Моя цель:
Сделать мой AWS Elastic Load Balancer доступным только для трафика с моего IP.
Что я пробовал:
Результаты:
Весь трафик, даже из IP-адресов, отличных от моего, все равно может попасть в мой ELB (и, таким образом, пройти на мои серверы приложений).
Что я делаю не так? Как я могу заблокировать входящий трафик на мой ELB (и стоящие за ним экземпляры EC2)?
Вам необходимо создать группу безопасности на серверах приложений, которая разрешает входящий трафик только из группы безопасности ELB.
Как говорится в документах:
Эта функция включает две группы безопасности - исходную группу безопасности и группу безопасности, которая определяет правила входа для вашего внутреннего экземпляра. Чтобы заблокировать трафик между балансировщиком нагрузки и внутренними инстансами, добавьте или измените правило для своей серверной группы безопасности, которое ограничивает входящий трафик, чтобы он мог поступать только из исходной группы безопасности Amazon EC2, предоставляемой эластичной балансировкой нагрузки. .
Подтвердите ниже.
1) Группа безопасности VPC по умолчанию, если она подключена к ELB, разрешая 80 для любого?
2) Никакой другой SG не должен быть присоединен к ELB, кроме того, что вы явно разрешили
3) Поскольку вы можете разрешить трафик только в группе безопасности, а все остальные перейдут к неявному запрету, существует другой способ сбросить весь трафик в NACL подсети, в которой был запущен ELB.