可以与AWS中的安全组关联的所有资源是什么?

时间:2015-04-19 12:57:58

标签: security amazon-web-services amazon-ec2 amazon-cloudfront

在尝试描述整个系统时,AWS文档几乎没用。是否有属于安全组和不同类型安全组的所有资源的资源或编译列表?

这是我到目前为止所做的:

  • EC2-Classic实例
  • EC2-VPC实例
  • RDS
  • ElasticCache

我还缺少什么?我缺少哪些非常好的doc资源?

5 个答案:

答案 0 :(得分:4)

了解AWS安全组的主要概念是它确定允许在虚拟网络中进出资源的流量

因此,考虑一下可以“进入”虚拟网络的内容:

  • Amazon EC2实例
  • 启动EC2实例的服务:

    • AWS Elastic Beanstalk
    • Amazon Elastic MapReduce
  • 使用EC2实例的服务(不直接出现在EC2服务中):

    • Amazon RDS(关系数据库服务)
    • Amazon Redshift
    • Amazon ElastiCache
    • Amazon CloudSearch
  • Elastic Load Balancing

资源不属于安全组。而是一个或多个安全组与资源相关联。这通常是难以理解的概念,因为安全组具有与防火墙类似的能力,并且防火墙通常“包围”许多设备。虚拟网络不是“属于”或“被...包围”,而是简单地使用安全组中包含的定义来确定允许进出资源的流量。

例如,假设有两个与“Web”安全组关联的EC2实例,并且安全组配置为允许端口80上的传入流量。虽然两个实例都与同一安全组关联,但它们不能彼此沟通。这是因为它们不属于安全组,并且不在安全组“内”。相反,安全组定义用于过滤实例中的流量。当然,安全组可以配置为允许来自安全组本身的传入流量(自引用),这实际上意味着允许来自与安全组相关联的任何资源的传入流量。 (见,我告诉过你,这是一个难以掌握的概念!)

此外,安全组实际上并未与VPC中的EC2实例相关联。相反,安全组与附加到EC2实例的Elastic Network Interface (ENI)相关联。将ENI视为将实例链接到VPC子网的“网卡”。一个实例可以有多个ENI,因此可以连接到多个子网。每个ENI都可以与安全组关联。因此,使用的实际安全组取决于流量流入/流出实例的位置,而不是实际与实例关联。

安全组只有两个“类型”:

  • EC2 Classic(传统网络配置)
  • EC2 VPC(现代专用网络配置)

任何类型的安全组都可以与任何其他资源相关联,只要它们属于同一网络类型(经典或VPC)。

答案 1 :(得分:1)

Lambda函数也可以与安全组关联。最初的答案写于2015年时,情况可能并非如此。

答案 2 :(得分:1)

Fargate任务也可以分配给安全组。

答案 3 :(得分:0)

接口端点也可以与安全组关联,这是一个好问题,到目前为止,在AWS文档中不容易找到。

答案 4 :(得分:0)

AWS EFS(弹性文件系统)需要附加一个安全组。

从AWS文档中:
要将您的Amazon EFS文件系统连接到您的Amazon EC2实例, 您必须创建两个安全组:一个用于您的Amazon EC2实例 另一个用于您的Amazon EFS挂载目标。

参考:https://docs.aws.amazon.com/efs/latest/ug/accessing-fs-create-security-groups.html