Если у меня есть VPC1 с группой безопасности (sg-aaaaaaaa), которая разрешает доступ по ssh из источника 10.10.10.10/32, и я использую одноранговое соединение VPC1 с VPC2, у которого есть группа безопасности (sg-bbbbbbbb), которая разрешает доступ ssh из источника sg-aaaaaaaa ( SG от VPC1). Если я назначу SG (sg-bbbbbbbb) из VPC2 экземпляру EC2, смогу ли я затем войти в этот экземпляр EC2 в VPC2 с 10.10.10.10?
Я пытаюсь переработать свой SG между разработчиком и продуктом VPC, поэтому мне не нужно вносить изменения в нескольких местах, если мне нужно добавить / удалить доступ для таких вещей, как SSH. Это возможно? или я неправильно понял способность с пирингом VPC, b / c он не работает для меня так, как я его настроил.
Нет ... это не то, что означает, когда вы указываете группу безопасности в качестве источника вместо IP-адреса. Это не наследование или агрегация.
Если вы, например, в sg-bbbbbbbb разрешаете SSH от sg-aaaaaaaa, это означает, что любой экземпляр, который является членом of sg-aaaaaaaa может использовать SSH в экземплярах, которые являются членами sg-bbbbbbbb. Правила в sg-aaaaaaaa не передаются в sg-bbbbbbbb.
Когда вы указываете группу безопасности в качестве источника для правила, это позволяет экземплярам, связанным с исходной группой безопасности, получать доступ к экземплярам в группе безопасности. Это не добавляет правила из исходной группы безопасности в эту группу безопасности. Входящий трафик разрешен на основе частных IP-адресов экземпляров, связанных с исходной группой безопасности (а не общедоступных IP-адресов или эластичных IP-адресов).
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules