【问题标题】:Restrict outbound traffic to AWS SNS / SMTP限制到 AWS SNS / SMTP 的出站流量
【发布时间】:2018-06-05 01:54:11
【问题描述】:

所以我有一个带有 Web 服务器的 EC2 实例。在安全组中,我允许 80 和 443 上的传入流量,但出于安全原因删除了所有传出流量。 我的应用程序使用 AWS SNS 和 SMTP,当然,每当它尝试连接到这些服务时,它都会失败,因为出站流量被阻止。如何在不使用代理的情况下将出站流量限制为仅这些服务?我尝试检查 VPC 端点,但未在列表中找到 SNS 和 SMTP。

【问题讨论】:

    标签: amazon-web-services amazon-ec2 amazon-sns


    【解决方案1】:

    您需要启用这些服务接收您的请求所需的端口。大多数 AWS 服务使用需要 HTTPS (443) 的 REST 接口。

    对于 SNS,您需要启用出站端口 443。

    对于 SMTP,您需要查找您配置的端口。对于 SES,这通常是端口 465 或 587。

    Amazon 发布 ip-ranges.json,其中包含 AWS 的 IP 地址列表。您可以创建一个 Lambda 函数来使用这些地址自动更新您的安全组。

    我不会阻止所有出站端口。相反,我将使用安全组和 ip-ranges.json 控制实例可以连接到的位置。然后我会测试您是否仍然可以安装更新等。如果您的实例是基于 Windows 的,那么您还有另一罐蠕虫添加了 Microsoft 站点。

    恕我直言:除非您真的需要这种级别的控制和安全性,并且准备花费大量时间来管理所有事情......

    AWS IP Address Ranges

    示例项目:

    How to Automatically Update Your Security Groups

    【讨论】:

      【解决方案2】:

      要补充约翰的答案,

      上个月,AWS 发布了一款名为“AWS PrivateLink”的产品,该产品使人们能够在 VPC 中宣传服务,就像现在的 S3 端点所做的那样。 AWS 将在未来几个月以同样的方式发布 AWS 服务,因此这对您来说可能只是一个短期问题。

      更多信息可以找到https://aws.amazon.com/about-aws/whats-new/2017/11/introducing-aws-privatelink-for-aws-services/

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2017-07-22
        • 1970-01-01
        • 2017-09-23
        • 2015-08-29
        • 1970-01-01
        相关资源
        最近更新 更多