немного удивлен, что между этими двумя сервисами нет более тесной интеграции (я думаю, может быть, есть, но я просто пропустил это)
У меня есть таблица маршрутов с маршрутами к различным сетям, и я также настроил ее для распространения маршрутов из VPN через BGP. Это все динамично
Теперь у меня есть экземпляр EC2, который находится в подсети, которая использует эту таблицу маршрутизации.
Есть ли способ / функция для создания группы безопасности, которая автоматически разрешает входящий доступ со всех маршрутов назначения в таблице маршрутов? Таблица маршрутов динамически обновляется из BGP. Было бы неплохо иметь SG, который отслеживает это для меня, чтобы любые новые маршруты разрешались автоматически.
Вы можете запускать простую лямбда-функцию каждые, скажем, 5 минут, которая будет сканировать таблицу маршрутов и добавлять все префиксы в группу безопасности.
Если 5-минутная задержка между добавлением маршрута и открытием SG слишком велика, вы можете взглянуть на События CloudWatch - может быть событие, инициированное при обновлении RTB, и снова вы можете запустить функцию Lambda, когда это событие запускается. Это может быть быстрее.
Вы можете получить вдохновение от aws-ipranges-updater - лямбда, которая может обновлять группы безопасности или таблицы маршрутов с использованием официальных префиксов AWS. Измените его в соответствии с вашими потребностями и добавьте триггер событий.
Надеюсь, это поможет :)