我在 AWS 中有 2 个 EC2 实例(应用程序和堡垒)和一个 RDS 实例(数据库)。我希望我的 RDS 只能通过堡垒访问(当我作为管理员想要手动更改数据库中的内容时)和应用程序(用户可以在其中更改数据库但只能根据提供的功能应用)。对于 EC2 实例,我希望只能在我的笔记本电脑上访问堡垒(因此只有我可以执行管理员更改),并且我希望应用程序 EC2 实例可供 Internet 上的每个人使用(因为它是公共应用程序) . 我在 AWS 中配置了一些设置,如下所示,但我只是想确认以下假设是否正确,以及它们是否足以满足我上面概述的要求?
- 我已将应用程序 EC2 实例放置在公共子网中 - 这足以确保 Internet 上的任何人都可以(安全/可靠地)使用该应用程序吗?
- 我已将堡垒放置在不同的公共子网中,但它需要一个公钥/私钥对(只有我拥有)才能访问 - 这足以保证它的安全吗?
- 根据我的 RDS 实例的可用区,它似乎在一个子网中,当我检查路由表时,目标 0.0.0.0/0 的目标设置为 iw-..... 这是否意味着它是一个公共子网,如果那么有没有办法在不丢失与应用程序和堡垒 EC2 实例的连接的情况下将其顺利移动到私有子网?我还将公共可访问性设置为否,这是否意味着即使它在公共子网中也无法公开访问?