Безопасно ли публиковать группу безопасности, в которой запускаются машины? т.е. "мой ящик находится на sg-abcdef"
Есть ли какие-то разрешения, которые контролируют, кому разрешено присоединиться к вашему SG? В худшем случае кажется, что злоумышленник может запустить произвольный экземпляр, присоединиться к вашему SG, а затем отправить TCP-трафик на порты внутри вашего брандмауэра. Это верно?
Могут ли злоумышленники сделать другие потенциально опасные вещи?
Да, публиковать эту информацию безопасно. Для того, чтобы кто-либо еще мог изменить или назначить этот SG хосту, вам нужно было бы явно предоставить им доступ (через пользователя IAM) для этого.
Если вы проводите какое-то время на форумах разработчиков AWS, вы часто будете видеть, как сотрудники AWS спрашивают у людей идентификаторы экземпляров, идентификаторы групп безопасности и т. Д., Чтобы они могли устранить неполадки. Сотрудники AWS не стали бы просить людей публиковать эту информацию на публичном форуме, если бы это было рискованно.