我发现了一个解决方法,如果您有IP范围列表,网络管理员可以帮助您,将其放入安全组下的负载均衡器中。
您应该花一些时间来查看关于AWS的安全建议。一些很好的资源是:
AWS在[Shared Responsibility Model下运行,这意味着AWS提供了许多安全工具和功能,但您有责任正确使用它们!
您应该了解的基本知识是:
- 将面向公众的资源放在公共子网中。其他所有内容都应进入私有子网。
- 配置安全组,以便仅打开Internet的最小数量的端口和IP范围。
- 如果您只想向“没有任何身份验证介质的组织内部用户”开放资源,则应通过AWS Direct Connect(专用光纤连接)或通过加密的VPN将组织的网络连接到AWS连接。
安全性应该是您放置在云中的所有内容的首要考虑因素;老实说,安全性也是您放置在自己的数据中心中的所有内容。
在规划网络VPC架构,NACL和防火墙规则以及IAM访问和S3存储桶时,请考虑最低优先级方法。
最低特权::需要了解白名单方法,在IAM,桶策略,VPC子网,网络ACL和安全组中配置所需的最低许可和访问权限。
从拥有特定的VPC开始,该特定的VPC具有 2个主要网段,即网络1- 公共,另两个2- 私有。
- 您将DMZ组件放置在公共段中,
诸如Internet Facing Web Server,负载均衡器,
网关等都在这里。
- 对于其余部分,例如应用程序,数据或内部饰面
LoadBalancers或WebServers确保将它们放置在Private
您将在其中使用内部IP地址的子网
内部范围以引用VPC内部的组件。
- 如果您有多个VPC,并且希望它们彼此对话
其他,您可以将它们对等在一起。
- 您还可以使用Route53内部DNS简化命名。
- 以防万一,如果您需要从“专用”细分中访问Internet
您可以在公共子网上配置NAT网关并处理
从NAT网关路由到Internet的传出流量。
可以将- S3存储桶配置和服务器化为VPC-END点。 (通过内部网络而不是Internet路由到S3存储桶/对象)。
- 在IAM中,您可以创建策略以将源IP列入白名单并附加到“角色和用户”,这是将Network VPN Connections /列入白名单的IP混合在一起并使网络访问与IAM保持一致的绝佳组合。这意味着甚至控制台访问也可以由白名单策略来管理。