После поиска предыдущих вопросов здесь, общий консенсус, кажется, таков, что если экземпляру, которым я владею, назначен частный IP-адрес 10.208.34.55, то только ДРУГИЕ СОБСТВЕННЫЕ ЭКЗЕМПЛЯРЫ могут получить его по этому адресу. Видеть:
Как зашифровать трафик между двумя инстансами Amazon EC2?
Это правильно? Так что я могу обрабатывать все свои экземпляры, как если бы они были в локальной сети, аутентифицировать и доверять любой машине, исходящей от 10.XXX.XXX.XXX, потому что я уверен, что она принадлежит мне?
Я просто хочу быть уверенным. Я нахожу, что Amazon, похоже, больше заинтересован в поэзии об Облаке и их трехсимвольных аббревиатурах, чем в предоставлении четкой технической документации.
Amazon EC2 предоставляет группы безопасности, частью которых является ваш экземпляр, а затем это позволяет вам предоставлять разрешения другим группам хостов в вашей учетной записи или другим внешним хостам. См. [Руководство пользователя] [1] -> Понятия -> Сетевая безопасность для небольшого обзора.
Обычно в группе безопасности "по умолчанию" у вас есть полный доступ к другим участникам группы (т.е. ко всем ваш другие хосты по умолчанию) и нет внешнего входящего доступа. Другие хосты внутри EC2, которые находятся в других учетных записях или в вашей учетной записи, но не в группе по умолчанию, не смогут получить доступ к вашему экземпляру.
Вы можете добавить правила для группы безопасности, чтобы предоставить доступ другим группам безопасности, или добавить правила для предоставления доступа к IP-адресам / диапазонам.
Чтобы ответить на ваш вопрос более прямо: до тех пор, пока правила вашей группы безопасности разрешают доступ только из одной и той же группы, ваши экземпляры должны быть защищены брандмауэром от доступа любого другого клиента, даже если они используют одно и то же IP-пространство.
[1]: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/ Руководство пользователя EC2
Гарет - Я предполагаю, что у обеих групп открыт порт SSH, поэтому успешное переключение SSH с одной учетной записи на другую не означает вашего вывода. Идея проста - внутри группы безопасности - все порты открыты - внешний доступ - согласно вашему определению - и в этом отношении другая группа в Amazon - это то же самое, что внешний доступ.
Ответ - решительное НЕТ - у меня есть несколько учетных записей EC2, и я просто попытался войти в один из моих экземпляров в учетной записи A из другого экземпляра в учетной записи B. Мне удалось без проблем подключиться к SSH из B в A (кроме необходимости SSH ключ для счета A).
Вы должны предполагать, что любой пользователь вашего 10.0.0.0/8 может получить доступ к вашим экземплярам, независимо от того, какую учетную запись EC2 он использует.