如何在 AWS 的安全组内配置安全组？

Question

我最近在我们的 VPC 中对 Amazon AWS 安全组进行了一些测试。

我在 sg_office 内有一个 LAMP 堆栈服务器，并且端口 22、80 和 3306 对我们的办公室 IP/32 开放。一切都很好。

我认为您可以将 SG B 添加到 SG A 以稍微组织 IP。例如，我想创建一个 sg_contractors 和一个 sg_office 来将可以访问的远程 IP 组织到一个单独的安全组中，因为远程承包商的 IP 容易更改，而我们的办公室 IP 是静态的。

这是我遵循的步骤。

1. 我添加了一个新的 sg_contractors 安全组，并在 22、80 和 3306 上添加了他们的 IP/32 和入口，
2. 回到 sg_office 并将入口 ALL TCP 添加到“自定义 IP”sg_contractors。当我输入 sg... 时，它会在其他安全组列表中弹出，所以我认为这必须是这样做的方法。

远程用户无法连接。

我又试了，

1. 编辑 sg_contractors 以将入口 ALL TCP 设置为 0.0.0.0/0

远程用户仍然无法连接。我什至

4. 将所有 TCP 承包商_sg 入口添加到承包商_sg，作为测试。

远程用户仍然无法连接到服务器。

当然，如果我将远程承包商的 IP/32 直接放入 sg_office 并为其 IP/32 重新添加端口 22、80 和 3306，它可以正常工作，它只会使 sg_office 规则更加混乱和混乱，因为无法标记任何 IP，并且每个承包商必须有多个规则。

那么我错过了什么，你是如何做到这一点的？

Answer 1

您想将两个安全组应用到同一个实例。

当存在与 Amazon EC2 实例的传入连接时，会检查与该实例关联的所有安全组。如果任何规则允许入站访问，则允许连接。

这与一个安全组引用另一个安全组不同，后者用于连接两个实例。

例如，如果您希望允许实例 A 与实例 B 通信，那么您应该为这两个实例分配一个安全组（例如 SG-A 和 SG-B）。然后，您将配置 SG-B 以允许对“来自”SG-A 的所需协议的入站访问。这通常是为了允许 Web 服务器与应用服务器通信。

在您的情况下，只有一个实例，您应该将 sg_office 和 sg_contractors 关联到同一个实例。