Если вы включите «классическую ссылку» для экземпляра EC2-classic, он сможет взаимодействовать с вашим VPC.
Ваша существующая группа безопасности EC2 (назначенная классическому серверу) - контролирует весь трафик к экземпляру EC2-classic. КРОМЕ для трафика с подключенным VPC (согласно документы).
Этот трафик - между экземпляром EC2-classic и VPS - контролируется отдельной группой безопасности, которую вы назначаете при настройке этой «классической ссылки».
Сейчас. Безопасно ли просто разрешить весь трафик на всех портах в этой группе безопасности VPC? Предполагая, что он все равно подключается только к моему частному VPC.
Я предполагаю, что у меня вопрос - когда включена классическая ссылка, она «связывает» мой экземпляр EC2 с моим и только моим VPC, верно? Никакой другой трафик физически не может пройти по этой ссылке, я прав? Спасибо.
Это идея - связанная группа безопасности VPC контролирует только трафик от VPC к экземпляру Classiclink и обратно. Доступ к инстансам EC2 Classic через классическую сетевую инфраструктуру контролируется только классическими группами безопасности, а соединения Classiclink не разрешают какой-либо транзитный трафик через VPC к инстансу (например, из интернет-шлюза).
Конечно, «разрешить все» - не лучшая практика, даже в безопасной среде. Допускается только то, что необходимо разрешить, поэтому, даже если ваше понимание кажется правильным, и в этом случае «все» не означает «все», это все же не идеально.
К слову о не идеале, EC2 Classic все равно не идеален. Запланируйте перенос своих сервисов в VPC. Новые учетные записи даже больше не предлагают EC2 Classic, и как только вы закончите, вы можете навсегда отключить службу поддержки AWS для своей учетной записи и вместо этого предоставить вам VPC по умолчанию во всех регионах, которые имеют такую же простоту - ориентированное поведение EC2 Classic. См. «Мне действительно нужен VPC по умолчанию» в VPC FAQ.