适用于 RDS 的 AWS 安全组 - 出站规则
我为RDS实例分配了一个安全组,该组允许来自EC2实例的5432端口流量。
但是,此安全组已为所有IP的所有流量启用所有出站流量。
这是安全风险吗?理想的出站安全规则应该是什么?在我看来,RDS安全组的出站流量应该限制在端口5432到我们的EC2实例,对吗?
共有3个答案
使用安全 Goups(与 ACL 规则相反)时,出站流量中自动允许所有入站流量,因此出站规则在您的案例中可能为空。
这是安全风险吗?理想的出站安全规则应该是什么?在我看来,RDS安全组的出站流量应该限制在端口5432到我们的EC2实例,对吗?
只有当您的RDS位于VPC内的公共子网中时,才存在风险。
最佳实践建议在您的场景中在您的Web服务器中拥有一个公共子网,并为所有私有资源(RDS、其他私有服务等)拥有一个私有子网。
如图所示,将RDS托管在专用子网内,无法从VPC外部访问RDS
默认情况下,所有Amazon EC2安全组:
- 拒绝所有入站流量
- 允许所有出站流量
您必须配置安全组以允许入站流量。这种配置应限制在尽可能小的范围内。也就是说,需要最少的协议和最小的IP地址范围。
然而,出站访问传统上是开放的。原因是您通常会“信任”自己的系统。如果他们希望获得外部资源,让他们这样做。
始终欢迎您限制出站访问,特别是对于敏感系统。但是,确定要保持打开状态的端口可能是一个挑战。例如,实例可能想要下载操作系统更新、访问 Amazon S3 或发送电子邮件。
理想的出站安全规则应该是什么?在我看来,RDS安全组到EC2实例的出站流量应该限制在端口5432,对吗?
对出站连接也有明确的控制是个好主意。
在您的 RDS 组中:删除所有出站规则(默认情况下,有规则允许出站连接到所有端口和 IP -
数据库将通过端口5432接收来自EC2实例的入站请求,RDS将通过相同的连接对EC2实例作出响应,在这种情况下,根本不需要定义出站规则。
-
我想问一下关于在AWS中连接EC2到RDP的问题。 我已经将我的EC2安全组(包含EC2实例)添加到默认的RDP组中,数据正在流动——连接正常。 EC2安全组启用了端口80到0.0.0.0/0以及SSH到我的IP。 我有点担心,通过将这个EC2组添加到RDS数据库,它将允许来自任何地方的端口80流量访问数据库。这是对的还是错的? 如果像这样连接RDS实例,EC2中的规则是否适用于它们? 我确实在A
-
我有一个ec2实例,它正在运行一个网站并关联ALB。 通常作为ec2实例安全组内部的一种做法,alb安全组是被引用的,但在这里,客户端具有这样的配置,即在ec2实例内部,源是安全组本身的名称。 但是,对于允许所有流量和所有端口的入站规则来说,这意味着什么,但是对于source=。 我对使用与源相同的安全组名称感到困惑,这一规则将意味着什么?
-
我有多个AWS安全组,我想从另一个安全组在一个安全组中创建入站流量规则。我可以从AWS控制台做到这一点,但我想使用java api实现自动化。我怎么能做到呢? 对于使用Cidr块的简单规则,我使用了AuthorizeSecurityGroupingResequest,但在这里我找不到实现这一点的方法。 示例代码:
-
我正在尝试设置Firebase规则,如果$uid等于auth,则该规则将授予对R/W的访问权限。uid。我用firebase phone auth登录。 我正在尝试这条规则: 这条规则: 我尝试访问数据时出错(权限被拒绝)。 我遵循Firebase的说明,此规则通过模拟器。 当这些规则到位时,我不会从Firebase获得带有快照的实例。 如果你能帮助解决这个问题,我将不胜感激。 我正在尝试授予读取
-
我正在尝试在EC2实例中使用mysql RDS。我相信我的安全组配置可能是错误的。由于某种原因,RDS没有连接。 我的 EC2 实例包括以下入站组:1) HTTP(端口 80),2) SSH(端口 22),3) MYSQL/AURA(端口 3306) - 我在源中添加了 RDS 中的安全组,4) 自定义 TCP 规则(端口 3000) 我的RSD实例包括以下入站组:1)HTTP(端口80)-我也尝
-
可能的重复项: AWS 安全组 - EC2 到 RDS 我有一个EC2实例正在运行,一个RDS实例正在运行。。。 我也有2个安全组: > Web服务器组: > 自定义 TCP 规则 0.0.0.0/0 端口 80 SSH (谷歌我的IP)/32 所有TCP流量–(源)数据库服务器组 所有ICMP –(源)数据库服务器组 所有 UDP – (源)数据库服务器组 数据库服务器组: 自定义TCP规则-端