问题标签 [aws-security-group]

我使用 Amazon EC2 托管一些网站和数据库。

明天我有一个新的开发人员加入我。如果我创建一个 IAM 用户，并向他附加“AmazonEC2FullAccess - arn:aws:iam::aws:policy/AmazonEC2FullAccess- 通过 AWS 管理控制台提供对 Amazon EC2 的完全访问权限。）策略，

他将能够访问存储在过去创建的 linux ec2 实例中的秘密吗？基本上，这个策略是否允许访问预先创建的 linux 实例。

编辑：如果他/她尝试磁盘恢复过程怎么办？例如，将 vm 的磁盘挂载到新的 ec2 实例中

当我在 Elastic Beanstalk 中使用 VPC 创建环境时，VPC 配置页面需要选择 VPC 安全组。创建环境后，会自动创建两个安全组；VPC 安全组和负载均衡器安全组。

在 Configuration -> Instances 页面上，EC2 安全组字段中列出了两个安全组。第一个是设置时选择的安全组，第二个是自动创建的 VPC 安全组。在我们的例子中，设置过程中选择的安全组是无关的。

我有两个问题。为什么 EB 需要选择安全组？负载均衡器安全组是否应该包含在实例页面上的 EC2 安全组字段中？

我现在有 5 个不同的安全组，我已尽力组织它们。

我有时需要根据我所在的位置打开对某些实例的 SSH 访问，所以我从我当前的 IP 为入站端口 22 添加规则。我可以很好，但为了保持整洁，我希望能够指定这个 IP 来自格拉斯哥的办公室，这个来自伦敦、纽约等地，但我看不出有什么办法可以提供一点点或额外的信息。

我们是几个更新安全组的人，一段时间后有些人忘记删除临时规则，当我们想要清理安全组并删除那些临时规则同时保留永久规则时，这可能会变得有点混乱并使事情变得困难。

我在文档中看不到任何可以让我在每条规则旁边添加这个小描述的东西；我错过了什么？

有人看到 EC2 安全组的这种命名约定有任何潜在问题吗？

这是否有助于解决服务的逻辑分离？例如，logstash server与elasticsearch server?

我正在开发包含 RDS 数据库的 CloudFormation 模板，并且我想将安全组附加到 RDS。有一个资源AWS::RDS::DBSecurityGroup 我想在其中编写自己的入口规则，通过附加此资源AWS::RDS::DBSecurityGroupIngress允许来自前端实例的 MySQL 流量，但是它不显示任何属性比如 "FromPort" , "ToPort" , "Protocol" 等等。

我不确定上面列出的属性是否支持。

我最近使用 terraform .70 创建了一些新资源，在运行应用程序后我再次运行 terraform plan，它说这需要发生，但我没有对我的 main.tf 文件进行任何更改：

security_groups.#: "0" => "1" (强制新资源)
security_groups.2319596366: "" => "sg-8a7679ec" (强制新资源)

我再次运行 terraform apply （在测试实例上）只是为了看看它会做什么，它会终止我原来的 AWS ec2 实例服务器并创建一个新的服务器（幸好我在生产中没有这样做）......

这是一个错误还是我做错了什么？

我有 2 个帐户，其中一个是 Elastic Beanstalk（帐户 A）。我想要另一个账户（B）EC2 应该只允许来自账户 A 的 Elastic Beanstalk 的流量。如果账户 A 的 Elastic Beanstalk 的 IP 发生更改，如何处理此问题。

我正在尝试ElasticSearch从云外部访问我正在运行的 EC2 实例。我目前向公众开放了 SSH/HTTP/HTTPS 以用于入站流量，并全部开放用于出站流量。我也为我的 EC2 实例设置了一个公共 IP。

默认情况下 ElasticSearch 在端口上9200。我不确定我elasticsearch.yml是否正确配置了我的文件，但它基本上具有默认配置，我只是将其更改cluster.name为其他内容。

当我在9200本地浏览器中输入带有端口的公共 IP 或在本地执行telnet {public-ip} 9200时，没有响应。当我通过 SSH 连接到我的 EC2 实例时。我可以执行一个curl localhost:9200并且我从 elasticsearch 得到正确的响应

如何ElasticSearch从云外部连接到我在 EC2 实例上运行的？

我为我的安全组添加了一个自定义规则，用于包含端口9200并且开放的入站流量，0.0.0.0/0但我仍然无法访问此 EC2 实例

我正在努力让 AWS lambda 将 HTTPS POST 请求发送到 AWS 弹性 beanstalk 服务。弹性 beanstalk 提供 web 和 web 服务并且运行良好。lambda 正在使用 AWS elasticache（运行良好）进行一些计算，然后决定是否将 HTTPS POST 发送到 beanstalk URL。

lambda 用node.js. POST 尝试后大约 2 分钟，我收到此超时：

我在弹性 bean nginx 访问日志中看不到任何请求的迹象。

所以我的理解是安全组设置不正确。

我排除了弹性 beanstalk 阻止此类连接的选项 - lambda 正在使用带有外部域名的 url，该域名可以从任何浏览器中使用，并且工作正常。

所以我得出的结论是 lambda 安全性阻止了这种连接。所以 - 我将 lambda 安全组完全开放给来自任何地方的“所有流量” - 我仍然遇到这个问题。

有任何想法吗？

我们有一个 vpc 4 隧道形成 4 个不同的位置，以及一个用于互联网访问的 nat。这个 vpc 内部是一个没有公共 IP 地址的实例。一切都通过私有IP进行通信。

既然每台内部机器都可以访问它就可以了，我可以允许来自 0.0.0.0/0 的所有流量吗？

从外面看有没有风险？