Creé manualmente un nuevo grupo de seguridad utilizando la CLI de AWS.
Creé reglas de ingreso que permiten conexiones entrantes solo desde la dirección IP pública de mi empresa utilizando los puertos conocidos para SSH (22) y MySQL (3306).
También eliminé la regla de salida predeterminada que permite todas las conexiones salientes y, en su lugar, creé una regla de salida que solo permite conexiones salientes a la dirección IP pública de mi empresa (pero todos los puertos allí).
Inicialmente, esas reglas funcionaron bien, pero ahora quiero que mis máquinas virtuales EC2 puedan leer y escribir en S3. Desafortunadamente, los comandos de S3 fallan actualmente. (Salida de la consola: "ERROR: [Errno 110] Se agotó el tiempo de espera de la conexión") Estoy seguro de que la causa es mi regla de salida inicial demasiado restrictiva.
Entonces, ¿qué regla de salida debo usar para permitir que mis instancias AWS EC2 lean y escriban en S3?
Una búsqueda en la web encontróesta vieja discusión en los foros de AWS. Si lo entiendo correctamente, parece que AWS se niega a publicar las direcciones IP de S3 porque quieren tener flexibilidad para cambiar cosas. Si esto es cierto, ¿eso hace imposible especificar una regla de salida para S3?
Este documento de AWSdice: "Una práctica común es utilizar la configuración predeterminada, que permite cualquier tráfico saliente". ¿La gente usa el valor predeterminado "todo vale" para el tráfico saliente, en parte, para habilitar conexiones con S3?
Nota: solo estoy usando EC2-Classic, nunca EC2-VPC.