仅允许 ECR 请求的安全组出口规则
[英]Security group egress rule to only permit ECR requests
问题描述
使用 ECR 存储容器映像以供 ECS 使用时,EC2 实例(或 Fargate 服务)必须具有允许(通过公共 Internet)访问账户特定存储库 URI 的安全组。
许多组织都有严格的 IP 白名单规则,通常不允许为所有 IP 启用出站端口 443。
没有可用于 ECR 的 VPC 端点接口\/网关,并且大概像大多数 AWS 服务一样,它的 IP 地址是弹性的,并且可以随时更改。
那么,如何将出口规则添加到允许通过端口 443 对 ECR URI 进行出站访问的安全组,而不向所有 IP 地址开放呢?
3 个解决方案
解决方案1
2 已采纳 2018-11-07 14:53:48
尽管端点的 IP 地址可能会更改,但它只会更改为相当大的 CIDR 块中的另一个 IP 地址。 亚马逊在 .json 文件中发布了他们所有的 IP 地址范围,该文件可在此处获得:
https://aws.amazon.com/blogs/aws/aws-ip-ranges-json/
您可以将其缩小到您部署到的区域中 EC2 和 AMAZON 服务的 IP 地址范围。 虽然范围相当大。
解决方案2
0 2022-01-25 22:12:58
您可以使用 AWS PrivateLink 来实现这一点; 请参阅Amazon ECR 接口 VPC 终端节点 (AWS PrivateLink) 。
解决方案3
-3 2019-03-11 16:19:42
DNS (UDP) 53 for 0.0.0.0/0打开DNS (UDP) 53 for 0.0.0.0/0打开HTTPS 443 for 0.0.0.0/0
如何使用 append 或删除安全组的入口/出口规则 Terraform?
[英]How to append or delete the ingress/egress rule for a security group using Terraform?
AWS Cloudformation - 向安全组出口规则添加条件
[英]AWS Cloudformation - Add condition to security group egress rule
是否可以使用 Cloudformation 删除 aws 安全组默认出口允许所有规则?
[英]Is it possible to delete the aws Security Group Default Egress allow all Rule with Cloudformation?
授权安全组出口规则时出错:InvalidGroup.NotFound
[英]Error authorizing security group egress rules: InvalidGroup.NotFound
JWT 已启用 Spring 安全配置以允许对 Swagger UI 的所有请求
[英]JWT enabled Spring Security configuration to permit all requests to Swagger UI
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
AWS 和 Terraform - 安全组中的默认出口规则
如何使用 append 或删除安全组的入口/出口规则 Terraform?
AWS Cloudformation - 向安全组出口规则添加条件
AWS Cloudformation:允许所有出口的安全组规则
是否可以使用 Cloudformation 删除 aws 安全组默认出口允许所有规则?
AWS Workspace 安全组出口要求
授权安全组出口规则时出错:InvalidGroup.NotFound
AWS安全组出口上的-1协议是什么意思?
用于AWS服务的AWS私有子网安全组出口白名单?
JWT 已启用 Spring 安全配置以允许对 Swagger UI 的所有请求
相关标签