[英]ec2 service policy to restrict the creation of inbound ssh public access
我需要創建一個 AWS 服務控制策略來限制為 ssh 創建入站規則,並通過安全組進行公共訪問。
我已經嘗試過使用下面的 JSON 腳本,但我搞砸了。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:UpdateSecurityGroupRuleDescriptionsEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:UpdateSecurityGroupRuleDescriptionsIngress"
],
"Resource": "arn:aws:ec2:*:352571213128:security-group/*",
"Condition": {
"ForAnyValue:NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
不過,可以創建 0.0.0.0/0 的入站規則。 需要:我只需要 ssh 協議。
可以創建 0.0.0.0/0 的入站規則。
據我所知,SourceIp 表示創建資源 (sg) 的調用 aws 客戶端的 IP,而不是資源中的值
我不確定您是否可以使用策略在 SG 中強制執行值。
通過安全組通過公共訪問限制為 ssh 創建入站規則
我相信您可以使用 AWS Config 檢查公共 ssh 組(然后您可以使用 lambda 來刪除或更新 sg)
已經有一個 aws config “restricted-ssh” 托管規則,盡管它僅適用於 ipv4,因此您可能需要創建自己的規則以確保特定值或 ipv6 支持
通常,您將使用自動化腳本(例如使用 CloudFormation 或 Terraform)來執行此操作,您可以通過它們傳遞已經存在/創建的安全組,該安全組將具有給定 IP 的端口 22 限制。 如果沒有,您將首先創建安全組,然后將其附加到新創建的 EC2 實例。
如果您手動執行此操作,則在創建 EC2 實例后,您需要將 go 安全組附加到它,並手動將 IP 范圍從 0.0.0.0/0 更改為您的特定 ZA12A3079E14CED46E69BA25。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.