我想关闭来自EC2的互联网连接,以便用户无法连接到互联网,但同时我想允许内部(Boto / Boto3)HTTP / HTTPS呼叫到AWS。如何使用安全组实现此目的?
答案 0 :(得分:1)
如果您使用 ec2-vpc ,则可以向安全组添加单独的入站和出站规则,但 ec2-classic 仅支持入站规则。
答案 1 :(得分:0)
您可以使用AWS IP Address Ranges - Amazon Web Services获取亚马逊为每个地区使用的IP地址列表。
您可以将相关的IP地址添加到安全组,以便只允许与这些地址的出站连接。
可替换地:
这些允许您将来自VPC的请求直接路由到服务,而无需通过Internet网关。安全性由路由表(将流量发送到不同的目的地)而不是安全组(阻止流量)强制执行。
答案 2 :(得分:0)
在VPC内,如果您有一个私有子网,并且希望您的私有子网中的EC2能够与Internet通信,则可以使用NAT网关,您必须将其放置在公共子网您的VPC(具有Internet路由IP,即为其分配EIP),然后将NAT添加到专用子网中的路由规则中(目标可能是0.0。 0.0 / 0(目标为NAT),您的EC2专用子网中的EC2可以将流量路由到位于公共子网中的NAT网关。但是,请注意NAT(可路由到Internet网关)的后面是您的EC2实例,可以启动与Internet上的服务的通信。就像NAT之后的任何其他系统一样,Internet不能启动与内部网络的通信,除非它是对您的EC2实例发起的通信的响应。如果您在NAT网关后面的EC2实例上具有库,则可以开始进行外部通信。 PS:您可以为要放置NAT网关的子网定义NACL规则,以进一步加强网络访问。