0

我有一个带有 SG (ALB_SG) 的 ALB,我只想授予对已在同一 VPC 中的另一个 SG (Whitelist_SG) 中定义的 IP 列表的访问权限。

我为 ALB_SG 创建了 2 个(相关的)入口规则。

  1. 来自 Whitelist_SG 的 443 个入口
  2. 来自 Whitelist_SG 的 80 个入口

在 Whitelist_SG 中,我有一个来自允许所有端口的相关 CIDR 块的入口列表。

当我访问 ALB 时,我正在超时(SG 不良的迹象)。如果我将 Whitelist_SG 直接添加到 ALB,它就可以工作。

为了使嵌套规则起作用,我缺少什么?

顺便说一句,我知道当我通过嵌套规则将 Whitelist_SG 添加到 EC2 实例时,我还必须将其添加到实例网络适配器。我假设它在这里是这样的。

4

1 回答 1

2

AWS 安全组的工作方式与您尝试使用它们的方式不同。没有像您正在尝试的“嵌套”或“链接”安全组的概念。

从另一个安全组引用一个安全组的能力仅适用于允许一个安全组的成员访问另一个安全组的成员。安全组成员资格仅适用于在您的 VPC(或对等 VPC)中运行的 EC2 实例、Lambda 函数等资源。

例如,将您的笔记本电脑的 IP 地址添加到安全组 A 只会让您的笔记本电脑访问安全组 A 直接连接的任何内容。它不会使您的笔记本电脑成为安全组 A 的“成员”。

于 2020-09-30T14:35:27.413 回答