问题标签 [amazon-acl]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
0 回答
108 浏览

amazon-waf - 将访问控制列表与 AWS 中的应用程序负载均衡器相关联

在 AWS 中,我创建了一个访问控制列表作为设置 WAF 的一部分。

我有几个应用程序负载均衡器(在 EC2 的负载均衡器下找到)。

这些都不会作为用于将 ACL 关联到 ALB 的下拉列表中的选项出现,事实上,当尝试关联下拉列表时,下拉列表是空的。

尝试将应用程序负载平衡器链接到访问控制列表的屏幕截图

一切都共享同一个区域,所以我不确定为什么没有看到这些应用程序负载均衡器。

我不确定它是否相关,但 ALB 被列为“经典”类型。

我发现这个部门缺少亚马逊文档,任何帮助将不胜感激。

0 投票
1 回答
261 浏览

amazon-web-services - VPC 中 ECS 主机的 AWS 出站规则

我正在尝试设置我的 ECS 主机,因此出站规则不允许全世界,与此问题非常相似。理想的方法是直接指向 NAT 网关,但根据Amazon,这是不可能的:

请注意,安全组不能直接与 NAT 网关关联。相反,客户可以使用 EC2 实例安全组出站规则来控制授权的网络目标或利用与 NAT 网关的子网关联的网络 ACL 来对 NAT 网关流量实施子网级别的控制。

如何为 ECS 主机设置代理或 ACL?

0 投票
1 回答
250 浏览

amazon-ec2 - AWS WAF ACL 的规则是强制性的吗?

我是 AWS 新手,从事 AWS WAF 工作并创建 ACL。在此情况下,您必须编写自定义条件和规则,并将它们关联到负载均衡器。

因此,您的传入流量将由您的 ACL 规则处理。

但是如果我不想制定任何条件和规则,我只是制定一个空规则并将其分配给 ACL,那么 ACL 不能自己处理其默认条件检查吗?

Microsoft Azure 应用程序网关内置规则,基本攻击无需编写任何条件,那么 AWS WAF 中是否有可用的功能?

ACL的规则是不是必须要写?ACL 本身不处理一些基本攻击吗?

0 投票
1 回答
784 浏览

amazon-web-services - 如何仅允许单个 IP 地址访问在 AWS EC2 上的浏览​​器中运行的 Jupyter Notebook?

我试图只允许一个 IP 地址访问我的 jupyter 笔记本,该笔记本在 ec2 实例的浏览器中运行。

我尝试在我的 acl 中设置入站规则,以仅允许来自我的 IP 地址的所有流量。此外,我尝试使用安全组进行操作。哪个是更合适的选择?

我的最终目标是根据他们的 IP 地址从我们较小的位置之一向有限数量的用户授予访问权限。

谢谢你的帮助!

0 投票
0 回答
238 浏览

amazon-web-services - 为什么我的 AWS NACL 只允许使用“所有流量”或“所有 TCP”入站规则进行 HTTP 访问?

我设置了一个带有 3 个子网的 AWS VPC - 1 个公共子网和 2 个私有子网。我有一个 EC2 实例,其关联的 Elastic Block Store(EBS 包含我的网站)在公共子网中运行,而 MySQL 数据库在私有子网中。附加到 EC2 实例的安全组允许来自任何来源的入站 HTTP 访问,以及仅来自我的 IP 地址的 SSH 访问。出站安全规则允许所有流量到达所有目的地。与数据库关联的安全组仅允许对入站和出站流量进行 MySQL/Aurora 访问,源和目标是公共访问安全组。

这一切都运行得很好,但是当我开始为子网设置 NACL 时,我遇到了一个我无法弄清楚的障碍。如果我将公共子网的 NACL 上的入站规则更改为“所有流量”或“所有 TCP”以外的任何内容,我会从我的网站收到错误响应:Unable to connect to the database: Connection timed out. 2002.我已尝试使用所有可用选项并始终得到此结果。我还从附加到私有子网的 NACL 中得到了一个意外的结果:如果我拒绝所有入站和出站流量的访问(即删除除默认的“全部拒绝”规则之外的所有规则),网站将继续正常运行(前提是公共子网的 NACL 上的入站规则设置为“所有流量”或“所有 TCP”)。

此处提出了类似的问题,但答案基本上是不打扰使用 NACL,而不是解释如何正确使用它们。我正在学习 AWS 解决方案架构师认证,因此显然需要了解它们的用法,在我的实际示例中,AWS 推荐的 NACL 设置都不起作用。

0 投票
1 回答
108 浏览

amazon-web-services - 为什么我不能使用 VPC NACL 来加强安全性?

我在 AWS 研究中遇到了以下场景问题:

您有一个在由应用程序负载均衡器 (ALB)、应用程序服务器和数据库组成的 VPC 中运行的企业对企业 Web 应用程序。您的 Web 应用程序应该只接受来自预定义客户 IP 地址的流量。哪两个选项满足此安全要求?选择 2 个答案

选项:

正确答案

我的问题是为什么 E 在这里不是一个公认的答案?

非常感谢,感谢任何启发。

0 投票
1 回答
894 浏览

amazon-web-services - AWS WafV2 OR 语句/IPSetReference

我想了解这个很棒的文档: https ://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-wafv2-webacl-orstatementone.html

这告诉我这样写:

我想要做什么: 我想确保 IP 位于我创建的三个不同 IPSet 中的两个之一中。我想避免创建多个规则,因为据我了解,每个规则每月花费 1 美元。我想要拥有多个 IP 集的唯一原因是要明确为什么将每个 IP 添加到每个集。(家庭办公室、常规办公室、顾问等)。

我已经尝试了一些变体:

这甚至可能吗?如果是怎么办?还是我应该去合并 IpSets/Do 单独的规则?

我似乎可以通过控制台做到这一点,所以它似乎应该是可能的......

0 投票
0 回答
26 浏览

amazon-s3 - 允许访问多个帐户以访问 S3 存储桶的子集

我有一个 S3 存储桶,它为每个用户提供一个目录(前缀),我想让每个用户(其他 AWS 账户)只访问他们的对象,我还想使用请求者支付所有传输费用。一些想法:

1.使用桶策略

我还没有对此进行测试,但我认为可以通过为每个帐户附加与此类似的策略来做到这一点:

在这里,可以通过在他们的帐户中定义的 ,user-1访问他们的对象并列出他们的目录。external-role-1这种方法的唯一问题是这 2 个块大约 500 字节,存储桶策略限制为 20 KB,因此每个存储桶最多可以容纳约 40 个用户。

2.为我的账户中的每个用户创建一个角色,并允许外部用户承担它

这通过将 JSON 分布在许多 IAM 角色中来避免上述问题。这种方法的问题在于,这会破坏请求者的付费。

当请求者在提出请求之前担任 AWS Identity and Access Management (IAM) 角色时,该角色所属的账户将针对该请求收费。

https://docs.aws.amazon.com/AmazonS3/latest/userguide/RequesterPaysBuckets.html

3. 使用Object ACL或标记来控制对Object的访问

通过避免GetObject策略,这可以使容量从 #1 翻倍,但ListBucket仍然需要每个用户的策略。

这些都不完全满足我想要实现的目标,有更好的方法吗?有没有办法为每个用户创建一个 IAM 策略,然后将其附加到他们的外部 IAM 角色?

0 投票
0 回答
1528 浏览

amazon-web-services - 使用公共 IP 的私有子网中的 Fargate 任务的 ECR 拉取失败

首先感谢谁能回答这个问题。这是我在这里的第一篇文章,所以我会尽量说清楚。

我有一个配置了 2 个 Fargate 任务的 ECS 集群。ECS 设置在分配给私有子网(附加了 NAT)的 VPC 中,这些任务也有一个公共 ip(我相信这不应该是这种情况?)

其中一个任务基本上是一个 API,另一个是网页的前端。

除此之外,我们还有一个面向 Internet 的 ALB。这分配给公共子网(带有 IGW)

我决定探索使用 NACLS 并且由于某种原因只有这条规则有效(显然):

入境:

规则编号 类型 协议 端口范围 资源 允许否认
1 所有流量 全部 全部 0.0.0.0/0 允许

出境:

规则编号 类型 协议 端口范围 目的地 允许否认
1 所有流量 全部 全部 0.0.0.0/0 允许

我想为公共子网和私有子网给出明确的规则。我已经创建了 2 个 NACL 组和与它们关联的子网。

对于面向 Internet 的负载均衡器的公共子网。这是我的规则:

公共NACL:

入境:

规则编号 类型 协议 端口范围 资源 允许否认
100 HTTPS TCP(6) 443 0.0.0.0/0 允许
110 风俗 TCP(6) 1024-65535 1x.xx.xx.xx/16 允许

出境:

规则编号 类型 协议 端口范围 目的地 允许否认
100 HTTPS TCP(6) 443 1x.xx.xx.xx/16 允许
110 风俗 TCP(6) 3003 1x.xx.xx.xx/16 允许
120 风俗 TCP(6) 1024-65535 0.0.0.0/0 允许

在私有子网中,NACL 规则如下:

入境:

规则编号 类型 协议 端口范围 资源 允许否认
100 HTTPS TCP(6) 443 0.0.0.0/0 允许
110 风俗 TCP(6) 1024-65535 1x.xx.xx.xx/16 允许

出境:

规则编号 类型 协议 端口范围 目的地 允许否认
100 HTTPS TCP(6) 443 1x.xx.xx.xx/16 允许
110 SMTP TCP(6) 25 0.0.0.0/0 允许
120 SMTPS TCP(6) 465 0.0.0.0/0 允许
130 风俗 TCP(6) 1024-65535 0.0.0.0/0 允许

该服务将运行一段时间没有任何问题,我的网站将正常运行。但是有时我会收到 504 错误,当我回到我的 ECS 时。我看到任务恢复到 PROVISIONING -> PENDING.... 大约 5-10 分钟后停止。我得到的错误是这样的:

ResourceInitializationError:无法提取机密或注册表身份验证:拉命令失败::信号:已杀死 NACL

修复它的唯一方法是恢复默认允许所有入站出站规则。

知道是什么原因造成的吗?是否是分配给导致冲突的 fargate 任务的公共 IP 地址?ECR 存储库位于另一个 aws 帐户上。我相信 IAM 角色权限是正确的,否则即使使用默认的 NACL 规则,它也无法提取图像。感谢任何帮助,因为我不知所措。谢谢

0 投票
1 回答
32 浏览

amazon-web-services - AWS CLI 计算每个 NACL 的 NACL 规则数

我正在尝试找到一种使用 aws cli 计算每个 NACL 的 NACL 规则数量的快速方法。我希望将其显示为一个表格,左栏有名称标签,右栏有 NACL 的数量。有谁知道这是否可能?

如果不可能,即使是带有每个 NACL 规则数的 NACL 名称的输出也将是完美的