ICMP –(源)数据库服务器组 所有 UDP – (源)数据库服务器组 数据库服务器组: 自定义TCP规则-端
-
我有一个用于RDS实例的AWS安全组。 我还有一个用于 EC2 实例的 AWS 安全组。 我设置了它,因此EC2实例的安全组用作我用于RDS实例的安全组的入口。 在我的EC2实例中,我可以使用mysql命令毫无问题地访问RDS实例。 但是,如果我尝试使用带有MySQLi的PHP脚本来访问RDS实例,它将无法连接。 如果我将EC2实例的实际AWS IP地址作为入口添加到RDS安全组,那么使用MySQ
-
我正在尝试在EC2实例中使用mysql RDS。我相信我的安全组配置可能是错误的。由于某种原因,RDS没有连接。 我的 EC2 实例包括以下入站组:1) HTTP(端口 80),2) SSH(端口 22),3) MYSQL/AURA(端口 3306) - 我在源中添加了 RDS 中的安全组,4) 自定义 TCP 规则(端口 3000) 我的RSD实例包括以下入站组:1)HTTP(端口80)-我也尝
-
我有两个AWS EC2实例,它们试图通过自定义TCP端口相互通信。每个实例都有自己的安全组,但两者都不能相互通信。 这是我的设置: EC2实例1 名称:实例-1 公共IP地址:aaa.bbb.ccc。ddd 安全组ID:sg-xxxxxxxxxx 1 SG入站规则:无 SG出站规则: 类型:所有流量,协议:全部,端口范围:全部,目标:0.0.0.0/0 EC2 实例 2 < li >名称:实例-2
-
使用AWS CDK(.NET),我正在创建一个EC2实例和一个Lambda(具有自己的执行安全组)以及一个Aurora PostgresSQL RDS集群。当手动连接这些部件时,我还将创建一个安全组,将RDP连接到EC2。最后,我将修改RDS群集安全组,以允许来自EC2安全组以及来自Lambda执行安全组的所有流量。 尝试在AWS CDK(. NET)中重新创建相同的内容,我无法访问RDS群集安全
-
我正在尝试为所有流量添加AWS EC2安全组的入站规则。我正在使用python boto模块来实现这一点。 我已经为tcp | udp | icmp协议添加了规则。但不能为所有流量添加规则。我该怎么做?