在 AWS 中，我创建了一个访问控制列表作为设置 WAF 的一部分。

我有几个应用程序负载均衡器（在 EC2 的负载均衡器下找到）。

这些都不会作为用于将 ACL 关联到 ALB 的下拉列表中的选项出现，事实上，当尝试关联下拉列表时，下拉列表是空的。

一切都共享同一个区域，所以我不确定为什么没有看到这些应用程序负载均衡器。

我不确定它是否相关，但 ALB 被列为“经典”类型。

我发现这个部门缺少亚马逊文档，任何帮助将不胜感激。

我正在尝试设置我的 ECS 主机，因此出站规则不允许全世界，与此问题非常相似。理想的方法是直接指向 NAT 网关，但根据Amazon，这是不可能的：

请注意，安全组不能直接与 NAT 网关关联。相反，客户可以使用 EC2 实例安全组出站规则来控制授权的网络目标或利用与 NAT 网关的子网关联的网络 ACL 来对 NAT 网关流量实施子网级别的控制。

如何为 ECS 主机设置代理或 ACL？

我是 AWS 新手，从事 AWS WAF 工作并创建 ACL。在此情况下，您必须编写自定义条件和规则，并将它们关联到负载均衡器。

因此，您的传入流量将由您的 ACL 规则处理。

但是如果我不想制定任何条件和规则，我只是制定一个空规则并将其分配给 ACL，那么 ACL 不能自己处理其默认条件检查吗？

Microsoft Azure 应用程序网关内置规则，基本攻击无需编写任何条件，那么 AWS WAF 中是否有可用的功能？

ACL的规则是不是必须要写？ACL 本身不处理一些基本攻击吗？

我试图只允许一个 IP 地址访问我的 jupyter 笔记本，该笔记本在 ec2 实例的浏览器中运行。

我尝试在我的 acl 中设置入站规则，以仅允许来自我的 IP 地址的所有流量。此外，我尝试使用安全组进行操作。哪个是更合适的选择？

我的最终目标是根据他们的 IP 地址从我们较小的位置之一向有限数量的用户授予访问权限。

谢谢你的帮助！

我设置了一个带有 3 个子网的 AWS VPC - 1 个公共子网和 2 个私有子网。我有一个 EC2 实例，其关联的 Elastic Block Store（EBS 包含我的网站）在公共子网中运行，而 MySQL 数据库在私有子网中。附加到 EC2 实例的安全组允许来自任何来源的入站 HTTP 访问，以及仅来自我的 IP 地址的 SSH 访问。出站安全规则允许所有流量到达所有目的地。与数据库关联的安全组仅允许对入站和出站流量进行 MySQL/Aurora 访问，源和目标是公共访问安全组。

这一切都运行得很好，但是当我开始为子网设置 NACL 时，我遇到了一个我无法弄清楚的障碍。如果我将公共子网的 NACL 上的入站规则更改为“所有流量”或“所有 TCP”以外的任何内容，我会从我的网站收到错误响应：Unable to connect to the database: Connection timed out. 2002.我已尝试使用所有可用选项并始终得到此结果。我还从附加到私有子网的 NACL 中得到了一个意外的结果：如果我拒绝所有入站和出站流量的访问（即删除除默认的“全部拒绝”规则之外的所有规则），网站将继续正常运行（前提是公共子网的 NACL 上的入站规则设置为“所有流量”或“所有 TCP”）。

此处提出了类似的问题，但答案基本上是不打扰使用 NACL，而不是解释如何正确使用它们。我正在学习 AWS 解决方案架构师认证，因此显然需要了解它们的用法，在我的实际示例中，AWS 推荐的 NACL 设置都不起作用。

我在 AWS 研究中遇到了以下场景问题：

您有一个在由应用程序负载均衡器 (ALB)、应用程序服务器和数据库组成的 VPC 中运行的企业对企业 Web 应用程序。您的 Web 应用程序应该只接受来自预定义客户 IP 地址的流量。哪两个选项满足此安全要求？选择 2 个答案

选项：

正确答案

我的问题是为什么 E 在这里不是一个公认的答案？

非常感谢，感谢任何启发。

我想了解这个很棒的文档： https ://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-wafv2-webacl-orstatementone.html

这告诉我这样写：

我想要做什么： 我想确保 IP 位于我创建的三个不同 IPSet 中的两个之一中。我想避免创建多个规则，因为据我了解，每个规则每月花费 1 美元。我想要拥有多个 IP 集的唯一原因是要明确为什么将每个 IP 添加到每个集。（家庭办公室、常规办公室、顾问等）。

我已经尝试了一些变体：

这甚至可能吗？如果是怎么办？还是我应该去合并 IpSets/Do 单独的规则？

我似乎可以通过控制台做到这一点，所以它似乎应该是可能的......

我有一个 S3 存储桶，它为每个用户提供一个目录（前缀），我想让每个用户（其他 AWS 账户）只访问他们的对象，我还想使用请求者支付所有传输费用。一些想法：

1.使用桶策略

我还没有对此进行测试，但我认为可以通过为每个帐户附加与此类似的策略来做到这一点：

在这里，可以通过在他们的帐户中定义的 ,user-1访问他们的对象并列出他们的目录。external-role-1这种方法的唯一问题是这 2 个块大约 500 字节，存储桶策略限制为 20 KB，因此每个存储桶最多可以容纳约 40 个用户。

2.为我的账户中的每个用户创建一个角色，并允许外部用户承担它

这通过将 JSON 分布在许多 IAM 角色中来避免上述问题。这种方法的问题在于，这会破坏请求者的付费。

当请求者在提出请求之前担任 AWS Identity and Access Management (IAM) 角色时，该角色所属的账户将针对该请求收费。

https://docs.aws.amazon.com/AmazonS3/latest/userguide/RequesterPaysBuckets.html

3. 使用Object ACL或标记来控制对Object的访问

通过避免GetObject策略，这可以使容量从 #1 翻倍，但ListBucket仍然需要每个用户的策略。

这些都不完全满足我想要实现的目标，有更好的方法吗？有没有办法为每个用户创建一个 IAM 策略，然后将其附加到他们的外部 IAM 角色？

首先感谢谁能回答这个问题。这是我在这里的第一篇文章，所以我会尽量说清楚。

我有一个配置了 2 个 Fargate 任务的 ECS 集群。ECS 设置在分配给私有子网（附加了 NAT）的 VPC 中，这些任务也有一个公共 ip（我相信这不应该是这种情况？）

其中一个任务基本上是一个 API，另一个是网页的前端。

除此之外，我们还有一个面向 Internet 的 ALB。这分配给公共子网（带有 IGW）

我决定探索使用 NACLS 并且由于某种原因只有这条规则有效（显然）：

入境：

出境：

我想为公共子网和私有子网给出明确的规则。我已经创建了 2 个 NACL 组和与它们关联的子网。

对于面向 Internet 的负载均衡器的公共子网。这是我的规则：

公共NACL：

入境：

出境：

在私有子网中，NACL 规则如下：

入境：

出境：

该服务将运行一段时间没有任何问题，我的网站将正常运行。但是有时我会收到 504 错误，当我回到我的 ECS 时。我看到任务恢复到 PROVISIONING -> PENDING.... 大约 5-10 分钟后停止。我得到的错误是这样的：

ResourceInitializationError：无法提取机密或注册表身份验证：拉命令失败：：信号：已杀死 NACL

修复它的唯一方法是恢复默认允许所有入站出站规则。

知道是什么原因造成的吗？是否是分配给导致冲突的 fargate 任务的公共 IP 地址？ECR 存储库位于另一个 aws 帐户上。我相信 IAM 角色权限是正确的，否则即使使用默认的 NACL 规则，它也无法提取图像。感谢任何帮助，因为我不知所措。谢谢

我正在尝试找到一种使用 aws cli 计算每个 NACL 的 NACL 规则数量的快速方法。我希望将其显示为一个表格，左栏有名称标签，右栏有 NACL 的数量。有谁知道这是否可能？

如果不可能，即使是带有每个 NACL 规则数的 NACL 名称的输出也将是完美的