在EC2-classic中,我一直在尝试使用安全组作为另一个安全组的源,以允许从多个IP(工作和家庭)进行访问。我一直在尝试的方法是创建一个名为“my_ips”的安全组,每个ip号码(作为CIDR)都有一个规则,对所有TCP端口都是开放的。然后我配置一个安全组说'my_sg',其中每个规则都有一个打开的端口(例如22),其源是安全组'my_ips'。然后我将'my_sg'分配给我的EC2实例。
我想避免的是必须在'my_sg'中为每个端口配置多个规则,每个规则具有相同的端口但不同的IP。我试图通过IP过滤'my_ips'规则,然后'my_sg'规则按端口号过滤。
没有运气。显然,我做错了。有没有办法达到我想要的目的?
答案 0 :(得分:8)
你误解了安全组的工作方式。当您选择允许SG作为另一个SG的规则中的源时,您说的是在您指定的端口上允许任何作为该SG成员的EC2实例。它与源SG的规则无关。
我知道您正在尝试在单个规则中指定端口22应允许的所有地址,但遗憾的是,目前安全组无法做到这一点。您需要将每个IP地址和端口表达为自己的规则。