我的要求是:对于给定的AWS帐户,自动为该帐户的所有vpc打开端口xyz,用于cidr x.x.x.x/x。之后,我们希望对来自aws组织的所有其他aws帐户应用相同的方法。
我的方法是使用boto3 api....获取给定帐户的所有vpc的列表,获取其附加的SGs和NACLs,并附加所需的规则。
或者其他的解决方案是按照aws网络防火墙给出的文档。
我来这里是想知道是否有更好的实现这个的想法。
谢谢!
不可能"为vpc打开端口"。
每个Amazon VPC上的资源都关联一个安全组。您需要添加一个入站规则到安全组,以允许对资源的访问。
我会强烈建议不要盲目地为所有资源打开一个特定的端口. 只对需要访问的特定资源开放访问会更安全。
响应@jarmod的建议,通常你不应该修改NACL规则除非您有非常特定的理由这样做(例如创建DMZ)。安全组为大多数情况提供了足够的访问控制。