Criei manualmente um novo grupo de segurança usando a AWS CLI.
Criei regras de entrada que permitem conexões de entrada somente do endereço IP público da minha empresa usando as portas conhecidas para SSH (22) e MySQL (3306).
Também excluí a regra de saída padrão que permite todas as conexões de saída e, em vez disso, criei uma regra de saída que permite apenas conexões de saída para o endereço IP público da minha empresa (mas para todas as portas).
Essas regras inicialmente funcionaram bem, mas agora quero que minhas máquinas virtuais EC2 possam ler e gravar no S3. Infelizmente, os comandos S3 estão falhando no momento. (Saída do console: "ERRO: [Errno 110] Tempo limite de conexão esgotado") Tenho certeza de que a causa é minha regra de saída inicial excessivamente restritiva.
Então, qual regra de saída devo usar para permitir que minhas instâncias do AWS EC2 leiam e gravem no S3?
Uma pesquisa na web encontradaessa discussão antiga nos fóruns da AWS. Se bem entendi, parece que a AWS se recusa a publicar os endereços IP S3 porque deseja flexibilidade para alterar as coisas. Se isso for verdade, será impossível especificar uma regra de saída para S3?
Este documento da AWSafirma: "Uma prática comum é usar a configuração padrão, que permite qualquer tráfego de saída." As pessoas usam o padrão vale tudo para o tráfego de saída, em parte, para permitir conexões com o S3?
Nota: estou usando apenas EC2-Classic, nunca EC2-VPC.