3

我在私有子网中有一些 EC2 实例需要访问 DynamoDB 和 KMS。由于 VPC 终端节点目前不支持其中任何一个,因此我需要通过 NAT 网关授予 Internet 访问权限。

我想将安全组出口规则限制为仅这 2 个服务,但迄今为止我发现的唯一信息是 @ http://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges。 html

是否有其他人能够将安全组出口规则限制为仅包含 AWS 服务?

从我可以看到 EC2 服务条目是 AMAZON 服务条目的一个子集,所以我猜我是否要包括 EC2 列表中不存在的所有 CIDR 块,这将使我拥有所有其他 AWS 服务 IP ?

我知道这些是动态的,因此需要订阅和处理更新。

提前致谢

4

1 回答 1

1

一种选择是在安全组中使用 AWS 服务 DNS 名称(例如 dyanamodb.amazonaws.com),但 SG 不允许这样做。所以你有2个选择:

  1. 允许所有出站访问

  2. 使用代理之类的squid代理。将路由添加到您的私有子网以将 Internet 流量路由到代理,并且代理通过 NAT 连接到 Internet。在代理中,您可以添加规则以仅允许对所需服务的流量和对所有其他流量的显式拒绝

于 2016-04-04T14:10:28.430 回答