Мы хотели бы иметь доступ к экземплярам в нашем VPC с различных общедоступных IP-адресов, имеющихся в нашей корпоративной сети. Можно ли создать группы безопасности (например, группу безопасности оператора) и наложить на нее правила, которые наследуются при применении к экземплярам существующей группы безопасности?
Я попробовал следующую конфигурацию, и она не сработала: sg-operator (создана группа безопасности, не связывающая ни один экземпляр) порт 3389 источник мой ip: 10.10.10.10
sg-server1 (группа безопасности, связанная с экземпляром) порт 3389, источник "sg-operator"
Мне кажется, что правила, добавленные в группы безопасности, работают только тогда, когда они напрямую связаны с экземпляром, есть ли другой способ?
Правила группы безопасности не могут быть унаследованы другими группами. Что вам нужно сделать, так это создать свой sg-операторы группу безопасности, а затем примените ее к группе экземпляров напрямую, что вы легко можете сделать в VPC (не в Classic).
Предпосылки: добавление разрешающего правила для группы безопасности к существующей группе безопасности означает, что экземпляры в исходной группе безопасности могут связываться с экземплярами в существующей группе безопасности по указанным портам и протоколам. Это не означает, что любой трафик, разрешенный присоединенной группой безопасности, разрешен для связанной группы безопасности, что действительно является лучшим решением.
Это позволяет вам делать такие вещи, как определение группы безопасности сервера базы данных для ваших серверов БД, а затем создавать правило, разрешающее трафик на порт 3306 от экземпляров в группе безопасности веб-сервера.
Группы безопасности регулируют доступ к экземплярам, поэтому они должны быть связаны с экземплярами, чтобы делать что-либо. Вы можете связать более одной группы безопасности с экземпляром, который объединит свои правила в отношении доступа к этому серверу.
Наши веб-серверы, например, имеют группу безопасности, предоставляющую порт 80 доступ к 0.0.0.0/0, так же как группа безопасности, предоставляющая порт 22 доступ к нашему офисному IP.
найти решение ..или обходной путь.
перейти к istance и: изменить группу безопасности
вы можете связать несколько групп безопасности с экземпляром.
Работает конечно только для vpc :-)