如何在云组模版中从其他私有网络添加SecurityGroupIngress中的安全组？

Question

我们有多个AWS帐户。创建创建安全组的CFTemplate时，需要添加来自其他私有网络的SG作为入站规则。当我用"CidrIp“尝试相同的代码时，我的堆栈创建没有错误，但当我给出SourceSecurityGroupId & SourceSecurityGroupOwnerId时，我得到了错误，因为给定的VPC不存在。这是我使用的代码。

"Resources" : {
    "PrivateWindowsSg" : {
      "Type" : "AWS::EC2::SecurityGroup",
      "Properties" : {
         "GroupDescription" : "Ingress from AD & DC in CS",
         "VpcId" : {
           "Ref" : "VPCID"
         }
      }
    },
    "PrivateWindowsSgIngress" : {
      "Type" : "AWS::EC2::SecurityGroupIngress",
      "Properties" :{
          "Description" : "Ingress from AD & DC in CS",
          "GroupId" : {
            "Ref" : "PrivateWindowsSg"
          },
          "IpProtocol" : "UDP",
          "FromPort" : "49152",
          "ToPort" : "65535",
          "SourceSecurityGroupId" : "SG from Other VPC",
          "SourceSecurityGroupOwnerId" :"AWSAccountID"
          }
        }
      }

每次看到的错误是:默认私有网络'none‘(服务:AmazonEC2，状态码:400，错误码:InvalidGroup.NotFound，请求ID: 056cc269-421d-4985-a15a-b672f20041c8)中不存在安全组'sg-055f0xxxx’“。

有没有人能帮助解决这个问题？

Answer 1

您尝试添加的源安全组是否符合以下要求：

另一个安全组。允许指定安全组关联的实例访问该安全组关联的实例。这不会将源安全组中的规则添加到此安全组中。您可以指定以下安全组之一：

• 当前安全组
• 同一私有网络的不同安全组
• 私有网络对等连接中的对等私有网络的不同安全组

如果不是，您将无法添加它。有关详细信息，请参阅here。您也可以尝试通过管理控制台手动执行此操作来进行测试。如果它在那里工作，那么你应该能够用CloudFormation来做，如果不能，那么你就知道你的问题在哪里了。

Answer 2

我发现我的代码正常工作。问题不是代码问题，而是测试与目的VPC没有对等连接的错误VPC的模板。