我对安全组嵌套在AWS中的工作方式感到有些困惑
说我有以下两个安全组:
然后我创建一个sg-RDP组并将其分配给EC2实例
我将sg-teamA和teamB添加到sd-RDP组以获取RDP(端口3389)
这不起作用。为什么呢?
我需要将特定的团队A和团队B成员IP添加到sg-RDP,以允许他们使用RDP到VM。
允许嵌套组/目的是什么意图的目的是什么,因为它不适合上述情况?
答案 0 :(得分:3)
没有“嵌套安全组”这样的东西。
在你的问题中,你说“sg-teamA - 团队成员的IP - 所有tcp”。您似乎使用安全组作为列出要用作安全组B源的IP地址的方法。但是,这不是安全组的工作方式。
安全组的入站规则就像防火墙一样,确定要进入EC2实例的流量。规则定义了允许访问的IP地址和端口。
例如:
此外,安全组可以引用其他安全组,而不是指定IP地址。
例如:
如果您有外部IP地址列表(与EC2实例无关)并且您希望允许它们访问受安全组B保护的资源,则需要在安全组B本身中列出它们。
在您的情况下,这意味着您应该将外部IP地址添加到安全组sg-RDP。