問題タブ [aws-security-group]

すべてのセキュリティ グループをリージョンに取得するために Python SDK boto3 を使用していますが、間違った番号を取得しています。私のコードがあります：

何百ものセキュリティ グループがある場合、結果は 2 になります。

私は何を間違っていますか？

vertica をインストールするために terraform を使用して新しい EC2 インスタンスを作成しましたが、インスタンス内でインターネットにアクセスしたり、google.com に ping を実行したりできません。

プライベート サブネットで ec2 インスタンスをセットアップし、パブリック サブネットで nat ゲートウェイをセットアップしました。

メイン ルート テーブルでは、宛先として 0.0.0.0/0 を、nat ゲートウェイとしてターゲットを許可します。他のルート テーブルには、プライベート サブネット 10.103.2.0/24 としてサブネットの関連付けがあります。インターネット ゲートウェイも vpc に接続されます。

ec2 インスタンスのセキュリティ グループは、次の宛先への Redshift および ssh のトラフィックを許可します。

私の質問:

1. ルート テーブルには、ターゲットとしてインターネット ゲートウェイを含める必要がありますか?
2. セキュリティグループは icmp も許可する必要がありますか?
3. トラブルシューティングの方法と確認すべき点を教えてください。

HTML テンプレートとデータベースから供給されるデータをレンダリングする管理ダッシュボードとして機能する単一の Elastic Beanstalk インスタンスがあります。これとデータベースは特定の VPC 内にあります。

また、VPC 内には、外部サービスからデータベースにデータを保存する Web ソケット クライアントとして機能する別の単一インスタンスの Elastic Beanstalk アプリケーションがあります。これらは、下の図の取り込みフィードです。

取り込みフィードには、取り込みフィードを開始/停止する管理ダッシュボードからヒットできる HTTP Rest エンドポイントがあります。

私が抱えている問題は、VPC の外部からの取り込みフィードを閉じる方法です。管理者ダッシュボードの Elastic Beanstalk アプリからのみ接続したいのですが。

しかし、Webソケットを介して外部サービスに接続できるようにしたい.

EC2 インスタンスがデータベースに読み書きできるように RDS セキュリティ グループを構成しようとしていますが、管理者のみがログイン資格情報を介して DB にアクセスできます。以下の私のセットアップはこれを達成しますか？管理者アクセスは SSH 経由でのみ行う必要がありますか?

EC2 セットアップ:

RDS セットアップ (EC2 セキュリティ グループ名に接続):

Application Load Balancer (ALB) 内にそれぞれ独自の TargetGroup を持つ Service にフックされた Tasks としてセットアップされた ECS の一連のサービスがあります。タスクは相互に接続できる必要があり、そのためには ALB へのイングレス アクセスが必要です。

これを機能させる唯一の方法は、ALB セキュリティ グループをすべての受信トラフィックに開放することです。または、ECS の各インスタンスにパブリック IP を許可することで、これは自動化するのが難しい設定です。

理想的には、EC2 インスタンス セキュリティ グループから ALB への着信要求を許可できますが、それはプライベート IP に対してのみ機能するため、解決されません。