即使我在私有子网中创建EC2实例,如果我想将流量注册到ECS群集,它们也必须能够将流量发送到Internet。
我正在使用NAT网关执行此操作,但我仍然感到不安全的是,实例可以在接管的情况下将私人信息发送到任何地方。
我可以为实例的安全组使用最紧凑的CIDR范围,而不是0.0.0.0/0?
答案 0 :(得分:0)
目前,您可能必须依赖list of public IP address ranges for AWS,允许与您所在地区相关的所有CIDR区块的流量限制。
AWS的大部分功能的部分设计依赖于其服务端点不的能力依赖于静态地址分配而是依赖于使用DNS ...但是他们的服务端点应始终与您所在地区相关的地址,因为很少有服务违反他们的做法严格区域分离服务基础设施。
(CloudFront,Route 53和IAM可能会执行其他操作,但这些是配置端点,而非操作端点。大多数应用程序无需访问这些仅配置端点才能正常运行。)
答案 1 :(得分:0)
这里的一个超级常见模式是在窄CIDR中创建代理,并且只允许出站流量流过代理。白名单AWS端点并记录流经代理的所有流量以进行监控/审核。
AWS端点= https://docs.aws.amazon.com/general/latest/gr/rande.html