问题标签 [aws-security-group]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
186 浏览

amazon-web-services - AWS 安全组 - 我是否需要打开出站端口才能访问 Internet 或使用 yum

当我阅读 AWS 安全组时,我们必须打开出站端口以从实例内部启动流量。如果我必须通过 HTTP 访问网站或下载一些包(使用 yum)怎么办?我需要为此打开任何特定端口吗?据我了解,HTTP/HTTPS 客户端使用随机端口进行套接字连接,那么在这种情况下我应该打开所有端口吗?

0 投票
2 回答
1971 浏览

aws-lambda - 如何编辑 AWS EC2 实例的安全组以仅允许访问 lambda 函数

我遇到了与 AWS lambda 相关的安全问题,但不确定解决此问题的正确方法是什么。

考虑一个 EC2 实例 A 访问另一个 EC2 实例 B 上的数据库。如果我想将实例 B 上的数据库的可访问性限制为仅实例 A,我将修改安全组并添加自定义 TCP 规则以仅允许访问实例 A 的公共 IP。因此,这样,AWS 将处理所有事情,并且无法从任何其他 IP 地址访问数据库服务器。

现在让我们用 lambda 函数替换实例 A。由于不再是实例,因此没有明确的 IP 地址。那么,如何限制对 lambda 函数的访问并阻止任何其他流量?

0 投票
1 回答
3594 浏览

git - AWS ec2 git clone 或 pull 不工作并且没有错误消息

我正在尝试在 AWS ec2 中克隆一个 bitbucket 存储库。但它不起作用。并且没有给出任何错误信息。

它只是给消息是

我也试过 telnet 命令。

但它也显示消息

我已经看到已分配给此 ec2 的安全组。

入站

出境

当我ping www.google.com时,它的付出

0 投票
0 回答
639 浏览

amazon-web-services - Ec2 Smtp 端口连接被拒绝问题无法接收电子邮件

当我尝试做

远程登录 goodin.hk 25

它在 EC2 实例上拒绝连接这是问题有谁知道如何解决这个问题

我在安全组配置中打开了这个端口。

0 投票
3 回答
18014 浏览

ssh - SSH 连接被远程主机关闭:将安全组 SSH 入站权限设置为特定 IP 地址

我正在尝试使用 SSH 从本地系统连接到 AWS EC2 服务器。当 SSH 的安全组入站权限被授予从任何地方连接时,它正在连接到实例。但是,只要给定特定的 IP 地址,它就会给 Connection closed by remote host。连接时出现以下错误。

0 投票
1 回答
479 浏览

amazon-web-services - AWS 安全组规则部署 (lambda->SQS)

在 AWS 上,我们实现了 AWS lambda 将消息推送到 AWS 队列的功能;

但是,在此实施过程中,我必须手动授予 AWS lambda 权限以将消息添加到特定队列。而且这种手动点击的方法对于产品部署不太好。

关于如何在 AWS 服务(主要是 lambda 和 SQS)之间自动添加权限并为 prod env 创建“好”部署包的任何建议?

0 投票
4 回答
5759 浏览

amazon-web-services - AWS NTP 服务器的安全组

我只是尝试与 EC2 实例上的 NTP-Server 同步时间:

服务器 0.amazon.pool.ntp.org iburst
服务器 1.amazon.pool.ntp.org iburst
服务器 2.amazon.pool.ntp.org iburst
服务器 3.amazon.pool.ntp.org iburst

不幸的是,我无法与 NTP-Server 同步。我的问题是:

  1. 我们是否必须在安全组中打开端口以允许 NTP-Server 连接到 EC2 实例?
  2. 如果是,那么我们如何知道哪个 IP 是amazon.pool.ntp.org它会随着时间而变化)并且我们无法打开所有流量

在此先感谢,
Toan Dao

0 投票
1 回答
877 浏览

mongodb - Disallowing rule in EC2 security group is not affecting already-established MongoDB connections

This is the case:

  1. Instance X is able to connect to instance Y on TCP port 27017 (allowed by EC2 security group)
  2. X has mongo shell
  3. Y has MongoDB running, accepting connection from X on port 27017
  4. From X, use mongo shell to connect to DB instance on Y
  5. From this mongo shell session on X, query from Y and insert to Y. All is successful.
  6. Change security group of Y: remove the rule of port 27017 mentioned in #1
  7. X can still query from/insert to DB hosted on Y. This is not expected.
  8. Exit mongo shell session on X
  9. Try step 4 again and failed. This is normal and expected.

Expectation is that EC2 network firewall will terminate connections that violate the rules (the security group policies).

Could you please explain how #7 above happens? And how can that be avoided (so X cannot do anything to Y at that time)?

Thank you.

0 投票
2 回答
470 浏览

amazon-web-services - 从 ec2_group Ansible 模块获取更改的输出

我正在寻找一种在 Ansible 中显示或列出安全组的好方法

目前我正在使用 Ansible 模块ec2_group,它默默地更改安全组以匹配 Ansible 中定义的内容,但不显示更改的内容。

更改:[localhost -> 127.0.0.1] => {“更改”:true,“group_id”:“sg-8649adee”}

我担心有人可能会在 Web 控制台中添加一些内容,这些内容会在执行 Ansible 的ec2_group任务时被删除。只要我能获得有关先前状态的一些信息(在输出中),就可以了,所以在删除一些重要但“未记录”的修改的情况下,它可以快速恢复。

目前我知道的唯一方法是将其作为本地命令模块运行:

有没有更好的方法来做到这一点,希望完全在 Ansible 中?

0 投票
1 回答
73 浏览

security - Avi 网络 - 控制器端口和源 IP 设置

我们在 AWS 上使用 Avi 网络,我已经完成了所有设置,但安全组设置较为宽松。

我想加强控制器实例的安全性。所以我想知道需要在控制器的安全组上打开哪些端口,以及它们应该接受来自哪个源 IP/范围的连接。