Qual é a maneira preferida de configurar o Amazon Security Groups para obter uma arquitetura multicamada?
Cada uma das minhas instâncias tem seu próprio grupo de segurança, que eu só quero usar para regras específicas de uma instância. Gostaria de manter as regras que se aplicam a várias instâncias em um Grupo de segurança separado, que pode ser atribuído a grupos de segurança da instância, conforme necessário.
Como exemplo, configurei um grupo chamado "admin", que permite acesso administrativo do meu IP. Eu adicionei o grupo "admin" como a fonte para cada um dos meus grupos de segurança de instância. No entanto, ainda não consigo acessar as instâncias do meu IP sem adicionar as regras diretamente ao grupo da instância.
Estou faltando alguma coisa? Embora pareça que uma arquitetura de segurança multicamada deva ser possível, ela não parece estar funcionando.
Eu configurei como: -
Group web
Perm 0.0.0.0/0 ports 80,443
Group tomcat
Perm web port 8009
Group application
Perm tomcat ports 42000-42300
Group db
Perm application 1521
Perm tomcat 1521
Group ssh
perm x.x.x.x/32 22
Tudo é atribuído a ssh e, em seguida, cada servidor obtém o que é necessário para executar seu trabalho. Então, um servidor tem ssh, aplicativo e db para 1521, 42000-42300 & 22 estão todos abertos.
Parece funcionar muito bem.
Você pode tentar adicionar o grupo de administradores aos grupos de segurança específicos da instância. A seção nas regras para um endereço IP de origem permite usar o nome de seus outros grupos de segurança. É assim que você pode obter sistemas em diferentes grupos de segurança para se comunicar também.