У меня 2 группы безопасности А1 и А2. Есть несколько экземпляров Ec2, принадлежащих A1 или A2 (но не обоим). Вопрос - только экземпляры ec2, принадлежащие A1, должны иметь доступ к экземплярам, принадлежащим A2. Т.е. если я попытаюсь войти в систему со своего настольного компьютера (которого нет на aws), я не смогу в любом случае подключиться к машине в группе A2.
Можно ли создать такое правило в группе безопасности aws (для A2) как правило для входящего трафика?
Спасибо
Краткий ответ: да
Вы можете использовать имя / идентификатор группы безопасности A1 в качестве источника правил для входящего трафика группы A2 (с ограничениями EC2-Classic и EC2-VPC, описанными в документации)
Для получения дополнительной информации: Amazon Docs - Правила группы безопасности
Например, добавьте HTTP-соединение (или любой другой тип соединения, который вам нужен), выберите настраиваемое правило, введите идентификатор группы безопасности (например, sg-6a7dc12e), сохраните это правило, затем вам нужно удалить все правила, которые говорят " All Ips »или разрешенный IP-адрес переопределит блокировку всего, кроме этой группы безопасности.
Например, если вашим протоколом был HTTPS, вы бы хотели удалить это правило, так как оно по-прежнему позволяет подключаться всем остальным IP-адресам. HTTP, TCP, 80, 0.0.0.0/0
Вам просто нужно изменить свою группу безопасности A2, чтобы разрешить определенные службы, например: -
На вашем A2 SG вам необходимо: -
разрешить требуемый порт, например. 3389 на ip_address экземпляра A1 (предположим, что ip-адрес 192.168.0.10) только
Тип Протокол Порт Исходный IP-адрес
rdp TCP 3389192.168.0.10/32
Таким же образом вы можете открыть столько портов, сколько потребуется.
Да, создать разрешить конкретный трафик из группы безопасности A1 в группу безопасности A2 в группе безопасности A2. во время настройки вы можете ссылаться на идентификатор группы безопасности A1 в группе безопасности A2.
