[英]Is there an AWS security group rule specifically allowing access to AWS KMS?
我有一个在 EC2 中运行的 node.js 服务器,它使用 AWS KMS 来加密/解密数据。 我可以成功地使用 aws-sdk 来执行我的任务
const AWS = require('aws-sdk');
const kms = new AWS.KMS();
kms.decrypt( ... )
我现在想使用安全组锁定我的基础设施。 如果没有允许所有流量的传出规则,我无法确定使用什么规则来允许此服务器访问 AWS KMS 资源:
Outbound rules:
Type | Protocol | Port range | Destination
All traffic | All | All | 0.0.0.0/0
All traffic | All | All | ::/0
这可能有点过分,但我是否可以使用专门允许出站访问 AWS KMS 服务的规则?
CIDR block, a security group ID or a prefix list has to be specified ,因此我无法使用 KMS 服务 object 中的端点主机名或 href:
kms Service {
...
isGlobalEndpoint: false,
endpoint: Endpoint {
protocol: 'https:',
host: 'kms.eu-west-2.amazonaws.com',
port: 443,
hostname: 'kms.eu-west-2.amazonaws.com',
pathname: '/',
path: '/',
href: 'https://kms.eu-west-2.amazonaws.com/'
},
...
}
检查https://kms.eu-west-2.amazonaws.com/的远程地址提供 52.94.48.24:443 的52.94.48.24:443地址。 在特定规则中使用它会间歇性地工作,但我找不到任何 AWS 文档表明这个 IP 地址是固定的。 我想它不是。
Type | Protocol | Port range | Destination
HTTPS | TCP | 443 | 52.94.48.24/32
非常感谢任何指导!
谢谢。
我假设通过锁定您的基础设施,我们了解到您将 EC2 实例设置为私有子网。 在这种情况下,您应该为 KMS 服务创建一个VPC Endpoint 。
VPC 终端节点将在您的子网中具有网络接口,该接口将为每个子网提供私有 IP 地址以及潜在的私有 DNS 主机名(如果 VPC 启用了此属性)。
此外,您可以允许基于安全组的 EC2 实例和 VPC 端点之间的流量(无需指定 IP)。
如何使用 terraform 创建允许来自任何地方的 RDP 端口的 aws 安全组规则?
[英]How to create an aws security group rule allowing RDP ports from anywhere using terraform?
AWS 安全组:入站规则的来源与安全组名称相同吗?
[英]AWS Security group : source of inbound rule same as security group name?
带有 Terraform 的 AWS - 安全组规则中的安全组参数
[英]AWS with Terraform - security groups argument inside a security group rule
AWS Elastic Load Balancing安全组不允许入站呼叫
[英]Aws Elastic Load Balancing security group not allowing inbound calls
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.