Eu criei manualmente um novo grupo de segurança usando o AWS CLI.
Eu criei regras de ingresso que permitem conexões de entrada apenas do endereço IP público da minha empresa usando as portas conhecidas para SSH (22) e MySQL (3306).
Eu também excluí a regra de saída padrão que permite todas as conexões de saída e, em vez disso, criei uma regra de saída que permite apenas conexões de saída para o endereço IP público da minha empresa (mas todas as portas lá).
Essas regras funcionaram inicialmente bem, mas agora quero que minhas máquinas virtuais EC2 possam ler e gravar no S3. Infelizmente, os comandos do S3 estão falhando no momento. (Saída do console: "ERROR: [Errno 110] Tempo de conexão esgotado") Tenho certeza de que a causa é minha regra de saída inicial excessivamente restritiva.
Então, qual regra de egresso devo usar para permitir que minhas instâncias do AWS EC2 leiam e gravem no S3?
Uma pesquisa na Web encontrou esta discussão antiga sobre os fóruns da AWS . Se eu entendi corretamente, parece que a AWS se recusa a publicar os endereços IP do S3, porque eles querem a flexibilidade para mudar o material. Se isso for verdade, isso torna impossível especificar uma regra de saída para S3?
Este documento da AWS afirma: "Uma prática comum é use a configuração padrão, que permite qualquer tráfego de saída. " As pessoas usam o padrão para o tráfego de saída, em parte, para permitir conexões com o S3?
Observação: estou usando apenas o EC2-Classic, nunca o EC2-VPC.