Necesito acceder a las instancias de AWS de nuestra empresa desde casa.
Todo el acceso es administrado por grupos de seguridad de AWS y necesito cambiar la IP de mi hogar allí cada vez que mi proveedor la cambia.
Mi idea para simplificar esta rutina fue crear un grupo de seguridad con todo el tráfico entrante y saliente permitido para mi IP y usar este grupo para otorgar permisos de acceso a todos los grupos de seguridad de mis instancias.
Lo intenté sin éxito.
¿Alguien puede arrojar algo de luz sobre este tema?
¡Gracias!
Respuesta1
Generalmente es más fácil pagar por una IP estática. Puedes utilizar una IP estática pero eso significa cambiarla periódicamente.
Agregue su IP estática o dinámica a un nuevo grupo de seguridad. Asigne ese grupo de seguridad a todos los recursos en los que desee iniciar sesión. Los grupos de seguridad son aditivos.
Tu pregunta no es muy clara sobre lo que has hecho, así que no puedo decir qué está mal.
Has respondido en comentarios.
Quise decir que quiero crear un grupo "Mi grupo" con reglas que permitan la entrada y salida de todo el tráfico, y agregar este grupo a todos los demás grupos que tengo en AWS; por ejemplo, si quiero permitir RDP desde mi IP al servidor. en "FirstGroup", simplemente creo una regla de entrada en FirstGroup, que permite RDP desde MyGroup. Espero haber dejado la cosa más clara.
Un grupo de seguridad es básicamente un firewall alrededor de una única ENI (interfaz de red elástica). No es una subred, no es un proxy, es bastante simple. Además, las redes de AWS no son transitivas, el tráfico no salta como usted quisiera.
Su plan no funcionará a menos que tenga un host/servidor bastión ejecutándose en su grupo de seguridad "Mi Grupo". Si desea un grupo de seguridad separado con la IP de su hogar (que es lo que hago en mi cuenta personal de AWS), debe asegurarse de que cada instancia tenga ese grupo de seguridad asociado. Poner una regla que permita la entrada/salida de ese grupo no logra lo que estás tratando de hacer.
Permitir que los grupos de seguridad hagan referencia a otros grupos de seguridad es realmente útil para algunas cosas. A menudo los uso como niveles, como las subredes que solían usarse en las redes locales. Tendría un SG para el equilibrador de carga, el servidor de aplicaciones y el servidor de base de datos, todos permitiendo el ingreso/salida apropiado desde otros SG y el LB permitiendo el ingreso desde Internet.
Respuesta2
Siéntase libre de utilizar mi script de PowerShell para esto.
El script detecta su IP pública y la agrega a las reglas del grupo de seguridad entrante de los grupos de seguridad RDP y SSH dedicados.
Si estos grupos no existen, el script los creará y los agregará a las instancias apropiadas.
https://github.com/manuelh2410/public/blob/1/AWSIP_Linux_Win.ps1