AWS安全组:入站规则的来源与安全组名称相同?
我有一个ec2实例,它正在运行一个网站并关联ALB。
通常作为ec2实例安全组内部的一种做法,alb安全组是被引用的,但在这里,客户端具有这样的配置,即在ec2实例内部,源是安全组本身的名称。
sg-0bc7e4b8b0fc62ec7 - default
但是,对于允许所有流量和所有端口的入站规则来说,这意味着什么,但是对于source=sg-0bc7e4b8b0fc62ec7/default。
我对使用与源相同的安全组名称感到困惑,这一规则将意味着什么?
共有1个答案
每个VPC都有一个默认安全组(SG)。在此SG中,入站规则允许所有来自“自身”的入站流量。这意味着
将安全组指定为规则的源时,允许来自与指定协议和端口的源安全组关联的网络接口的通信。
换句话说,如果您有两个使用默认VPC SG的实例,它们只能相互通信。任何一个实例都不允许其他入站流量。
使用SG作为源是一个很好的实践,如果经常在负载均衡器(LB)和它的实例之间,或者在实例和RDS数据库之间使用。在第一种情况下,实例只允许来自LB的SG的传入流量,而在第二种情况下,db实例只允许来自实例的SG的传入连接。
-
我有多个AWS安全组,我想从另一个安全组在一个安全组中创建入站流量规则。我可以从AWS控制台做到这一点,但我想使用java api实现自动化。我怎么能做到呢? 对于使用Cidr块的简单规则,我使用了AuthorizeSecurityGroupingResequest,但在这里我找不到实现这一点的方法。 示例代码:
-
我为RDS实例分配了一个安全组,该组允许来自EC2实例的5432端口流量。 但是,此安全组已为所有IP的所有流量启用所有出站流量。 这是安全风险吗?理想的出站安全规则应该是什么?在我看来,RDS安全组的出站流量应该限制在端口5432到我们的EC2实例,对吗?
-
我正在尝试为所有流量添加AWS EC2安全组的入站规则。我正在使用python boto模块来实现这一点。 我已经为tcp | udp | icmp协议添加了规则。但不能为所有流量添加规则。我该怎么做?
-
从前面分析可以看出,某个vm的安全组相关规则的chain的名字,跟vm的id的前9个字符有关。 因此,要快速查找qbr-XXX上相关的iptables规则,可以用iptables -S列出(默认是filter表)所有链上的规则,其中含有id的链即为虚拟机相关的安全组规则。其中--physdev-in表示即将进入某个网桥的端口,--physdev-out表示即将从某个网桥端口发出。 #iptable
-
我有一个用于RDS实例的AWS安全组。 我还有一个用于 EC2 实例的 AWS 安全组。 我设置了它,因此EC2实例的安全组用作我用于RDS实例的安全组的入口。 在我的EC2实例中,我可以使用mysql命令毫无问题地访问RDS实例。 但是,如果我尝试使用带有MySQLi的PHP脚本来访问RDS实例,它将无法连接。 如果我将EC2实例的实际AWS IP地址作为入口添加到RDS安全组,那么使用MySQ
-
我已经创建了一个AWS EC2实例。我尝试做的是将相应安全组的入站规则添加到实例中。我希望防火墙允许的连接类型是端口443上的HTTPS。 但每次我保存它时,它都会在端口443上更改为自定义TCP规则。有人知道为什么会发生这种情况吗?我如何允许HTTPS连接到实例?