10

AWS で EC2 を RDP に接続することについてお聞きしたいと思いました。

EC2 セキュリティ グループ (EC2 インスタンスを含む) をデフォルトの RDP グループに追加しましたが、データが流れています。接続は機能しています。

EC2 セキュリティ グループでは、ポート 80 から 0.0.0.0/0 へ、および IP への SSH が有効になっています。

この EC2 グループを RDS データベースに追加すると、ポート 80 のトラフィックがどこからでもデータベースにアクセスできるようになるのではないかと心配しています。これは正しいですか、それとも間違っていますか?

このように接続すると、EC2 のルールは RDS インスタンスに適用されますか?

「データベース セキュリティ グループはデータベース サーバー ポートへのアクセスのみを許可する」という AWS の Web サイトを読みました。誰でもこれが正しいことを確認できますか?

ありがとうございました

4

2 に答える 2

12

RDSサーバーで追加のポートが開かれることを心配する必要はありません。

EC2セキュリティグループは、RDS DBセキュリティポリシーで使用される場合、アクセスコントロールリストのように扱われます。

基本的に、特定のEC2セキュリティグループに属するすべてのインスタンスが、そのDBセキュリティグループポリシーを使用してRDSインスタンスにアクセスできるようにする必要があるということです。

EC2セキュリティグループで定義されている特定のルールは重要ではありません。

この動作は基本的に、いくつかの共通の関連付け(セキュリティグループ)を持つサーバーのクラスターからのアクセスを簡単に許可する便利な方法を提供します。

于 2012-10-01T15:46:15.777 に答える
1

これについても詳しく知りたいです。実際には、「他のトラフィック」が RDS インスタンスに到達していることに気付いたことはありません。RDSインスタンスへの通過が許可されたのはDBポートだけだと常に想定していました。私の意見では、他のトラフィックを通過させるのは少し奇妙に思えます。

全体として、通過が許可されているのは元のセキュリティ グループだけだと思います。許可したセキュリティ グループからルールを継承するわけではありません。

別のセキュリティ グループからのイングレスを追加するのと同じだと思います。そのセキュリティ グループから発信されたトラフィックは許可されますが、たまたまセキュリティ グループ内のルールの 1 つに一致するトラフィックは許可されません。(起動時にセキュリティグループをインスタンスに割り当てる場合とは異なり、一致するすべてのトラフィックが許可されます。起動時に割り当てられたセキュリティグループから発信されたトラフィックではありません)。

例:

  • SG:
    • WEB: ポート 80 を許可
    • DB: DB ポートを許可します
    • HQ_ACCESS: ポート 22 & 80 を許可
    • SOME_OTHER_GROUP: ポート 443 を許可
  • インスタンス
    • InstanceA にはセキュリティ グループがあります: WEB、DB、HQ_ACCESS
    • インスタンス B にはセキュリティ グループがあります: SOME_OTHER_GROUP
  • RDS
    • RDS インスタンスは、RDS が InstanceA とは通信できるが InstanceB とは通信できない DB SG からのすべてのトラフィックを許可し、他のトラフィックは許可しません。何らかの理由でセキュリティ グループ WEB または HQ_ACCESS を RDS インスタンスに追加すると、ポート 80 または 22 のトラフィックは通過できなくなりますが、InstanceA 自体は適切な DB ポートを介して通信できます。

注: セキュリティ グループは混乱しやすいので、これが役立つことを願っています

于 2012-10-01T11:48:29.957 に答える