web-dev-qa-db-ja.com

AWS EBを初めてセットアップするときに作成されるデフォルトのセキュリティグループは何ですか?

AWSセキュリティグループのリストに自動的に追加されたように見えるいくつかのグループが果たしている役割に困惑しています変化する)。具体的には、神秘的な3つがあります。

  • launch-wizard-1インバウンドルールSSH、TCP、22、0.0.0.0/0があります。
  • defaultは、「デフォルトのVPCセキュリティグループ」として記述されており、ソースとしてitselfを使用するすべてのトラフィックとすべてのポートに対する受信ルールがあります。
  • default_elb_...「ELB作成時にセキュリティグループが指定されていない場合に使用されるELB作成セキュリティグループ-変更は将来のELBへのトラフィックに影響を与える可能性がある」と記述

最初の2つは他のセキュリティグループに接続されていないようですが、後者は、Elastic Beanstalk環境のセキュリティグループのeachのインバウンドHTTPルールのソースです。

これらの3つのグループは何をしますか?変更できますか?またはそれらへの接続を変更しますか?

たとえば、後者のルールには、どこからでもすべてのEB環境へのHTTPトラフィックを許可する効果があるようです。このルールを変更してIPを(すべての環境に)制限できますか?ルールを特定のEB環境からのソースとして「アンフック」できますか(たとえば、それをソースとして、IPの範囲で置き換える)。

17
orome

セキュリティグループとは何か、つまりEC2インスタンスに適用されるステートフルファイアウォールについて理解しているようです。

EC2 VMをウェブコンソールから手動で起動すると、AWSは既存のセキュリティグループを再利用するか、新しいセキュリティグループを作成するオプションを提供します。新しいセキュリティグループを作成すると、デフォルトのルールSSH(ポート22)であり、デフォルトのセキュリティグループ名は「launch-wizard-#」です。

残念ながら、セキュリティグループは複数のEC2インスタンスで使用できるため、VMを削除してもセキュリティグループはクリーンアップされません。したがって、launch-wizard-1が作成されたVMを削除した場合、セキュリティグループは削除されません。

「VPCのデフォルトセキュリティグループ」に進みます。 VPCを作成すると、デフォルトのセキュリティグループも一緒に作成されます。 EC2インスタンスがVPCサブネットで起動されると、別のインスタンスが指定されていない場合、デフォルトのセキュリティグループが割り当てられます。 ( http://docs.aws.Amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#DefaultSecurityGroup )。

それで、そのルールはそれがそれ自体と話すことを可能にすることをどういう意味ですか?デフォルトでは、すべての受信トラフィックはセキュリティグループによって拒否されます。この「自分自身との通信」インバウンドルールは、2つのVMの両方にこのルールが割り当てられている場合、すべてのポートで相互に通信できることを示します。このデフォルトグループを使用する必要がありますか?いいえ。最小限の特権のルールを実行する一意のセキュリティグループを作成します(必要なインスタンスに対してのみ必要なポートを開きます)。

残念ながら、私は弾力性のある豆の木の経験があまりないので、ここで私の答えが仮定に変わります。私がbeanstalkで遊んだ少しの間に、それがあなたのアカウントに補助的なリソースを作成したことを思い出します。これは、Elastic Load Balancer(ELB)に当てはまるようです。説明が示すように、Elastic Beanstalkが新しいロードバランサーを起動する必要がある場合、別のグループを指定しない限り、ロードバランサーはこのデフォルトグループを使用します。このリンクには、これを行う方法が記載されていると思います( http://docs.aws.Amazon.com/elasticbeanstalk/latest/dg/using-features.managing.elb.html )。

すべての場合において、そのインスタンスのセキュリティニーズに固有の個別のファイアウォールルールを優先して、デフォルトのセキュリティグループを使用しないことをお勧めします。

これらを変更または削除できますか?

  • launch-wizard-1:はい、このグループを削除または変更できます。あなたは彼が未使用であると述べたので、先に行って彼を核に入れてください。
  • default:VPCは、作成するデフォルトのリソースの一部について細心の注意を払っています。アカウントでテストしましたが、削除できません。もちろん変更できますが、使用しないことをお勧めします。
  • default_elb:私が正しく覚えている場合、Elastic Beanstalkはcloudformationを使用してELBセキュリティグループなどの追加リソースを作成します。このセキュリティグループは変更できますが、cloudformationの定義と現実の間に不整合が生じます。特定の質問については、許可されるIPの範囲を変更できますが、プライベートIPでルールを作成している場合、環境が別々のVPCにデプロイされていると、環境をまたぐことができません。
21
scubadev