【发布时间】:2018-06-13 08:25:26
【问题描述】:
例如,我有一个主要的公司 AWS 账户,其安全组为 xxxxx。现在,我拥有安全组 yyyyy 的个人 aws。这些帐户根本不相关。我可以将 accept group-yyyyy 添加到 group-xxxxx 中,从而允许我的个人实例访问公司实例吗?
【问题讨论】:
标签: security amazon-web-services
【发布时间】:2018-06-13 08:25:26
【问题描述】:
你可以使用web UI来添加
other-aws-account-id/account-security-group-id
即
951413000000/sg-deadbeef作为来源
【讨论】:
-
虽然这个问题是一年多以前提出的,但应该将其标记为正确答案。
-
Per @marc-kubischta:“如果您要引用的安全组位于另一个区域,那么您就不走运了。在这种情况下,一种可能的解决方法是使用 EIP 在另一个区域和帐户,并将该代理的 EIP 添加到您正在创建的安全组中。” stackoverflow.com/review/suggested-edits/5693066
-
如果安全组在 VPC 中,则这是不可能的。
-
看来@LeighMcCulloch 是对的。我试过这个并收到以下错误消息:无法更新您的安全组规则(未进行任何更改):属于其他用户的组可能不会被授予对 VPC 安全组的权限。
-
您不能引用位于不同区域的对等 VPC 的安全组。相反,请使用对等 VPC 的 CIDR 块。 docs.aws.amazon.com/vpc/latest/peering/…
对于现在正在为这个问题寻找解决方案的人来说,如果他们的 vpc 是对等的,则可以从跨账户引用安全组。 ! 它是 aws 的新功能!干杯
【讨论】:
-
可以引用跨账户安全组,但引用似乎无关紧要。我刚刚创建了一条规则,以允许从一个帐户中的 SG 到另一个帐户中的所有访问权限,但使用这些组的实例无法相互交谈!
-
VPC 是否对等?
-
嗨 @p-joel-nishanth-reddy,是的,他们是 VPC 对等体。
-
一般每个VPC本身都有SG关联,请先检查。此外,当您从另一个帐户关联 SG 时,安全性中的规则会以类似“
/account-id” 的格式显示
我知道这已经很老了,但我发现了一个更老的 AWS Developer Forums 主题,它讨论了这个问题,并且似乎可以使用 EC2 API 工具通过使用 ec2-authorize 命令(例如,@ 987654322@)。我还没有测试它,但我会在这里发布我的结果。
【讨论】:
您无法使用 VPC 中的安全组执行此操作,并且由于您无法再创建不在 VPC 中的安全组(至少我不知道如何),我认为这不再可能。
您必须查看 VPC 对等连接,但这超出了我的想象。
【讨论】: