Применяются ли правила входящего и исходящего трафика к обмену данными между процессами внутри экземпляров?
Например, мой экземпляр MongoDB работает на порту 27017, в то время как мое приложение Node.js прослушивает порты 80 и 443 на том же сервере. Если бы я открыл только порт 80 и правила для исходящего и входящего трафика 443, не открывая исходящий / входящий 27017 для публики, смогу ли мое приложение Node.js подключиться к экземпляру MongoDB?
Я пытаюсь ограничить свой экземпляр MongoDB локальными подключениями, чтобы по возможности предотвратить удаленные ssh-подключения с помощью этого метода.
Короткий ответ: Нет, не делают.
Длинный ответ: Группы безопасности работают на уровне виртуальных сетевых адаптеров, что означает, что они могут контролировать, что «входит» в экземпляр EC2, а что «выходит» из него. Группы безопасности не контролируют обмен данными между процессами в операционной системе.
Безопасный способ сделать это:
sg-app
к вашему экземпляру EC2, на котором размещено приложение Node.js, которое разрешает входящий и исходящий трафик на портах 80 и 443, причем источник и место назначения 0.0.0.0/0
sg-db
к вашему экземпляру EC2, в котором размещена база данных MongoDB, которая разрешает входящий и исходящий трафик на портах 27017, при этом источник и пункт назначения sg-1
[Да, вы можете указать группу безопасности в качестве источника / назначения в правилах вашей группы безопасности]