我现在有5个不同的安全组,我已经尽力把它们组织得最好。
我有时需要根据我所处的位置打开对某些实例的SSH访问,因此我为入站端口22添加了来自当前IP的规则。我可以很好地进入,但为了保持事情整洁,我希望能够指定这个IP来自格拉斯哥办公室,这个来自伦敦,纽约等,但我看不到放一点或额外信息的方法。
我们几个人正在更新一个安全组,过了一会儿,有些人忘记删除临时规则,这可能会变得有点混乱,当我们想要清理安全组并删除那些临时规则而保留永久规则时,事情变得困难。
我在文档中找不到任何允许我在每条规则旁边添加这个小描述的东西;我错过什么了吗?
这个问题的答案最近有所改变。
安全组规则现在有一个Description字段
AWS公告(2017年8月31日)https://aws.amazon.com/about-aws/whats-new/2017/08/simplify-management-of-security-groups-with-security-group-rule-descriptions/
Amazon EC2现在允许客户向单个安全组规则添加简短描述。使用此功能,客户可以添加详细信息,例如创建或更新某个安全组规则的时间和原因。此功能简化了安全组的管理,因为客户不再需要使用电子表格或文档跟踪此信息。
不,你没有错过一些东西,但是没有办法为安全组中的ip添加描述。另一种安排方式是为资源创建一个主安全组,并按办公室的名称创建多个安全组,并将它们附加到主安全组。您必须为IP地址维护单独的文档。
虽然没有安全组的描述字段,但是您可以(而且应该)使用标记向每个安全组添加元数据。
我建议您为每个名为description的安全组创建标记,并在那里提供详细的描述。
其他可以用于EC2对象的标签通常是owner, function和environment。
因此,对于SSH SG,您可以定义如下标记:
owner=rodrigo m
function=secure ssh access
environment=production
description=Glasgow's office IP x.x.x.x London Office IP y.y.y.y
updated_on=8/9/2016
我很困惑,因为它看起来像命令
aws ec2 describe-security-groups --generate-cli-skeleton
允许基于标签名称和值的过滤器
{
"DryRun": true,
"GroupNames": [
""
],
"GroupIds": [
""
],
"Filters": [
{
"Name": "",
"Values": [
""
]
}
]
}
可以直接回答您的问题,即如何将元数据应用到您想要的安全组,但我没有看到在任何aws cli命令中设置元数据的方法。
我看到的另一种简化安全组的成功方法是使用VPN配置,为用户提供稳定的IP地址端点,这样就不会在安全组中戳洞,而是将受信任的端点移动到加密安全的VPN中。