[英]Automatically add a range of IP in security group in AWS
我的RDS实例配置为仅接受来自EC2安全组的连接。 我通过SSH连接SQL客户端。
可以,但是现在,我有一个外部服务也需要连接数据库。
该服务告诉我他将使用以下IP范围: https : //ip-ranges.amazonaws.com/ip-ranges.json
因此,我必须在RDS安全组中将其列入白名单。
我的问题:如何将此json自动添加到我的SG。
谢谢
没有自动方法来自动应用该IP范围集。 您需要解析它并自己应用范围。 使用您喜欢的首选工具(bash,python,c#,手动)。
但是,他提供给您的JSON文件是所有区域中所有AWS的IP范围。
如果您的外部服务可以告诉您他们使用的区域,则可以显着减少该列表。
例如,如果您可以将其减少到仅弗吉尼亚地区(us-east-1),则有187个IP块可应用。
默认情况下,安全组的限制为50个规则。 每个网络接口最多可以有5个网络安全组。 所以基本上您在看250条规则的硬限制。
如果需要,您可以联系AWS支持人员,他们可以通过将每个网络接口的安全组限制降低到1,来将每个安全组的规则限制为250。或者您可以将最多250条规则分布在5个规则上安全组。
来源: Amazon VPC限制
如果需要超过250条规则,则需要使用2个以上的公共IP地址设置代理,以容纳所需的额外安全组。
附加说明:
应用所有这些IP范围将允许任何人从AWS实例连接到您的RDS实例。 这可能是一个太大的安全漏洞,无法打开。
您可以设置一个lambda函数来为您执行此操作。 这是AWS实验室的python中的脚本示例,用于ELB安全组和cloudfront ip地址范围。
https://github.com/awslabs/aws-cloudfront-samples/tree/master/update_security_groups_lambda
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.