[英]Automatically add a range of IP in security group in AWS
我的RDS實例配置為僅接受來自EC2安全組的連接。 我通過SSH連接SQL客戶端。
可以,但是現在,我有一個外部服務也需要連接數據庫。
該服務告訴我他將使用以下IP范圍: https : //ip-ranges.amazonaws.com/ip-ranges.json
因此,我必須在RDS安全組中將其列入白名單。
我的問題:如何將此json自動添加到我的SG。
謝謝
沒有自動方法來自動應用該IP范圍集。 您需要解析它並自己應用范圍。 使用您喜歡的首選工具(bash,python,c#,手動)。
但是,他提供給您的JSON文件是所有區域中所有AWS的IP范圍。
如果您的外部服務可以告訴您他們使用的區域,則可以顯着減少該列表。
例如,如果您可以將其減少到僅弗吉尼亞地區(us-east-1),則有187個IP塊可應用。
默認情況下,安全組的限制為50個規則。 每個網絡接口最多可以有5個網絡安全組。 所以基本上您在看250條規則的硬限制。
如果需要,您可以聯系AWS支持人員,他們可以通過將每個網絡接口的安全組限制降低到1,來將每個安全組的規則限制為250。或者您可以將最多250條規則分布在5個規則上安全組。
來源: Amazon VPC限制
如果需要超過250條規則,則需要使用2個以上的公共IP地址設置代理,以容納所需的額外安全組。
附加說明:
應用所有這些IP范圍將允許任何人從AWS實例連接到您的RDS實例。 這可能是一個太大的安全漏洞,無法打開。
您可以設置一個lambda函數來為您執行此操作。 這是AWS實驗室的python中的腳本示例,用於ELB安全組和cloudfront ip地址范圍。
https://github.com/awslabs/aws-cloudfront-samples/tree/master/update_security_groups_lambda
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.