我有2个安全组A1和A2。有一些属于A1或A2的EC2实例(不是两者)。
问题:只有属于A1的EC2实例才能访问属于A2的实例。
即,如果我尝试从台式机登录(不在AWS上),我应该无法在A2组上连接到机器。
是否可以在AWS安全组(对于A2)中创建这样的规则作为入站规则?
谢谢
简短答案:是
您可以将安全组A1的名称/ID用作组A2组的入站规则来源(具有文档中描述的EC2-Classic& ec2-vpc限制)
有关更多信息:亚马逊文档 - 安全组规则
例如,添加http连接(或任何您想要的连接类型),选择自定义规则,输入安全组ID(例如SG-6A7DC12E),保存该规则,然后,您确实需要删除任何说"所有IP"的规则,否则允许的IP将从该安全组以外的所有内容中覆盖块。
例如,如果您的协议是HTTPS,则需要删除此规则,因为它仍然允许所有其他IP连接。HTTP,TCP,80,0.0.0.0/0
您只需要修改A2安全组即可允许特定服务: -
在您的A2 SG上,您需要: -
允许所需端口,例如。3389至A1实例的IP_Address(假设IP地址为192.168.0.10)
类型协议端口源IP
RDP TCP 3389 192.168.0.10/32
相同的方式,您可以打开所需端口的多数。
是的,创建允许在安全组A2上从安全组A1到A2的特定流量。配置时,您可以在安全组A2上引用A1安全组ID。