Preciso acessar as instâncias AWS de nossa empresa em casa.
Todo o acesso é gerenciado por grupos de segurança da AWS, e preciso alterar meu IP residencial sempre que meu provedor o alterar.
Minha ideia para simplificar essa rotina foi criar um grupo de segurança com todo o tráfego de entrada e saída permitido para o meu ip, e usar esse grupo para conceder permissões de acesso a todos os grupos de segurança das minhas instâncias.
Eu tentei sem sucesso.
Alguém pode lançar alguma luz sobre esse assunto?
Obrigado!
Responder1
Geralmente é mais fácil pagar por um IP estático. Você pode usar um IP estático, mas isso significa alterá-lo regularmente.
Adicione seu IP estático ou dinâmico a um novo grupo de segurança. Atribua esse grupo de segurança a todos os recursos nos quais você deseja fazer login. Os grupos de segurança são aditivos.
Sua pergunta não é muito clara sobre o que você fez, então não posso dizer o que há de errado.
Você respondeu nos comentários
Eu quis dizer que quero criar um grupo "MyGroup" com regras que permitam todo o tráfego de entrada e saída e adicionar esse grupo a todos os outros grupos que tenho na AWS - por exemplo, se eu quiser permitir RDP do meu IP para o servidor em "FirstGroup", acabei de criar uma regra de entrada no FirstGroup, que permite RDP do MyGroup. Espero ter deixado a coisa mais clara.
Um grupo de segurança é basicamente um firewall em torno de uma única ENI (interface de rede elástica). Não é uma sub-rede, não é um proxy, é bem simples. Além disso, a rede AWS não é transitiva, o tráfego não circula como você gostaria.
Seu plano não funcionará a menos que você tenha um host/servidor bastião em execução em seu grupo de segurança "MyGroup". Se você quiser um grupo de segurança separado com seu IP residencial (que é o que eu faço em minha conta pessoal da AWS), você deve garantir que cada instância tenha esse grupo de segurança associado a ela. Colocar uma regra que permita a entrada/saída desse grupo não alcança o que você está tentando fazer.
Permitir que grupos de segurança façam referência a outros grupos de segurança é realmente útil para algumas coisas. Costumo usá-los como camadas, como as sub-redes usadas em redes locais. Eu teria um SG para o balanceador de carga, o servidor de aplicativos e o servidor de banco de dados, todos permitindo entrada/saída apropriada de outros SGs e o LB permitindo a entrada da Internet.
Responder2
Sinta-se à vontade para usar meu script do PowerShell para isso.
O script detecta seu IP público e o adiciona às regras do grupo de segurança de entrada de grupos de segurança RDP e SSH dedicados.
Se esses grupos não existirem, o script irá criá-los e adicioná-los às instâncias apropriadas.
https://github.com/manuelh2410/public/blob/1/AWSIP_Linux_Win.ps1