如何创建分层AWS安全组?

时间:2017-08-23 17:59:16

标签: amazon-ec2 aws-security-group

我想在AWS中创建一个2级安全组层次结构。

  1. 位置组 - 特定于不同位置的IP地址组(例如“办公室”,“家庭”,“客户1”等)。这些基组中的每一个都授予对所有流量(端口0-65535)
  2. 的每个IP访问权限
  3. 环境组 - 然后我尝试将这些基本位置组添加到我的更高级别的环境组(例如“test”,“prod”,“report db”等)。我将在EC2中为我的不同实例使用环境组。因此,例如服务器“uat_01”将引用“测试”环境组,例如,该组将授予对“办公室”的访问权。
  4. 这是安全组sg-f2d8 ....(办公室)的入站规则设置

    enter image description here

    我正在使用端口范围添加基本组以访问HTTP(或基于需要的HTTPS或MySQL等),并使用具有组标识符的“自定义”配置来引用基本组,例如, “sg-f2d8 ......”

    enter image description here

    在“安全组”面板中,一切正常,但我无法从所选IP进行访问。

    请帮忙!我被告知EC2安全组可以通过这种方式引用基组,但我似乎无法弄清楚它!

    谢谢!

1 个答案:

答案 0 :(得分:1)

当您将安全组作为入站规则的源(或出站规则的目标)时,您引用与该组关联的资源(即您创建的属于该组的ec2实例)并不真正允许该组允许的流量(这是对aws-security组的一种常见误解)。通过这种方式引用安全组之间也没有传递性。

现在,为了实现您想要实现的目标,我能想到的唯一解决方法是创建样式家庭测试,办公室测试,家庭产品的组合,并在每个组合中放入您将看到的源IP适合。在一天结束时,这些只是" 1-level"安全小组。

正式答案是不,你不能创建分层的aws sec组。