是否有AWS安全组规则专门允许访问AWS KM?
const AWS = require('aws-sdk');
const kms = new AWS.KMS();
kms.decrypt( ... )
Outbound rules:
Type | Protocol | Port range | Destination
All traffic | All | All | 0.0.0.0/0
All traffic | All | All | ::/0
kms Service {
...
isGlobalEndpoint: false,
endpoint: Endpoint {
protocol: 'https:',
host: 'kms.eu-west-2.amazonaws.com',
port: 443,
hostname: 'kms.eu-west-2.amazonaws.com',
pathname: '/',
path: '/',
href: 'https://kms.eu-west-2.amazonaws.com/'
},
...
}
Type | Protocol | Port range | Destination
HTTPS | TCP | 443 | 52.94.48.24/32
任何指导都非常感谢!
谢谢,A。
共有1个答案
我假设通过锁定基础结构,我们可以理解您将EC2实例设置为一个私有子网。在这种情况下,您应该为KMS服务创建一个VPCendpoint。
VPCendpoint将在您的子网中拥有一个网络接口,它将为每个子网提供一个专用IP地址以及潜在的专用DNS主机名(如果VPC启用了此属性)。
此外,您可以允许EC2实例和基于安全组的VPCendpoint之间的流量(不需要指定IPs)。
-
那么,如何在安全组中添加出口规则,允许通过端口443对ECR URI进行出站访问,而不对所有IP地址开放呢?
-
考虑一个允许用户在Firebase存储中存储照片的应用程序,这些照片在cutom元数据“所有者”字段中设置了用户的ID。 以下firebase存储安全规则确保只有他们可以看到自己的照片: 现在想象一下,如果用户愿意,该应用程序允许用户公开他们的照片,任何人都可以看到,即使是未登录的用户(request.auth==null)。这可以通过另一个自定义元数据字段和一个略有不同的规则来完成: Fireb
-
使用firestore和angularfire2 RC2。 我想要达到的目的是只允许用户访问他们自己的数据。 我从以下规则开始: 然而,只要我添加任何类型的限制性规则,包括甚至只是验证请求,就被授权了。
-
我创建了一个组,我添加了新用户到这个组,然后我创建了以下IAM策略: 我从以下方面获得上述政策: http://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_examples.html 基本上,我想为一个特定的桶开通权限,但是上面的策略不起作用。用户仍然可以从其他存储桶中添加、删除、修改文件。 谢谢!
-
我有一个ec2实例,它正在运行一个网站并关联ALB。 通常作为ec2实例安全组内部的一种做法,alb安全组是被引用的,但在这里,客户端具有这样的配置,即在ec2实例内部,源是安全组本身的名称。 但是,对于允许所有流量和所有端口的入站规则来说,这意味着什么,但是对于source=。 我对使用与源相同的安全组名称感到困惑,这一规则将意味着什么?
-
我为RDS实例分配了一个安全组,该组允许来自EC2实例的5432端口流量。 但是,此安全组已为所有IP的所有流量启用所有出站流量。 这是安全风险吗?理想的出站安全规则应该是什么?在我看来,RDS安全组的出站流量应该限制在端口5432到我们的EC2实例,对吗?