自宅から会社の AWS インスタンスにアクセスする必要があります。
すべてのアクセスは AWS セキュリティ グループによって管理されており、プロバイダーが IP アドレスを変更するたびに、自宅の IP アドレスを変更する必要があります。
このルーチンを簡素化するために、IP アドレスに対して許可されているすべての受信トラフィックと送信トラフィックを含む 1 つのセキュリティ グループを作成し、このグループを使用してすべてのインスタンスのセキュリティ グループにアクセス許可を付与するというアイデアがありました。
試してみましたが、うまくいきませんでした。
この問題について、どなたか説明していただけませんか?
ありがとうございます!
答え1
通常、静的 IP を有料で購入するのが最も簡単です。静的 IP を使用することもできますが、定期的に変更する必要があります。
静的または動的 IP を新しいセキュリティ グループに追加します。そのセキュリティ グループを、ログインするすべてのリソースに割り当てます。セキュリティ グループは追加可能です。
あなたの質問では、あなたが何をしたのかがあまり明確ではないので、何が間違っているのかはわかりません。
コメントで返信しました
私が言いたいのは、すべてのトラフィックの入出力を許可するルールを持つグループ「MyGroup」を作成し、このグループを AWS にある他のすべてのグループに追加することです。たとえば、自分の IP から「FirstGroup」のサーバーへの RDP を許可する場合は、MyGroup からの RDP を許可する受信ルールを FirstGroup に作成するだけです。これでわかりやすくなったと思います。
セキュリティ グループは、基本的に単一の ENI (Elastic Network Interface) を囲むファイアウォールです。サブネットでもプロキシでもなく、非常にシンプルです。また、AWS ネットワークは推移的ではないため、トラフィックは希望どおりに飛び回ることはありません。
「MyGroup」セキュリティ グループで要塞ホスト/サーバーが実行されていない限り、この計画は機能しません。自宅の IP を含む別のセキュリティ グループが必要な場合 (これは、個人の AWS アカウントで私が行っていることです)、すべてのインスタンスにそのセキュリティ グループが関連付けられていることを確認する必要があります。そのグループからの入出力を許可するルールを設定しても、目的を達成することはできません。
セキュリティ グループが他のセキュリティ グループを参照できるようにすると、いくつかの点で非常に便利です。オンプレミス ネットワークで使用されていたサブネットのような階層として、セキュリティ グループを頻繁に使用します。ロード バランサー、アプリケーション サーバー、DB サーバー用の SG を用意し、他の SG からの適切な入出力を許可し、LB でインターネットからの入出力を許可します。
答え2
このために私の PowerShell スクリプトを自由に使用してください。
スクリプトはパブリック IP を検出し、それを専用の RDP および SSH セキュリティ グループの受信セキュリティ グループ ルールに追加します。
これらのグループが存在しない場合は、スクリプトによってグループが作成され、適切なインスタンスに追加されます。
https://github.com/manuelh2410/public/blob/1/AWSIP_Linux_Win.ps1