将规则插入先前手动创建的SG

时间:2015-08-28 15:17:19

标签: amazon-cloudformation

我将解释这个场景:

我已经创建了基本上这些资源的云形态模板:

  • serverSG
  • serverAutoScallingGroup
  • serverLaunchConfig
  • serverIAMInstProf
  • serverIAMPolicy
  • serverIAMRole

' serverLaunchConfig'启动一个名为' MyServer'的实例,这种实例有一个私有子网,并且在此子网中有一个先前手动创建的NAT服务器。 cloudformation模板工作正常,但是cnf-init不起作用,因为我的实例安全组(serverSG)没有在NAT安全组(natSG)中创建允许Internet访问的规则,因此&# 39; MyServer的'没有互联网接入。

我的问题:

我需要在natSG中插入规则(手动创建),允许serverSG(创建的cloudformation)访问互联网,以执行正确的引导程序。 是否有任何技巧可以做到这一点(使其工作),或者cloudformation无法执行此任务?

1 个答案:

答案 0 :(得分:1)

cfn-init是错误的工具。要将规则添加到现有安全组,您需要对入站规则使用AWS::EC2::SecurityGroupIngress,对出站规则使用AWS::EC2::SecurityGroupEgress

仅当您要在实例中运行的操作系统中执行某些自定义内部时,才应使用

cfn-init脚本。您希望做的是与AWS基础架构的交互,而不是实例的操作系统。