Amazon-Web-Services
VPC 對等共享安全組入口規則
如果我的 VPC1 具有允許從源 10.10.10.10/32 進行 ssh 訪問的安全組 (sg-aaaaaaaa),並且我將 VPC1 與具有允許從源 sg-aaaaaaaa 進行 ssh 訪問的安全組 (sg-bbbbbbbb) 的 VPC2 對等(來自 VPC1 的 SG)。如果我將 SG (sg-bbbbbbbb) 從 VPC2 分配給 EC2 實例,那麼我是否可以從 10.10.10.10 登錄到 VPC2 中的那個 EC2 實例?
我正在嘗試在 dev 和 prod VPC 之間回收我的 SG,因此如果我必須添加/刪除對 SSH 之類的訪問權限,我不必在多個地方進行更改。這可能嗎?或者我是否誤解了帶有 VPC 對等互連的能力,b/c 它不像我設置它的方式對我有用。
不…當您將安全組指定為源而不是 IP 地址時,這不是它的意思。它不是繼承或聚合。
例如,如果您在 sg-bbbbbbbb 中允許來自 sg-aaaaaaaa 的 SSH,這意味著作為 sg-aaaaaaaa成員的任何實例都可以通過 SSH 連接到作為 sg-bbbbbbbb 成員的實例。sg-aaaaaaaa 中的規則不會傳播到 sg-bbbbbbbb。
當您將安全組指定為規則的源時,這將允許與源安全組關聯的實例訪問該安全組中的實例。這不會將來自源安全組的規則添加到此安全組。根據與源安全組關聯的實例的私有 IP 地址(而不是公共 IP 或彈性 IP 地址)允許傳入流量。
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules