如何禁用 AWS 安全组内其他 AWS 区域的端口访问
How to disable port access from other AWS regions inside AWS security group
我想在 AWS 安全组中创建简单规则,默认情况下,该规则仅允许特定 AWS 区域(例如:us-east-1)中的实例 运行 访问特定端口.
我知道安全组绑定到特定的 AWS 区域,并且根据这个假设,我认为有一些直接的方法可以在安全组中为特定端口创建规则,这将禁用对来自其他 AWS 区域实例的请求的访问。
在 google-ing 期间,我在 AWS 上找到了特定区域的 ip 范围列表:https://ip-ranges.amazonaws.com/ip-ranges.json 但列表并不小,因此添加特定区域的所有 ip 范围列表将是我最后的选择。
提前致谢。
您引用的列表ip-ranges.json只列出了AWS资源,没有列出其他地区可能存在的其他IP地址。
安全组不绑定到 AWS 区域。安全组是附加到网络接口的软件定义网络 (SDN) 防火墙。安全组没有 AWS 区域的继承知识。
如果不使用地理定位,则没有可靠的方法可以知道流量到达您实例的 AZ 时的来源。 AWS 区域不只使用指定的 IP 地址范围。 AWS 区域可以随时更改寻址范围(添加、删除等)。 AWS 支持 Bring Your Own IP,这进一步使这成为不可能。
我想在 AWS 安全组中创建简单规则,默认情况下,该规则仅允许特定 AWS 区域(例如:us-east-1)中的实例 运行 访问特定端口. 我知道安全组绑定到特定的 AWS 区域,并且根据这个假设,我认为有一些直接的方法可以在安全组中为特定端口创建规则,这将禁用对来自其他 AWS 区域实例的请求的访问。
在 google-ing 期间,我在 AWS 上找到了特定区域的 ip 范围列表:https://ip-ranges.amazonaws.com/ip-ranges.json 但列表并不小,因此添加特定区域的所有 ip 范围列表将是我最后的选择。
提前致谢。
您引用的列表ip-ranges.json只列出了AWS资源,没有列出其他地区可能存在的其他IP地址。
安全组不绑定到 AWS 区域。安全组是附加到网络接口的软件定义网络 (SDN) 防火墙。安全组没有 AWS 区域的继承知识。
如果不使用地理定位,则没有可靠的方法可以知道流量到达您实例的 AZ 时的来源。 AWS 区域不只使用指定的 IP 地址范围。 AWS 区域可以随时更改寻址范围(添加、删除等)。 AWS 支持 Bring Your Own IP,这进一步使这成为不可能。