AWS Cloudformation:允许所有出口的安全组规则

【问题标题】:AWS Cloudformation: Security Group Rule to allow all egressAWS Cloudformation:允许所有出口的安全组规则
【发布时间】:2019-02-05 17:22:57
【问题描述】:

我在 cloudformation 模板的安全组定义中使用以下出口规则

  SecurityGroupEgress:
  - IpProtocol: tcp
    FromPort: 0
    ToPort: 65535
    CidrIp: 0.0.0.0/0

但是,这最终不会导致允许所有出站流量的规则;

定义allow-all-outbound 规则的正确方法是什么?

【问题讨论】:

  • 已在此线程中回答,stackoverflow.com/questions/39021545/…
  • @AYA - 我想看到这个问题的新答案。今天另一个答案并不完全正确。
  • TCP 不是允许所有出口的唯一协议。

标签: amazon-web-services amazon-cloudformation aws-security-group


【解决方案1】:

这是一个旧线程,但人们仍然在搜索中找到它...确实,有时默认值不能很好地工作,例如使用 cfn_nag_scan 扫描 cft 时。

这是您要查找的内容:

  SecurityGroupEgress:
    - Description: Allow all outbound traffic
      IpProtocol: "-1"
      CidrIp: 0.0.0.0/0

【讨论】:

    【解决方案2】:

    我必须从 AWS 文档中添加此信息,因为可能不需要定义此类策略,

    “当您创建 VPC 安全组时,Amazon EC2 会创建一个默认出口规则,该规则允许所有端口和 IP 协议上的出口流量到任何位置。仅当您指定一个或多个出口规则时,才会删除默认规则。”

    这是链接, https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-security-group.html#w2ab1c21c10d473c17

    通常,您定义一些特定的端口/协议。

    【讨论】:

      猜你喜欢
      • 2019-04-10
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2021-03-06
      • 2017-06-13
      • 2020-07-11
      • 2017-08-10
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode