【问题标题】:Can AWS security groups on one AWS account reference security groups in another?一个 AWS 账户上的 AWS 安全组可以引用另一个 AWS 账户中的安全组吗?
【发布时间】:2018-06-13 08:25:26
【问题描述】:

例如,我有一个主要的公司 AWS 账户,其安全组为 xxxxx。现在,我拥有安全组 yyyyy 的个人 aws。这些帐户根本​​不相关。我可以将 accept group-yyyyy 添加到 group-xxxxx 中,从而允许我的个人实例访问公司实例吗?

【问题讨论】:

    标签: security amazon-web-services


    【解决方案1】:

    你可以使用web UI来添加

    other-aws-account-id/account-security-group-id

    951413000000/sg-deadbeef作为来源

    【讨论】:

    • 虽然这个问题是一年多以前提出的,但应该将其标记为正确答案。
    • Per @marc-kubischta:“如果您要引用的安全组位于另一个区域,那么您就不走运了。在这种情况下,一种可能的解决方法是使用 EIP 在另一个区域和帐户,并将该代理的 EIP 添加到您正在创建的安全组中。” stackoverflow.com/review/suggested-edits/5693066
    • 如果安全组在 VPC 中,则这是不可能的。
    • 看来@LeighMcCulloch 是对的。我试过这个并收到以下错误消息:无法更新您的安全组规则(未进行任何更改):属于其他用户的组可能不会被授予对 VPC 安全组的权限。
    • 您不能引用位于不同区域的对等 VPC 的安全组。相反,请使用对等 VPC 的 CIDR 块。 docs.aws.amazon.com/vpc/latest/peering/…
    【解决方案2】:

    对于现在正在为这个问题寻找解决方案的人来说,如果他们的 vpc 是对等的,则可以从跨账户引用安全组。 ! 它是 aws 的新功能!干杯

    Link to article

    【讨论】:

    • 可以引用跨账户安全组,但引用似乎无关紧要。我刚刚创建了一条规则,以允许从一个帐户中的 SG 到另一个帐户中的所有访问权限,但使用这些组的实例无法相互交谈!
    • VPC 是否对等?
    • 嗨 @p-joel-nishanth-reddy,是的,他们是 VPC 对等体。
    • 一般每个VPC本身都有SG关联,请先检查。此外,当您从另一个帐户关联 SG 时,安全性中的规则会以类似“/account-id” 的格式显示
    【解决方案3】:

    我知道这已经很老了,但我发现了一个更老的 AWS Developer Forums 主题,它讨论了这个问题,并且似乎可以使用 EC2 API 工具通过使用 ec2-authorize 命令(例如,@ 987654322@)。我还没有测试它,但我会在这里发布我的结果。

    【讨论】:

      【解决方案4】:

      您无法使用 VPC 中的安全组执行此操作,并且由于您无法再创建不在 VPC 中的安全组(至少我不知道如何),我认为这不再可能。

      您必须查看 VPC 对等连接,但这超出了我的想象。

      【讨论】:

        猜你喜欢
        • 2017-03-13
        • 1970-01-01
        • 2018-10-13
        • 1970-01-01
        • 2020-12-28
        • 1970-01-01
        • 2018-01-07
        • 2020-05-19
        • 1970-01-01
        相关资源
        最近更新 更多