【发布时间】:2019-03-07 13:48:23
【问题描述】:
我想在 AWS 安全组中创建简单的规则,默认情况下,仅允许在特定 AWS 区域中运行的实例访问特定端口(例如:us-east-1)。 我知道安全组与特定的 AWS 区域相关联,并且基于这个假设,我认为有一些直接的方法可以在特定端口的安全组中创建规则,这将禁用来自其他 AWS 区域实例的请求的访问。
在谷歌搜索时,我在 AWS 上找到了特定区域的 IP 范围列表:https://ip-ranges.amazonaws.com/ip-ranges.json 但列表并不小,因此添加特定区域的所有 IP 范围列表将是我最后的选择。
提前致谢。
【问题讨论】:
-
如所写,您没有提供足够的信息。此流量是否来自VPC peer?或者您是否希望限制通过 Internet 的连接?
-
非常简单,如果可能的话,我正在寻找一种解决方案来限制部署在除“us-east-1”之外的任何其他区域上的实例的访问。话虽如此,流量并非来自任何特定的 VPC 对等方。
-
换种说法:您希望阻止来自不同 AWS 区域的 Internet 流量,但您不想阻止来自任何其他来源(例如 Google Cloud Platform)的流量。这没有任何意义。您要解决的真正问题是什么?
-
为了简单起见:我想阻止来自任何地方的特定端口上的所有流量,除了在特定 AWS 区域中运行的实例(例如:us-east-1)
-
所以如果其他人连接到您的服务器,因为他们碰巧在同一个区域,您可以吗?我猜不是。所以我会再问一次,最后一次,您要解决的真正问题是什么?为什么不能使用弹性 IP(可以在您的安全组中单独列入白名单)或使用基于其他安全组的入口规则来解决它?
标签: amazon-web-services aws-security-group