Ich habe mithilfe der AWS CLI manuell eine neue Sicherheitsgruppe erstellt.
Ich habe Ingress-Regeln erstellt, die eingehende Verbindungen nur von der öffentlichen IP-Adresse meines Unternehmens über die bekannten Ports für SSH (22) und MySQL (3306) zulassen.
Ich habe auch die standardmäßige Ausgangsregel gelöscht, die alle ausgehenden Verbindungen zulässt, und stattdessen eine Ausgangsregel erstellt, die nur ausgehende Verbindungen zur öffentlichen IP-Adresse meines Unternehmens zulässt (aber alle Ports dort).
Diese Regeln funktionierten zunächst einwandfrei, aber jetzt möchte ich, dass meine virtuellen EC2-Maschinen von S3 lesen und in S3 schreiben können. Leider schlagen S3-Befehle derzeit fehl. (Konsolenausgabe: „FEHLER: [Errno 110] Zeitüberschreitung der Verbindung“) Ich bin sicher, dass die Ursache meine anfänglich zu restriktive Ausgangsregel ist.
Welche Ausgangsregel sollte ich also verwenden, um meinen AWS EC2-Instanzen das Lesen von und Schreiben in S3 zu ermöglichen?
Eine Websuche ergabdiese alte Diskussion in den AWS-Foren. Wenn ich das richtig verstehe, sieht es so aus, als würde AWS die Veröffentlichung der S3-IP-Adressen ablehnen, weil sie die Flexibilität haben wollen, Dinge zu ändern. Wenn das stimmt, ist es dann unmöglich, eine Ausgangsregel für S3 festzulegen?
Dieses AWS-Dokumentheißt es: „Üblicherweise wird die Standardeinstellung verwendet, die jeglichen ausgehenden Datenverkehr zulässt.“ Verwenden die Leute die Standardeinstellung „alles ist möglich“ für ausgehenden Datenverkehr, teilweise um Verbindungen mit S3 zu ermöglichen?
Hinweis: Ich verwende nur EC2-Classic, niemals EC2-VPC.