我现在有 5 个不同的安全组,我已尽力组织起来。
我有时需要根据我所在的位置打开对某些实例的 SSH 访问,所以我从我当前的 IP 为入站端口 22 添加规则。我可以很好,但为了保持整洁,我想能够指定这个 IP 来自格拉斯哥的办公室,这个来自伦敦、纽约等地,但我看不出有什么方法可以提供一点点或额外的信息。
我们是几个更新安全组的人,一段时间后有些人忘记删除临时规则,这可能会变得有点混乱,并且当我们想要清理安全组并删除这些临时规则同时保留永久的。
我在文档中看不到任何可以让我在每条规则旁边添加这个小描述的内容;我错过了什么吗?
【问题讨论】:
标签: amazon-web-services aws-security-group
这个问题的答案最近发生了变化。
安全组规则现在有一个描述字段
AWS 公告(2017 年 8 月 31 日)https://aws.amazon.com/about-aws/whats-new/2017/08/simplify-management-of-security-groups-with-security-group-rule-descriptions/
Amazon EC2 现在允许客户向各个安全组规则添加简短描述。使用此功能,客户可以添加详细信息,例如创建或更新某个安全组规则的时间和原因。此功能简化了安全组的管理,因为客户不再需要使用电子表格或文档来跟踪此信息。
【讨论】:
aws ec2 authorize-security-group-ingress --group-id $security_group_id --cidr $(dig +short myip.opendns.com @resolver1.opendns.com)/32 --protocol tcp --port $port 我在哪里传递描述?
aws ec2 authorize-security-group-ingress --group-id sg-123abc12 --ip-permissions '[{"IpProtocol": "tcp", "FromPort": 3389, "ToPort": 3389, "IpRanges": [{"CidrIp": "203.0.113.0/24", "Description": "RDP access from NY office"}]}]'
不,您没有错过任何事情,但是您无法向安全组中的 IP 添加描述。您可以安排的另一种方法是为资源创建一个主安全组,并按您办公室的名称创建多个安全组,并将它们附加到主安全组。您必须为 IP 地址维护单独的文档。
【讨论】:
虽然安全组没有描述字段,但您可以(并且应该)使用标签将元数据添加到每个安全组。
我建议您为每个名为description 的安全组创建标签,并在此处提供详细说明。
对 EC2 对象有用的其他标签通常是 owner、function 和 environment。
因此对于 SSH SG,您可以定义如下标签:
owner=rodrigo m
function=secure ssh access
environment=production
description=Glasgow's office IP x.x.x.x London Office IP y.y.y.y
updated_on=8/9/2016
【讨论】:
这里我很疑惑,因为它看起来像命令
aws ec2 describe-security-groups --generate-cli-skeleton
允许基于标签名称和值的过滤器
{
"DryRun": true,
"GroupNames": [
""
],
"GroupIds": [
""
],
"Filters": [
{
"Name": "",
"Values": [
""
]
}
]
}
这将直接回答您关于如何将元数据应用于所需安全组的问题,但我在任何 aws cli 命令中都看不到设置该元数据的方法。
我见过的另一种成功简化安全组的方法是使用 VPN 配置,该配置为您的用户提供稳定的 IP 地址端点,这样您就不必在安全组中戳漏洞,而是移动受信任的连接到受加密保护的 VPN 的端点。
【讨论】: