問題タブ [aws-security-group]

アクセス ルールをセキュリティ グループ「test」に追加しようとしています。以下は私が使用しているコードです：

上記のコマンドを実行すると、「test」という名前の新しいセキュリティ グループが作成され、2 つの INGRESS ルールが指定されます。ただし、2 番目のルール (ポート:5984) を EGRESS タイプまたは EGRESS 向けにしたいと考えています。誰でもこの問題で私を助けてください。ありがとうございました。

AWS ruby​​ SDK をインストールしました。

gem install aws-sdk

irb 内:

require aws-sdk

ここで、着信と発信の両方を許可するすべてのパケットを持つセキュリティ グループを作成したいと考えています。

これどうやってするの？

AWS の Tomcat に Java コードをデプロイし、Tier 1 では、次のコマンドを使用して生成された公開キーと秘密キーで構成されたロード バランサーを使用しています。

今、私が直面している主な困難は次のとおりです。

このREST APIを呼び出すAndroidアプリがあります.AndroidからAPIを呼び出したいのですが、何らかの形式の認証をサーバーに渡す必要があります。それが何なのか、私には理解できません。誰かが本当に役立つ特定のリソースを教えてくれたら.

(注: この質問は既に AWS フォーラムに投稿しましたが、まだ返信がありません: https://forums.aws.amazon.com/thread.jspa?threadID=64432 )。

クライアントが触れないように主張する RDS インスタンスがあります。ただし、コピーを作成して、それを使用して新機能をテストしても問題ないというので、オリジナルからリード レプリカを作成し、それが完了したら、リード レプリカをスタンドアロンに昇格させました。実例。次に、新しいセキュリティ グループ (自分の IP のみを許可する) を作成し、レプリケートされたインスタンス (確認済みのみ) で、そのセキュリティ グループを使用するように変更しました。私のコピー インスタンスは正常に動作します。

私のクライアントは、元の MySQL RDS インスタンスにログインすることを決定し (何らかの理由でログインしたいので)、8 か月ぶりにアクセスできないと私に訴えてきました。彼は と接続できませんError 60。彼は私を責めます、そして彼はおそらくそうするのが正しいです。

最初に、このプロセスで、元の RDS のセキュリティ グループまたは元のセキュリティ グループのインバウンド許可設定を台無しにした可能性があると思われるものはありますか?

2 つ目は、セキュリティ グループの設定を見ても、その仕組みがよくわかりません。次のように設定されています。

したがって、それを読んだとき、RDS (sg-001 を使用する) は着信トラフィックをまったく受信できないように見えますが、Web サービス (AWS で実行される) は引き続き読み取りと書き込みを行うことができます。 RDSに。誰かがこれをよりよく理解するのを手伝ってくれますか?

AWS インスタンスがあり、セキュリティ グループのメンバーです。インスタンスの上の ELB を指す Route53 ドメイン名のセットアップがあり、ELB とインスタンスの両方が同じセキュリティ グループにあります。

セキュリティ グループをそれ自体に追加すると、https://my_url/をカールできませんが、イングレス ルールのソースとしてセキュリティ グループを削除し、それをインスタンスのパブリック IP アドレスに置き換えると、次のことが可能になります。パブリック ドメイン名をカールします。セキュリティ グループを独自のイングレス ルールに追加すると、パブリック IP アドレスでボックスへのアクセスが許可されると考えるのは間違っていますか?

ELB を別のセキュリティ グループに配置し、1 つの SG が他の SG にルーティングできるようにするルールを追加するのが最善ですか?

独自のパブリック IP でボックスに接続する必要がある理由は、1 つの URL にのみバインドする同じアプリ サーバー上の別の Docker インスタンスで実行されているセキュリティ アプライアンスを使用しており、パブリック IP からアクセスする必要があるためです。アプリ インスタンスのプライベート IP を返す別の BIND サーバーを URL にするか、実行を開始します。これは、パブリック IP アドレスを使用するよりも気分が悪くなります。

助けてくれてありがとう。

(VPC 内で ELB ネットワーキングがどのように機能するかを理解しようとしており、この質問を投稿しています)

パブリック ELB に 2 つのサブネットを追加する場合、この手順を実行する前に、これら 2 つのサブネットをパブリック サブネットaws elb create-load-balancer --load-balancer-name my-load-balancer --listeners "Protocol=HTTP,LoadBalancerPort=80,InstanceProtocol=HTTP,InstancePort=80" --subnets subnet-15aaab61 subnet-198aab81としてセットアップする必要があると思いますが、この理解は正しいですか? また、上記のパブリックサブネットは、各インスタンスにパブリック IP を自動的に割り当てるように構成する必要があると思います (そうしないと、この ELB 宛先の DNS 解決でパブリックアドレス指定可能な IP が取得されません) -- この理解も正しいですか?

次に、2 つのプライベート サブネットで実行するインスタンスを用意し、上記で作成した ELB に登録します。2 つのパブリック サブネットと 2 つのプライベート サブネットが接続されていることを確認する必要があると思いますが、それを実現するために追加の作業を行う必要がありますか? (つまり、デフォルトの 10.0.0.0/16 -> ローカル ルールで十分でしょうか? 私はそう思っていましたが、[1] は ELB セットアップ手順のコンテキストで NAT ルールを追加したため、そうではないようです)

ELB 関連のネットワーキングを理解するのを手伝ってくれてありがとう。

[1] ELB とルートテーブルに関するブログ

ネットワーク ACL とセキュリティ グループのステートフル/ステートレスの性質を知っています。また、ネットワーク ACL がサブネットに関連付けられているのに対し、セキュリティ グループはインスタンスに関連付けられていることも知っています。

上記の 2 つは、セキュリティ ポリシーをエンコードする必要がある最も顕著な違いです。

ただし、一方が他方よりも優れていることが明確にわかるユースケースはありますか?

たとえば、現在、踏み台ホストのネットワーク セキュリティをロックダウンすることを考えています。これをセキュリティ グループ sg_A {イングレス トラフィック用に既知の IP 範囲のセットから 22 のみを許可} にエンコードし、sg_A を踏み台インスタンスに関連付けることができます。また、それをネットワーク ACL net_acl_B {入力トラフィック用に既知の IP 範囲のセットから 22 のみを許可} にエンコードし、net_acl_B を踏み台インスタンスが配置されているサブネットに関連付けることもできます。