在尝试描述整个系统时,AWS文档几乎没用。是否有属于安全组和不同类型安全组的所有资源的资源或编译列表?
这是我到目前为止所做的:
我还缺少什么?我缺少哪些非常好的doc资源?
答案 0 :(得分:4)
了解AWS安全组的主要概念是它确定允许在虚拟网络中进出资源的流量。
因此,考虑一下可以“进入”虚拟网络的内容:
启动EC2实例的服务:
使用EC2实例的服务(不直接出现在EC2服务中):
Elastic Load Balancing
资源不属于安全组。而是一个或多个安全组与资源相关联。这通常是难以理解的概念,因为安全组具有与防火墙类似的能力,并且防火墙通常“包围”许多设备。虚拟网络不是“属于”或“被...包围”,而是简单地使用安全组中包含的定义来确定允许进出资源的流量。
例如,假设有两个与“Web”安全组关联的EC2实例,并且安全组配置为允许端口80上的传入流量。虽然两个实例都与同一安全组关联,但它们不能彼此沟通。这是因为它们不属于安全组,并且不在安全组“内”。相反,安全组定义用于过滤实例中的流量。当然,安全组可以配置为允许来自安全组本身的传入流量(自引用),这实际上意味着允许来自与安全组相关联的任何资源的传入流量。 (见,我告诉过你,这是一个难以掌握的概念!)
此外,安全组实际上并未与VPC中的EC2实例相关联。相反,安全组与附加到EC2实例的Elastic Network Interface (ENI)相关联。将ENI视为将实例链接到VPC子网的“网卡”。一个实例可以有多个ENI,因此可以连接到多个子网。每个ENI都可以与安全组关联。因此,使用的实际安全组取决于流量流入/流出实例的位置,而不是实际与实例关联。
安全组只有两个“类型”:
任何类型的安全组都可以与任何其他资源相关联,只要它们属于同一网络类型(经典或VPC)。
答案 1 :(得分:1)
Lambda函数也可以与安全组关联。最初的答案写于2015年时,情况可能并非如此。
答案 2 :(得分:1)
Fargate任务也可以分配给安全组。
答案 3 :(得分:0)
接口端点也可以与安全组关联,这是一个好问题,到目前为止,在AWS文档中不容易找到。
答案 4 :(得分:0)
AWS EFS(弹性文件系统)需要附加一个安全组。
从AWS文档中:
要将您的Amazon EFS文件系统连接到您的Amazon EC2实例, 您必须创建两个安全组:一个用于您的Amazon EC2实例 另一个用于您的Amazon EFS挂载目标。
参考:https://docs.aws.amazon.com/efs/latest/ug/accessing-fs-create-security-groups.html