Whitelist vários IPs públicos entre grupos de segurança na AWS

1

Temos um grupo de 50 servidores externos (não AWS) que precisamos colocar em listas de permissões em muitos (~ 50) grupos de segurança (vpc). Além da restrição no número de regras, adicionar e remover entradas para / de todos os grupos, um a um, é uma dor.

Eu tentei adicionar todos os IPs externos a um SG separado e colocar na lista de permissões esse SG em outros SGs, mas aparentemente isso funciona apenas para instâncias internas (AWS) 1 .

[1] Não é possível conceder acesso a todos os servidores pertencentes a um grupo de segurança no AWS

Existe alguma outra maneira de conseguir isso?

    
por galactocalypse 16.09.2016 / 00:50

1 resposta

3

Quando você diz "lista de permissões que SG em outros SGs", o que exatamente você quer dizer?

Eu simplesmente criaria um único grupo de segurança com essas regras e atribuiria esse grupo de segurança a todas as instâncias. Uma instância pode ter vários grupos de segurança e as regras são aditivas em um sentido permissivo. isto é, negação padrão, a menos que qualquer regra em qualquer grupo de segurança permita o acesso. Você terá que criar novas instâncias para alterar os grupos de segurança associados a uma instância do EC2, mas, uma vez associado aos grupos, as alterações feitas serão feitas em tempo real.

Você também pode fazer isso com ACLs de rede, que funcionam em um nível de sub-rede. Os NACLs são como um firewall, eles são executados no nível de sub-rede, embora cada NACL possa se aplicar a várias sub-redes. Eles podem adicionar mais regras de "negação" que se aplicam a todas as instâncias na sub-rede, mas não podem abrir as portas que os grupos de segurança fecharam. Lembre-se de que eles são sem estado, então você precisa adicionar regras de entrada e saída.

Observe que a pergunta / resposta à qual você está vinculado é uma situação muito específica que não se aplica a você, no que diz respeito ao uso de IPs privados ou públicos. Grupos de segurança se aplicam a IPs privados de EC2 ou IPs públicos. Por exemplo, eu tenho grupos de segurança configurados que permitem acesso somente pelo meu provedor de CDN e pelo meu endereço IP residencial, que são definitivamente IPs públicos.

    
por 16.09.2016 / 01:48