O que acontece quando atribuo vários grupos de segurança a uma instância? É permissivo no sentido de que o tráfego é permitido se qualquer um dos grupos de segurança permitir. OU é restritivo no sentido de que todo grupo de segurança deve permitir o tráfego para que ele seja passado?
Por exemplo, digamos que eu tenha uma classe de instâncias que sempre fale com outras instâncias na mesma conta. Eu também tenho uma classe de instâncias que só aceitam tráfego via HTTP (porta 80).
É possível restringir o acesso a instâncias internas e somente via HTTP criando e aplicando dois grupos de segurança:
OU sou forçado a criar um único grupo de segurança que permita o tráfego da porta 80 onde a fonte é ela mesma?
Se uma instância tiver vários grupos de segurança, ela terá a soma de todas as regras nos vários grupos.
For example, lets say I have a class of instances that will only ever talk to other instances in the same account. I also have a class of instances that will only accept traffic via http (port 80).
Esta é uma situação perfeita para o AWS Virtual Private Cloud. Coloque as instâncias internas em sub-redes privadas e as instâncias públicas em sub-redes públicas.
Permissivo.
De acordo com a AWS aqui: link
"Se houver mais de uma regra para uma porta específica, aplicamos a regra mais permissiva. Por exemplo, se você tiver uma regra que permita acesso à porta TCP 22 (SSH) do endereço IP 203.0.113.1 e outra regra que permite acesso à porta TCP 22 de todos, todos têm acesso à porta TCP 22. "
Aqui está a resposta do suporte à documentação da AWS. Eles disseram que atualizariam a documentação:
Encontrei algumas postagens em fóruns de discussão que abordam problemas semelhantes com regras conflitantes em um ou mais grupos de segurança:
Quando vários grupos de segurança são aplicados a uma instância, as regras são agregadas para criar um grande conjunto de regras. No EC2, as regras do grupo de segurança são apenas permissivas, em outras palavras, você não pode adicionar nenhuma regra DENY. O que isto significa é que a regra mais permissiva sempre será aplicada. Por exemplo, se você tiver um grupo de segurança que permita acesso à porta 22 do endereço IP 10.10.10.10 e outro grupo de segurança que permita acesso à porta 22 de todos, todos terão acesso à porta 22 na instância.
Quando você especifica um grupo de segurança como a origem ou o destino de uma regra, a regra afeta todas as instâncias associadas ao grupo de segurança. O tráfego de entrada é permitido com base nos endereços IP privados das instâncias associadas ao grupo de segurança de origem (e não nos endereços IP públicos ou Elastic IP). Para obter mais informações sobre endereços IP, consulte Endereçamento IP da instância do Amazon EC2. Se a sua regra do grupo de segurança fizer referência a um grupo de segurança em uma VPC do mesmo nível e o grupo de segurança referenciado ou a conexão de emparelhamento VPC for excluído, a regra será marcada como obsoleta. Para obter mais informações, consulte Trabalhando com regras de grupo de segurança obsoletas no Amazon VPC Peering Guide.
Se houver mais de uma regra para uma porta específica, aplicamos a regra mais permissiva. Por exemplo, se você tiver uma regra que permita acesso à porta TCP 22 (SSH) do endereço IP 203.0.113.1 e outra regra que permita acesso à porta TCP 22 de todos, todos terão acesso à porta TCP 22.
Quando você associa vários grupos de segurança a uma instância, as regras de cada grupo de segurança são efetivamente agregadas para criar um conjunto de regras. Usamos esse conjunto de regras para determinar se devemos permitir o acesso.
Cuidado Como você pode atribuir vários grupos de segurança a uma instância, uma instância pode ter centenas de regras aplicáveis. Isso pode causar problemas quando você acessa a instância. Portanto, recomendamos que você restrinja suas regras o máximo possível.