我在私有子网中有一些需要访问DynamoDB和KMS的EC2实例。由于此时VPC端点不支持这两种端点,因此我需要通过NAT网关授予Internet访问权限。
我想将安全组出口规则限制为仅这两项服务,但我迄今发现的唯一信息是@ http://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html
是否有其他人能够将安全组出口规则限制为仅包含AWS服务?
从我所看到的EC2服务条目是AMAZON服务条目的一个子集,所以我猜我是否要包含EC2列表中不存在的所有CIDR块,这些块将留给我所有其他的AWS服务IP?
我知道这些是动态的,因此需要订阅和处理更新。
提前致谢
专利
答案 0 :(得分:1)
一种选择是在安全组中使用AWS服务DNS名称(例如dyanamodb.amazonaws.com),但SG不允许。所以你有两个选择:
允许所有出站访问
使用squid
代理等代理。添加到您的私有子网的路由以将Internet流量路由到代理,并且代理通过NAT连接到Internet。在代理中,您可以添加规则以仅允许流量到期望的服务,并显示所有其他流量的明确拒绝