Score:0

AWS: จำกัดการเข้าถึงฐานข้อมูลจากภายนอก แต่อนุญาตให้งาน ECS เข้าถึงได้

ธง jp

ฉันดูแลเครือข่ายไม่เก่ง ดังนั้นฉันจึงต้องการความช่วยเหลือเพื่อทำสิ่งพื้นฐานจริงๆ บน AWS โดยพื้นฐานแล้ว ฉันมีฐานข้อมูล RDS บน vpc เรียกมันว่า VPC1 ฐานข้อมูลยังเชื่อมโยงกับกลุ่มความปลอดภัย VPC "ค่าเริ่มต้น: sg1"

ฉันมีเซิร์ฟเวอร์ API ที่ต้องเข้าถึงฐานข้อมูลที่ทำงานเป็นอิมเมจนักเทียบท่า (บริการ) โดยใช้ ECS เซิร์ฟเวอร์ API นี้เชื่อมโยงกับโหลดบาลานเซอร์ใน VPC ID VPC1 เดียวกัน งานมี IP ภายนอก XXX.XXX.XXX.XXX และ IP ภายใน YYY.YYY.YYY.YYY

สิ่งที่ฉันต้องการทำคืออนุญาตให้บริการ ECS เข้าถึงฐานข้อมูล แต่ปิดการเข้าถึงภายนอกอื่นๆ ทั้งหมด

ฉันได้ลองสิ่งต่อไปนี้แล้ว:

  • เพิ่ม IP ส่วนตัวในกฎ SG ขาเข้า
  • เพิ่ม IP สาธารณะในกฎ SG ขาเข้า
  • เพิ่มกลุ่มความปลอดภัยของเครือข่ายที่งานเป็นส่วนหนึ่งของกฎ SG โปรโตคอลสำหรับการทดสอบถูกตั้งค่าเป็น "ทั้งหมด"

สิ่งเหล่านี้ดูเหมือนจะไม่ทำงาน ฉันพลาดอะไรไปที่นี่?

Score:1
ธง gp
Tim

ฉันมักจะทำเช่นนี้กับการอ้างอิงกลุ่มความปลอดภัยมากกว่า IP ตรวจสอบให้แน่ใจว่าทรัพยากรแต่ละรายการ (DB, ECS) ได้รับการกำหนดกลุ่มความปลอดภัยที่ไม่ได้ใช้สำหรับสิ่งอื่น เช่น ไม่ใช่ SG เริ่มต้น ค่าเริ่มต้นใช้งานได้แต่ไม่ใช่แนวปฏิบัติที่ดีและยากต่อการติดตาม

คุณต้องใส่กฎกลุ่มความปลอดภัยที่ตรงกันเพื่ออนุญาตทราฟฟิกออกจาก ECS ไปยัง DB และเข้าสู่ DB จาก ECS:

  • ECS SG: อนุญาต ขาออก การเชื่อมต่อ ถึง DB SG บนพอร์ตที่ต้องการ
  • DB SG: อนุญาต ขาเข้า การเชื่อมต่อ จาก DB SG บนพอร์ตที่ต้องการ

เนื่องจากกลุ่มความปลอดภัยเป็นแบบ stateful คุณไม่จำเป็นต้องอนุญาตให้ ECS เข้ามาใน ECS หรือออกจาก DB

หากคุณจำเป็นต้องทำสิ่งนี้กับ IP ด้วยเหตุผลบางอย่าง ตรวจสอบให้แน่ใจว่าคุณใช้ IP ส่วนตัวแทนที่จะเป็นสาธารณะ ใน IP สาธารณะของ AWS จะถูกแปลในอินเทอร์เน็ตเกตเวย์เท่านั้น จะไม่มีการใช้งานภายใน VPC

jp flag
ใช่ วิธีนี้ดูเหมือนจะเป็นวิธีแก้ปัญหาที่ดีที่สุดและไม่เจ็บปวดที่สุด ขอแสดงความนับถือ

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา