如何使安全组只能访问我的IP地址?

时间:2019-03-28 03:17:32

标签: amazon-web-services security amazon-vpc

我有一个用于运行RServer的EC2实例。我已经建立了我的安全组,但是AWS向我发送了一条警告,说我的EC2实例可供世界上任何人访问。

这是我的设置。

我有一个IPv4 CIDR 10.0.0.0/16的VPC。

我有两个子网,每个子网位于不同的可用区域中。它们都与VPC相关联。

他们都有相同的规则。 enter image description here

它们都与同一个Internet网关连接,该网关也连接到VPC。

对于路由表,它们都具有目标为10.0.0.0/16的{​​{1}}。

它们还与另一个路由表连接。它们每个都连接到不同的路由表。

第一个连接到具有两个路由的路由表A。它具有local10.0.0.0/16 local active Propagated: No。第二条路由与VPC连接到相同的Internet网关。

第二个子网与路由表B连接,路由表B与路由表A具有相同的路由。

我也有一个安全小组。它与VPC相关联。它具有三个入站规则。第一个是类型:SSH,协议:TCP,端口范围:22,来源是我的个人IP地址,后跟0.0.0.0/0 active Propagated: No

第二个用于RStudio服务器,其类型为:自定义TCP规则,协议:TCP,端口范围:0.0.0.0/0,第三个也用于RStudio服务器,其类型为:自定义TCP规则,协议:TCP ,端口范围::: / 0。

我还有一个具有默认设置的网络ACL。它允许所有入站和出站流量。

2 个答案:

答案 0 :(得分:1)

我认为您对RStudio IP范围(0.0.0.0/0)有错字,为什么不限制IP地址而不是全局访问?即使是TCP,您仍然需要限制IP范围

答案 1 :(得分:1)

您提供的图片适用于网络访问控制列表(NACL),而不适用于安全组。通常,除非真正了解网络,否则切勿更改NACL配置

相反,您应该将安全组配置为仅允许从IP地址在所需端口上进行入站访问。