用于AWS服务的AWS私有子网安全组出口白名单?
[英]AWS private subnet security group egress whitelist for AWS services?
问题描述
我在私有子网中有一些需要访问DynamoDB和KMS的EC2实例。 由于此时VPC端点不支持这两种端点,因此我需要通过NAT网关授予Internet访问权限。
我想将安全组出口规则限制为仅这两项服务,但我迄今发现的唯一信息是@ http://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges。 HTML
是否有其他人能够将安全组出口规则限制为仅包含AWS服务?
从我所看到的EC2服务条目是AMAZON服务条目的子集,所以我猜测我是否要包含EC2列表中不存在的所有CIDR块,这些块将留给我所有其他AWS服务IP ?
我知道这些是动态的,因此需要订阅和处理更新。
提前致谢
拍
1 个解决方案
解决方案1
1 2016-04-04 14:10:28
一种选择是在安全组中使用AWS服务DNS名称(例如dyanamodb.amazonaws.com),但SG不允许。 所以你有两个选择:
允许所有出站访问
使用像
squid代理这样的代理。 添加到您的私有子网的路由以将Internet流量路由到代理,并且代理通过NAT连接到Internet。 在代理中,您可以添加规则以仅允许流量到期望的服务,并允许显式拒绝所有其他流量
AWS Cloudformation - 向安全组出口规则添加条件
[英]AWS Cloudformation - Add condition to security group egress rule
为什么我们需要AWS中的私有子网+ NAT转换? 我们不能只使用公共子网+正确配置的安全组吗?
[英]Why do we need a Private Subnet + NAT translation in AWS? Can't we just use a Public Subnet + a properly configured security group?
如何将 AWS RDS 安全组中的 Zapier IP 地址列入白名单
[英]How to whitelist Zapier IP addresses in AWS RDS security group
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
AWS 和 Terraform - 安全组中的默认出口规则
AWS Workspace 安全组出口要求
"从私有子网中的 lambda 访问 AWS 服务"
如何在 AWS 安全组中将 IPv6 列入白名单?
AWS Cloudformation - 向安全组出口规则添加条件
AWS Cloudformation:允许所有出口的安全组规则
为什么我们需要AWS中的私有子网+ NAT转换? 我们不能只使用公共子网+正确配置的安全组吗?
AWS安全组出口上的-1协议是什么意思?
如何将 AWS RDS 安全组中的 Zapier IP 地址列入白名单
如何在 EC2 安全组中将 AWS IP-Range 列入白名单?
相关标签