【问题标题】:IP Whitelisting between two AWS Accounts两个 AWS 账户之间的 IP 白名单
【发布时间】:2022-01-24 10:53:08
【问题描述】:

我是 AWS 新手,所以这个问题可能非常基础。我们有几个跨不同 AWS 账户托管的微服务。

例如,“订单管理”API 是在 Spring Boot 中开发并托管在 EKS 平台上的 AWS 账户“Alpha”中,而“客户管理”微服务托管在 Elastic Beanstalk 上的 AWS 账户“Beta”中。除了“客户管理”微服务之外,“Beta”AWS 账户中还托管了许多其他应用程序。

我的问题是我们如何在“订单管理”API 上设置 IP 白名单规则,以便来自“客户管理”微服务的流量只能访问“订单管理”API?换句话说,我不希望托管在“Beta”AWS 账户中的每个应用程序/服务都可以访问“订单管理”API。

【问题讨论】:

  • 这两项服务是否仅通过公共 IP 进行通信(因为它们位于不同的 AWS 账户中)?您是否在服务器上设置了安全组来控制对每个服务的传入访问?如果是这样,您是否尝试向安全组添加入站规则以根据 IP 地址限制访问?
  • 您在使用 VPC 对等互连吗?
  • 请澄清您的具体问题或提供更多详细信息以准确突出您的需求。正如目前所写的那样,很难准确地说出你在问什么。

标签: amazon-web-services amazon-elastic-beanstalk amazon-vpc aws-security-group whitelist


【解决方案1】:

如果您想快速解决问题:

  • 在 NAT 网关上分配静态 IP 将确保在 VPC 的私有子网内运行的所有实例都有可靠的出站 IP 地址。
  • 然后您可以将分配给 NAT 网关的静态 IP 和您的应用程序使用的端口(HTTP 80、HTTPS 443 等)的组合列入白名单
  • 如果您有 NACL,请确保所需的流量也能够通过。

更安全和可扩展的解决方案如下所示:

  • (快速修复且不理想)通过 VPC 对等连接您的两个 VPC,这样流量就不必流出 AWS。
  • 如果您预计 VPC 的数量从长远来看会增长,您可以引入一个瞬态网关,使您的组织能够通过 VPN 将其本地网络连接到跨多个帐户的不同 VPC。

PS:您还必须考虑 CIDR 和网络分段,以便您可以跨帐户为每个子网分配适当数量的主机名,以降低网络设置的复杂性。

成本也是要考虑的另一件事!如果您只想在两个帐户之间建立简单的连接而不需要复杂的设置,那么安全组、静态 IP 和 NACL 可能就足够了。如果您有足够的预算来设置临时网关和 VPN,那么这对于网络来说也是一个更安全和可扩展的解决方案。

【讨论】:

    猜你喜欢
    • 2019-01-22
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-05-19
    • 2014-04-13
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多