問題タブ [aws-security-group]

AWS セキュリティ グループについて読んだとき、インスタンス内からトラフィックを開始するには、アウトバウンド ポートを開く必要があります。HTTP 経由で Web サイトにアクセスしたり、いくつかのパッケージを (yum を使用して) ダウンロードしたりする必要がある場合はどうすればよいですか? このために特定のポートを開く必要がありますか? 私が理解しているように、HTTP/HTTPS クライアントはランダムなポートを使用してソケット接続を行うため、その場合はすべてのポートを開く必要がありますか?

AWS ラムダでセキュリティ関連の問題が発生していますが、これを解決する正しい方法がわかりません。

別の EC2 インスタンス B のデータベースにアクセスする EC2 インスタンス A を考えてみます。インスタンス B の DB へのアクセスをインスタンス A のみに制限したい場合は、セキュリティ グループを変更し、カスタム TCP ルールを追加して、インスタンス A のパブリック IP。したがって、AWS がすべてを処理し、DB サーバーは他の IP アドレスからアクセスできなくなります。

インスタンス A をラムダ関数に置き換えます。インスタンスではないため、明確な IP アドレスはありません。では、ラムダ関数のみへのアクセスを制限し、他のトラフィックをブロックするにはどうすればよいでしょうか?

やろうとすると

telnet goodin.hk 25

EC2インスタンスで接続が拒否されました。これは問題です。これを解決する方法を知っている人はいますか

このポートは、セキュリティ グループの構成でオンにしています。

AWS では、AWS ラムダがメッセージを AWS キューにプッシュする機能を実装しました。

ただし、この実装中に、AWS ラムダにメッセージを特定のキューに追加する権限を手動で付与する必要がありました。そして、手動でクリックするこのアプローチは、製品の展開にはあまり適していません。

AWS サービス (主にラムダと SQS) 間でアクセス許可を追加するプロセスを自動化し、prod env の「適切な」展開パッケージを作成する方法について何か提案はありますか?

Ansible でセキュリティ グループを表示または一覧表示する良い方法を探しています

現在、Ansible で定義されているものと一致するようにセキュリティ グループをサイレントに変更する Ansible モジュールec2_groupを使用していますが、変更内容は表示されません。

変更: [localhost -> 127.0.0.1] => {"変更": true, "group_id": "sg-8649adee"}

ec2_groupAnsible のタスクが実行されると消去される Web コンソールに誰かが何かを追加するのではないかと心配しています。以前の状態に関する情報を (出力で) 得ることができれば問題ありません。そのため、重要ではあるが「文書化されていない」変更を消去した場合でも、すぐに元に戻すことができます。

現在、私が知っている唯一の方法は、これをローカル コマンド モジュールとして実行することです。

できれば完全に Ansible 内でこれを行うためのより良い方法はありますか?

AWS で Avi ネットワークを使用しており、すべてをセットアップしましたが、セキュリティ グループの設定は緩和されています。

コントローラ インスタンスのセキュリティを強化したいと考えています。そのため、コントローラのセキュリティ グループでどのポートを開く必要があるのか​​、どのソース IP/範囲からの接続を受け入れる必要があるのか​​ 疑問に思っていました。