请帮助
我们通过删除0.0.0.0/0阻止了所有传出流量,并仅添加了VPC,以便我们的应用程序连接到EC2
现在问题是EC2无法与任何AWS服务本身通信;我们将无法使用SSM,无法更新我们的RPM等。.
我们根据遇到的错误添加了一些IP范围;我们担心这不是阻止出站连接的正确方法
谢谢,提前感谢您的支持
答案 0 :(得分:0)
实际上,您应该尽可能在VPC中使用VPC endpoints。
如果配置这些出站通信,将通过接口端点所位于的子网范围(S3 and DynamoDB除外)。
如果使用这些服务之一,则可以在安全组的出站中将这些服务的前缀列表的源列入白名单。
通过这样做,它更易于管理(AWS IP范围一直在变化),并且由于出口停留在AWS网络内而从未通过公共互联网连接到服务端点,因此更加安全。
如果这种方法不适合您,则需要subscribe to ip-range changes来触发Lambda function。此Lambda函数将访问ip-ranges.json文件并检索对您的应用程序有效的所有范围。然后,这些IP范围将添加到您定义的customer managed prefix list中。
前缀列表将被添加为出站目的地,允许端口443(HTTPS)出站访问,当然,此方法将需要您构建Lambda函数。