我现在有5个不同的安全组,我试图尽我所能组织。
我有时需要打开某些实例的SSH访问权限,具体取决于我所在的位置,所以我从我当前的IP中添加了入站端口22的规则。我可以很好地处理,但为了保持整洁,我希望能够指明这个IP是来自格拉斯哥的办公室,这个来自伦敦,纽约等等。但是我看不出放一点点或额外信息的方法。
我们有几个人正在更新一个安全组,过了一段时间,有些人忘记删除临时规则,当我们想要清理安全组并删除那些临时规则时,这些规则会变得有点混乱并使事情变得困难保留永久性的。
我在文档中看不到任何可以让我在每条规则旁边添加这个小描述的内容;我错过了什么吗?
答案 0 :(得分:4)
这个问题的答案最近发生了变化。
安全组规则现在有一个描述字段
AWS公告(2017年8月31日)https://aws.amazon.com/about-aws/whats-new/2017/08/simplify-management-of-security-groups-with-security-group-rule-descriptions/
Amazon EC2现在允许客户为各个安全组规则添加简短描述。使用此功能,客户可以添加详细信息,例如创建或更新某个安全组规则的时间和原因。此功能简化了安全组的管理,因为客户不再需要使用电子表格或文档来跟踪此信息。
答案 1 :(得分:1)
不,你没有错过任何东西,但是你无法在安全组中为IP添加描述。您可以安排的另一种方法是根据您的办公室名称为资源和多个安全组创建一个主安全组,并将这些安全组附加到主安全组。您必须为IP地址维护单独的文档。
答案 2 :(得分:0)
虽然安全组没有描述字段,但您可以(并且应该)使用标记向每个安全组添加元数据。
我建议您为每个名为description的安全组创建标记,并在那里提供详细说明。
其他对EC2对象有用的标记通常是owner,function和environment。
因此,对于SSH SG,您可以定义如下标记:
owner=rodrigo m
function=secure ssh access
environment=production
description=Glasgow's office IP x.x.x.x London Office IP y.y.y.y
updated_on=8/9/2016
答案 3 :(得分:0)
我在这里感到困惑,因为它看起来像命令
aws ec2 describe-security-groups --generate-cli-skeleton
允许基于标签名称和值的过滤器
{
"DryRun": true,
"GroupNames": [
""
],
"GroupIds": [
""
],
"Filters": [
{
"Name": "",
"Values": [
""
]
}
]
}
将直接回答您关于如何将元数据应用于您想要的安全组的问题,但我没有在任何aws cli命令中看到设置该元数据的方法。
我已经看到的另一种方法是成功地简化了安全组,它使用VPN配置为用户提供稳定的IP地址端点,这样您就可以移动安全组中的漏洞而不是受信任的端点到加密安全的VPN。