web-dev-qa-db-ja.com

自己参照awsセキュリティグループ

私のアプリケーションでは、WebコンポーネントレイヤーにELB、NGNIX、ECSがあり、それらすべてを1つのセキュリティグループにグループ化しており、ELB、NGNIX、ECS間に内部通信があります。これら3つの間の通信用の自己参照ポートを作成したかったのですが、この通信の内部進入ルールまたは自己出力ルールを作成する必要がありますか?

9
user10146200

デフォルトのOutboundセキュリティグループはすべてのトラフィックを許可するため、特定のネットワーク要件(コンプライアンスを満たすために追加の制限を適用するなど)がない限り、それらを変更しないでください。

自身からのInbound接続を許可するようにセキュリティグループを構成できます(つまり、セキュリティグループには、インバウンド接続のソースとして独自のIDがあります)。これにより、セキュリティグループに関連付けられているすべてのAmazon EC2インスタンスが、(指定されたポートで)同じセキュリティグループに関連付けられている他のAmazon EC2インスタンスと通信できるようになります。

注意すべき重要な点は、セキュリティグループはネットワークレベルで機能する従来のファイアウォールではなく、インスタンスレベルで適用であることです。したがって、複数のインスタンスが「セキュリティグループ内」にあるという概念はありません。むしろ、セキュリティグループは、トラフィックが各インスタンスに入るときにトラフィックに対して適用されます。したがって、「自分」からの着信接続を許可する必要があります。

7
John Rotenstein

セキュリティグループは、それ自体からのトラフィックを許可するように作成できますが、循環依存を回避するには、SecurityGroupリソースとその進入ルールを分離する必要があります。例えば;

ConsumerSG:
Type: 'AWS::EC2::SecurityGroup'
Properties:
  VpcId: !ImportValue EnvVpc
  GroupDescription: !Sub 'Security group which grants access to consuming apps'


ConsumerSGIngress:
    Type: 'AWS::EC2::SecurityGroupIngress'
    DependsOn: ConsumerSG
    Properties:
      GroupId: !Ref ConsumerSG
      IpProtocol: tcp
      FromPort: '5000'
      ToPort: '5000'
      SourceSecurityGroupId: !Ref ConsumerSG

これにより、ポート5000での自身からのアクセスを許可するセキュリティグループが作成されます。

0
pipding

確かに、アプリがリッスンしているポートの上りルールが必要です。

デフォルトでは、セキュリティグループの下りはすべて許可され、sgはステートフルであるため、発信トラフィックが戻るための上りルールは必要ありません

0
Dominic Nguyen