我对AWS安全组的理解是它本质上是白名单。
除非明确允许,否则一切都会被阻止。
假设我假设我有一些EC2实例设置为自动缩放。
在自动缩放的背景下,我不一定知道未来的IP是什么。
假设我有一组用于mysql或mongodb等数据库的EC2实例。
我想只允许我的应用服务器访问我的数据库服务器。
有没有办法为EC2实例和安全组创建标记,允许任何带有特定标记的EC2实例?
这通常如何在现实世界中完成?
提前致谢
答案 0 :(得分:9)
您似乎可以将安全组用作分类器,并将“安全组”ID用于“来源”字段。
例如:
假设你有一个属于“网络”安全组的网络服务器群集(sg-12345)
假设您有一个属于“db”安全组的数据库服务器群集(sg-23456)
你可以让'db'安全组允许端口3306到sg-12345,只要在'web'安全组中启动新实例,他们就可以访问端口3306上的'db'< / p>