Amazon RDS 和 Auto-Scale EBS：安全組

我在 Amazon AWS 上有以下設置：

• 自動縮放組
• 一個ELB
• RDS 數據庫
• 一切都在預設 VPC 中

我還不太了解此設置的唯一一件事與安全規則有關。

**對於 RDS 實例，**我想：

• 3306僅允許來自 Auto-Scaling Group 啟動的 EC2 實例的埠訪問，
• 3306允許從我自己的 IP 訪問相同的埠。

我已經為後者設置了一個執行良好的 SG。但是，我不確定如何處理第一點。

各種資源都提到簡單地將 EC2 實例使用的相同 SG 附加到 RDS 實例。但是，例如，如果 EC2 SG 允許80每個人的埠流量，並且如果我為 RDS 實例使用相同的 SG，那不是也授予每個人80對 RDS 實例的埠訪問權限嗎？

所以問題是：我如何創建一個 SG，只允許 Auto-Scaling 組中的 EC2 實例訪問 RDS 的埠3306，而不是其他所有人？

最後，如何為僅允許 ELB 訪問的 EC2 實例創建 SG？

我非常喜歡為此使用 AWS Web UI。謝謝！

要限制 RDS 僅訪問您的 Auto Scaling EC2 實例，並允許僅從您的 ELB 訪問您的 EC2 實例，您將使用相同的方法：基於源安全組向您的安全組添加規則（而不是比源 IP 地址 CIDR）。

假設您的 EC2 實例安全組是 sg-123，您將執行以下操作：

1. 在 AWS 管理控制台中，編輯您的 RDS 安全組傳入規則。
2. 為埠 3306 添加傳入規則。對於“源”欄位，您通常會在其中放置 IP CIDR，而不是放置您的 EC2 實例的安全組 ID，例如。SG-123。
3. 保存您的更改。

這將允許從附加了該安全組的任何 EC2 實例傳入您的 RDS 實例。

您將在您的 ELB 安全組的 EC2 實例的安全組上執行相同的操作。這將授予從 ELB 訪問您的 EC2 實例的權限。

引用自：https://serverfault.com/questions/753396