新啟動實例的 AWS 安全組

在 AWS 中，我們的 Auto Scaling 組正在不同的可用區（以實現高可用性）啟動新實例，這些 Web 實例當然需要訪問埠 3306 上的數據庫 (RDS) 服務。

現在，我應該在我的 RDS 安全組中允許哪些 IP 地址用於埠 3306？

由於每個新啟動的實例每次都有不同的 IP 地址，那麼我們如何將它們添加到安全組中呢？

順便說一句：這不僅僅是 RDS 安全組的問題，而是所有安全組的問題，因為我無法限制它們。

您不會將 EC2 實例的 IP 地址添加到您的 RDS 安全組，而是添加另一個安全組。這使您的 EC2 實例可以訪問您的 RDS 安全組/資源的安全組中的每個實例。

在這個稍微模糊的圖像中，您可以看到我的 Web 安全組（以 f4 結尾）已添加到我的 RDS 安全組（以 C6 結尾）中。

您可能知道的一個相關概念是IAM 角色。它們不適用於這種情況，但了解它們很有用。它們可以允許 EC2 實例訪問幾乎任何 EC2 資源（例如 S3），而無需儲存憑證。EC2 實例需要以角色啟動，但我相信角色策略可以隨時更改。

引用自：https://serverfault.com/questions/821412