У нас есть группа из 50 с лишним внешних (не AWS) серверов, которые нам нужно внести в белый список во многих (~ 50) группах безопасности (vpc). Помимо ограничения на количество правил, добавление и удаление записей для / из всех групп по одной является проблемой.
Я попытался добавить все внешние IP-адреса в отдельный SG и внести этот SG в белый список в других SG, но, видимо, это работает только для внутренних (AWS) экземпляров.1.
[1] Не могу предоставить доступ ко всем серверам, принадлежащим группе безопасности в AWS
Есть ли другой способ добиться этого?
Когда вы говорите, что «вносите эту SG в белый список в других SG», что именно вы имеете в виду?
Я бы просто создал одну группу безопасности с этими правилами и назначил бы эту группу безопасности всем экземплярам. Экземпляр может иметь несколько групп безопасности, а правила являются аддитивными в разрешающем смысле. то есть по умолчанию запретить, если какое-либо правило в любой группе безопасности не разрешает доступ. Вам нужно будет создать новые экземпляры, чтобы изменить группы безопасности, связанные с экземпляром EC2, но как только он будет связан с группами, любые внесенные изменения будут выполняться в режиме реального времени.
Вы также можете сделать это с помощью сетевых ACL, которые работают на уровне подсети. NACL похожи на брандмауэр, они работают на уровне подсети, хотя каждый NACL может применяться к нескольким подсетям. Они могут добавить дополнительные правила запрета, которые применяются ко всем экземплярам в подсети, но не могут открывать порты, закрытые группами безопасности. Помните, что они не имеют состояния, поэтому вам нужно добавить правила для входящих и исходящих.
Обратите внимание, что вопрос / ответ, на который вы ссылаетесь, является очень конкретной ситуацией, которая не относится к вам, в отношении использования частных или общедоступных IP-адресов. Группы безопасности применяются к частным IP-адресам EC2 или общедоступным IP-адресам. Например, у меня настроены группы безопасности, которые разрешают доступ только моему провайдеру CDN и моему домашнему IP-адресу, которые определенно являются общедоступными IP-адресами.