Amazon-Ec2

Amazon RDS 和 Auto-Scale EBS:安全組

  • February 2, 2016

我在 Amazon AWS 上有以下設置:

  • 自動縮放組
  • 一個ELB
  • RDS 數據庫
  • 一切都在預設 VPC 中

我還不太了解此設置的唯一一件事與安全規則有關。

**對於 RDS 實例,**我想:

  • 3306僅允許來自 Auto-Scaling Group 啟動的 EC2 實例的埠訪問,
  • 3306允許從我自己的 IP 訪問相同的埠。

我已經為後者設置了一個執行良好的 SG。但是,我不確定如何處理第一點。

各種資源都提到簡單地將 EC2 實例使用的相同 SG 附加到 RDS 實例。但是,例如,如果 EC2 SG 允許80每個人的埠流量,並且如果我為 RDS 實例使用相同的 SG,那不是也授予每個人80對 RDS 實例的埠訪問權限嗎?

所以問題是:我如何創建一個 SG,只允許 Auto-Scaling 組中的 EC2 實例訪問 RDS 的埠3306,而不是其他所有人?

最後,如何為僅允許 ELB 訪問的 EC2 實例創建 SG?

我非常喜歡為此使用 AWS Web UI。謝謝!

要限制 RDS 僅訪問您的 Auto Scaling EC2 實例,並允許僅從您的 ELB 訪問您的 EC2 實例,您將使用相同的方法:基於源安全組向您的安全組添加規則(而不是比源 IP 地址 CIDR)。

假設您的 EC2 實例安全組是 sg-123,您將執行以下操作:

  1. 在 AWS 管理控制台中,編輯您的 RDS 安全組傳入規則。
  2. 為埠 3306 添加傳入規則。對於“源”欄位,您通常會在其中放置 IP CIDR,而不是放置您的 EC2 實例的安全組 ID,例如。SG-123。
  3. 保存您的更改。

這將允許從附加了該安全組的任何 EC2 實例傳入您的 RDS 實例。

您將在您的 ELB 安全組的 EC2 實例的安全組上執行相同的操作。這將授予從 ELB 訪問您的 EC2 實例的權限。

引用自:https://serverfault.com/questions/753396