【问题标题】:Automatically add a range of IP in security group in AWS在 AWS 的安全组中自动添加 IP 范围
【发布时间】:2017-10-20 03:30:45
【问题描述】:

我的 RDS 实例配置为仅接受来自 EC2 安全组的连接。我通过 SSH 连接我的 SQL 客户端。

这没关系,但现在,我有一个external service,也需要连接数据库。

这个服务告诉我他会使用这个范围的IP:https://ip-ranges.amazonaws.com/ip-ranges.json

所以,我必须将它列入我的 RDS 安全组。

我的问题:如何自动将此 json 添加到我的 SG。

谢谢

【问题讨论】:

    标签: json amazon-web-services amazon-ec2 rds aws-security-group


    【解决方案1】:

    没有自动应用该组 IP 范围的自动方式。您需要自己解析并应用范围。使用您最喜欢的工具(bash、python、c#、手动)。

    但是,他给你的 JSON 文件是所有区域的所有 AWS 的 IP 范围。

    如果您的外部服务可以告诉您他们使用哪些区域,您可以显着减少该列表。

    例如,如果您可以将其缩减为仅弗吉尼亚地区 (us-east-1),则需要应用 187 个 IP 块。

    默认情况下,安全组的规则限制为 50 个。每个网络接口限制为 5 个网络安全组。所以基本上你看到的是 250 条规则的硬性限制。

    如果您愿意,您可以联系 AWS 支持,他们可以通过将 security-groups-per-network-interface 限制降低到 1 来将 rule-per-security-group 限制调整为 250。或者您可以扩展到 250管理 5 个安全组。

    来源:Amazon VPC Limits

    如果您需要超过 250 条规则,则需要设置具有 2 个以上公共 IP 地址的代理,以容纳所需的额外安全组。

    补充说明:

    应用所有这些 IP 范围将允许任何人从 AWS 实例连接到您的 RDS 实例。这可能是一个无法打开的安全漏洞。

    【讨论】:

      【解决方案2】:

      您可以设置一个 lambda 函数来为您执行此操作。这是来自 AWS 实验室的 Python 脚本示例,它针对 ELB 安全组和云端 IP 地址范围执行此操作。

      https://github.com/awslabs/aws-cloudfront-samples/tree/master/update_security_groups_lambda

      【讨论】:

        猜你喜欢
        • 2017-01-18
        • 2020-05-13
        • 2020-08-20
        • 2022-01-11
        • 2015-01-01
        • 2022-01-03
        • 2017-11-05
        • 1970-01-01
        • 1970-01-01
        相关资源
        最近更新 更多