Мне нужно получить доступ к экземплярам AWS нашей компании из дома.
Весь доступ управляется группами безопасности AWS, и мне нужно менять свой домашний IP-адрес каждый раз, когда его меняет мой провайдер.
Моя идея упростить эту процедуру состояла в том, чтобы создать одну группу безопасности со всем входящим и исходящим трафиком, разрешенным для моего IP-адреса, и использовать эту группу для предоставления разрешений на доступ всем группам безопасности моих экземпляров.
Я пробовал, но безуспешно.
Может ли кто-нибудь пролить свет на эту проблему?
Спасибо!
решение1
Обычно проще всего заплатить за статический IP. Вы можете использовать статический IP, но это означает, что его придется регулярно менять.
Добавьте свой статический или динамический IP в новую группу безопасности. Назначьте эту группу безопасности всем ресурсам, на которые вы хотите войти. Группы безопасности являются аддитивными.
Ваш вопрос не совсем отражает то, что вы сделали, поэтому я не могу сказать, в чем проблема.
Вы ответили в комментариях
Я имел в виду, что хочу создать группу "MyGroup" с правилами, которые разрешают весь входящий и исходящий трафик, и добавить эту группу во все другие группы, которые у меня есть в AWS - например, если я хочу разрешить RDP с моего IP на сервер в "FirstGroup", я просто создаю входящее правило в FirstGroup, которое разрешает RDP из MyGroup. Надеюсь, я объяснил понятнее.
Группа безопасности — это по сути брандмауэр вокруг одного ENI (эластичного сетевого интерфейса). Это не подсеть, это не прокси, это довольно просто. Кроме того, сетевое взаимодействие AWS не является транзитивным, трафик не прыгает, как вам бы хотелось.
Ваш план не будет работать, если у вас нет хоста/сервера-бастиона, работающего в вашей группе безопасности "MyGroup". Если вам нужна отдельная группа безопасности с вашим домашним IP-адресом в ней (что я и делаю в своем личном аккаунте AWS), вам нужно убедиться, что с каждым экземпляром связана эта группа безопасности. Добавление правила, разрешающего вход из/выход из этой группы, не достигает того, чего вы пытаетесь добиться.
Разрешение группам безопасности ссылаться на другие группы безопасности действительно полезно для некоторых вещей. Я часто использую их как уровни, как подсети, которые использовались в локальных сетях. Я бы использовал SG для балансировщика нагрузки, сервера приложений и сервера БД, все из которых разрешают соответствующий вход/выход из других SG, а LB разрешает вход из Интернета.
решение2
Для этого можете смело использовать мой скрипт PowerShell.
Скрипт определяет ваш публичный IP-адрес и добавляет его в правила группы безопасности входящих подключений выделенных групп безопасности RDP и SSH.
Если эти группы не существуют, скрипт создаст их и добавит в соответствующие экземпляры.
https://github.com/manuelh2410/public/blob/1/AWSIP_Linux_Win.ps1