AWS Cloudformation: правило группы безопасности, разрешающее весь исходящий трафик

Я использую следующее правило выхода в определении группы безопасности шаблона cloudformation

  SecurityGroupEgress:
  - IpProtocol: tcp
    FromPort: 0
    ToPort: 65535
    CidrIp: 0.0.0.0/0

Однако это не приводит к правилу, разрешающему весь исходящий трафик;

Как правильно определить правило allow-all-outbound?


amazon-web-services amazon-cloudformation aws-security-group
person pkaramol    schedule 30.08.2018    source источник
comment
Уже ответили в этой теме, stackoverflow.com/questions/39021545/   -  person AYA    schedule 30.08.2018
comment
@AYA - я хотел бы увидеть новый ответ на этот вопрос. Другой ответ сегодня не совсем корректен.   -  person John Hanley    schedule 30.08.2018
comment
TCP — не единственный протокол, необходимый для разрешения всего исходящего трафика.   -  person John Hanley    schedule 30.08.2018

Ответы (2)


arrow_upward
4
arrow_downward

Я должен добавить эту информацию из документации AWS, так как определение такой политики может не понадобиться,

«При создании группы безопасности VPC Amazon EC2 создает правило исходящего трафика по умолчанию, которое разрешает исходящий трафик на всех портах и ​​IP-протоколах в любое место. Правило по умолчанию удаляется только при указании одного или нескольких правил исходящего трафика».

вот ссылка, https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-security-group.html#w2ab1c21c10d473c17

Как правило, вы определяете какой-то конкретный порт/протокол.

person AYA    schedule 30.08.2018

arrow_upward
4
arrow_downward

Это старая тема, но люди до сих пор находят ее в поиске... Правда, бывают случаи, когда настройки по умолчанию не работают, например, при использовании cfn_nag_scan для сканирования cft.

Вот то, что вы ищете:

  SecurityGroupEgress:
    - Description: Allow all outbound traffic
      IpProtocol: "-1"
      CidrIp: 0.0.0.0/0
person Paul Fowler    schedule 25.01.2021