Ich muss von zu Hause aus auf die AWS-Instanzen unseres Unternehmens zugreifen.
Der gesamte Zugriff wird von AWS-Sicherheitsgruppen verwaltet und ich muss dort jedes Mal meine private IP-Adresse ändern, wenn mein Anbieter sie ändert.
Meine Idee, diese Routine zu vereinfachen, bestand darin, eine Sicherheitsgruppe zu erstellen, die allen eingehenden und ausgehenden Datenverkehr für meine IP-Adresse zulässt, und diese Gruppe zu verwenden, um allen Sicherheitsgruppen meiner Instanzen Zugriffsberechtigungen zu erteilen.
Ich habe es ohne Erfolg versucht.
Kann jemand Licht in dieses Problem bringen?
Vielen Dank!
Antwort1
Normalerweise ist es am einfachsten, für eine statische IP zu bezahlen. Sie können eine statische IP verwenden, müssen diese dann aber regelmäßig ändern.
Fügen Sie Ihre statische oder dynamische IP einer neuen Sicherheitsgruppe hinzu. Weisen Sie diese Sicherheitsgruppe allen Ressourcen zu, bei denen Sie sich anmelden möchten. Sicherheitsgruppen sind additiv.
Aus Ihrer Frage geht nicht wirklich klar hervor, was Sie getan haben, daher kann ich nicht sagen, was falsch ist.
Sie haben in Kommentaren geantwortet
Ich meinte, dass ich eine Gruppe „MyGroup“ mit Regeln erstellen möchte, die allen ein- und ausgehenden Datenverkehr zulassen, und diese Gruppe zu allen anderen Gruppen hinzufügen möchte, die ich in AWS habe. Wenn ich beispielsweise RDP von meiner IP zum Server in „FirstGroup“ zulassen möchte, erstelle ich einfach eine eingehende Regel in FirstGroup, die RDP von MyGroup zulässt. Ich hoffe, ich habe es klarer ausgedrückt.
Eine Sicherheitsgruppe ist im Grunde eine Firewall um eine einzelne ENI (Elastic Network Interface). Es ist kein Subnetz, kein Proxy, es ist ziemlich einfach. Außerdem ist das AWS-Netzwerk nicht transitiv, der Datenverkehr springt nicht hin und her, wie Sie es vielleicht möchten.
Ihr Plan funktioniert nur, wenn Sie einen Bastion-Host/-Server in Ihrer Sicherheitsgruppe „MyGroup“ laufen haben. Wenn Sie eine separate Sicherheitsgruppe mit Ihrer Heim-IP darin haben möchten (was ich in meinem persönlichen AWS-Konto mache), müssen Sie sicherstellen, dass jede Instanz mit dieser Sicherheitsgruppe verknüpft ist. Das Einfügen einer Regel, die den Ein-/Ausgang aus dieser Gruppe zulässt, führt nicht zu dem gewünschten Ergebnis.
Es ist für manche Dinge wirklich nützlich, Sicherheitsgruppen das Verweisen auf andere Sicherheitsgruppen zu erlauben. Ich verwende sie oft als Ebenen, so wie Subnetze früher in lokalen Netzwerken verwendet wurden. Ich hätte eine SG für den Load Balancer, den App-Server und den DB-Server, die alle entsprechenden Ein- und Ausgang von anderen SGs erlauben, und die LB erlaubt den Eingang aus dem Internet.
Antwort2
Sie können hierfür gerne mein Powershell-Skript verwenden.
Das Skript erkennt Ihre öffentliche IP und fügt sie den eingehenden Sicherheitsgruppenregeln dedizierter RDP- und SSH-Sicherheitsgruppen hinzu.
Wenn diese Gruppen nicht existieren, erstellt das Skript sie und fügt sie den entsprechenden Instanzen hinzu.
https://github.com/manuelh2410/public/blob/1/AWSIP_Linux_Win.ps1