问题标签 [aws-security-group]

ELB 后面的 Docker 容器获取动态端口，这些端口会自动向 ELB 注册，以便它们可以将流量重定向到它们。

为了使 ELB 可以访问您的 Web 服务器，您必须打开所有来自您的安全组内的端口 1024 - 65535。

有没有办法不必向一系列端口开放安全组，而只需向 ELB 正在使用的罐子开放？

我正在尝试在同一 VPC 中配置从堡垒主机（位于公共子网中）到私有 linux 实例（位于私有子网中）的安全 ssh 连接。

当我为我的私有 linux 实例添加安全组规则时，最初它显示规则为：

请注意，在添加堡垒主机的IP地址之前，水印显示“CIDR，IP或安全组”，但是当我添加堡垒主机的IP地址时，它会抛出错误：

源需要是 CIDR 块或安全组 ID。

为什么不允许我在这里输入堡垒主机的 IP 地址？

我想启动一个 ec2 实例。我面临的挑战是我需要为此实例配置安全组，并且我希望只允许来自自动缩放组的实例访问它。在这种情况下如何设置入站，因为来自 Auto Scale 的实例会有所不同？

我希望找出哪些安全组仅指另一个安全组而不是 EC2 实例（例如）。 http://boto3.readthedocs.io/en/latest/reference/services/ec2.html#EC2.Client.describe_security_group_references仅适用于 VPC。

我在 AWS 上有 2 个帐户。在第一个帐户上，我创建了一个带有“dbSG”安全组的永久 EC2 实例（仅允许通过特定端口和 IP 进行连接）。

当我使用 CloudFormation 模板在第二个帐户中创建实例时，它应该：

• 将此实例 IP 添加到“dbSG”安全组并允许通过特定端口进行连接。
• 通过此端口连接到第一个实例。

在第二个帐户中创建实例时，我可以在 UserData 中使用 AssumeRole 并修改“dbSG”以允许来自该实例的连接吗？如果是，如何逐步完成？

有没有办法描述特定 VPC 中的安全组？

这是我要运行的内容：

但它返回此错误：

我感谢您的帮助，

谢谢

我有一个分配给 RDS 实例的安全组，它允许来自我们的 EC2 实例的端口 5432 流量。

但是，此安全组为所有 IP 的所有流量启用了所有出站流量。

这是安全风险吗？理想的出站安全规则应该是什么？在我看来，RDS 安全组的出站流量应该限制在我们 EC2 实例的 5432 端口，对吗？

AWS 安全组允许为允许的流量指定端口范围，格式为1234-5678：是否包括端口1234和5678，或不包括其中一个/两个端口？

该文档似乎没有描述这一点。

我在 CloudFormation 模板中定义了以下安全组：

我还定义了一个 Elastic Beanstalk 环境，其中包含以下选项设置：

当我使用此模板创建堆栈时，会在 CloudFormation 尝试创建 EB 环境之前创建安全组，但是当它尝试创建 EB 环境时，它会失败并出现以下错误：

配置验证异常：无效选项值：'sg-994fcbe4'（命名空间：'aws:autoscaling:launchconfiguration'，选项名称：'SecurityGroups'）：安全组'sg-994fcbe4'不存在

sg-994fcbe4 是创建的安全组的 ID

Elastic Beanstalk 环境配置如下：

在AWS管理控制台中，我有一个实例。当我转到该实例的描述并单击时，view inbound rules我得到：

如果我转到该实例的安全组（只有一个）并删除端口 443 规则，它会从安全组中删除，但是当我返回实例页面并view inbound rules再次单击时，我会得到相同的结果：

知道为什么实例的入站规则在安全组的情况下没有更新吗？