ec2服務策略限制創建入站ssh公共訪問
[英]ec2 service policy to restrict the creation of inbound ssh public access
問題描述
我需要創建一個 AWS 服務控制策略來限制為 ssh 創建入站規則,並通過安全組進行公共訪問。
我已經嘗試過使用下面的 JSON 腳本,但我搞砸了。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:UpdateSecurityGroupRuleDescriptionsEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:UpdateSecurityGroupRuleDescriptionsIngress"
],
"Resource": "arn:aws:ec2:*:352571213128:security-group/*",
"Condition": {
"ForAnyValue:NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
不過,可以創建 0.0.0.0/0 的入站規則。 需要:我只需要 ssh 協議。
2 個解決方案
解決方案1
1 2020-04-16 06:03:04
可以創建 0.0.0.0/0 的入站規則。
據我所知,SourceIp 表示創建資源 (sg) 的調用 aws 客戶端的 IP,而不是資源中的值
我不確定您是否可以使用策略在 SG 中強制執行值。
通過安全組通過公共訪問限制為 ssh 創建入站規則
我相信您可以使用 AWS Config 檢查公共 ssh 組(然后您可以使用 lambda 來刪除或更新 sg)
已經有一個 aws config “restricted-ssh” 托管規則,盡管它僅適用於 ipv4,因此您可能需要創建自己的規則以確保特定值或 ipv6 支持
解決方案2
1 2020-04-16 07:49:48
通常,您將使用自動化腳本(例如使用 CloudFormation 或 Terraform)來執行此操作,您可以通過它們傳遞已經存在/創建的安全組,該安全組將具有給定 IP 的端口 22 限制。 如果沒有,您將首先創建安全組,然后將其附加到新創建的 EC2 實例。
如果您手動執行此操作,則在創建 EC2 實例后,您需要將 go 安全組附加到它,並手動將 IP 范圍從 0.0.0.0/0 更改為您的特定 ZA12A3079E14CED46E69BA25。
在 AWS 中,拒絕使用 JSON 向 IAM 用戶刪除 EC2 區域中特定可用區中卷的權限的策略
[英]In AWS, policy to deny permissions to delete volume in particular availability zone in region in EC2 with JSON to IAM user
"如何從 aws ec2 describe-instances 獲取公共 dns 名稱"
[英]How to get public dns name from aws ec2 describe-instances
基於 IAM 用戶標簽限制 S3 訪問(前綴)的 AWS IAM 策略
[英]AWS IAM Policy To Restrict S3 Access (Prefix) Based On IAM User's Tag
Azure 將基於角色的訪問控制 (IAM) 限制在 Azure 中的資源組級別的用戶的策略
[英]Azure Policy to restrict role based access control(IAM) to users at Resource group level in Azure
將 IAM 策略添加到 AWS Secret Manager 以限制 IP 訪問的正確語法是什么
[英]What is the right syntax for an IAM policy to add to AWS Secret Manager to restrict access by IP
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
允許用戶在有限制的情況下啟動 EC2 的 IAM 策略
JSON格式錯誤-Amzon EC2實例創建
從ec2創建寄存器中提取volume_id
用於限制公共訪問的簡單數據存儲架構
在 AWS 中,拒絕使用 JSON 向 IAM 用戶刪除 EC2 區域中特定可用區中卷的權限的策略
"如何從 aws ec2 describe-instances 獲取公共 dns 名稱"
基於 IAM 用戶標簽限制 S3 訪問(前綴)的 AWS IAM 策略
Azure 將基於角色的訪問控制 (IAM) 限制在 Azure 中的資源組級別的用戶的策略
將 IAM 策略添加到 AWS Secret Manager 以限制 IP 訪問的正確語法是什么
EC2 resourcetag,帶有冒號的aws
相關標簽