AWS安全组:入站规则的来源与安全组名称相同？

Question

我有一个ec2实例，它运行一个网站并与ALB关联。

通常，作为ec2实例安全组内部的一种实践，将引用alb安全组，但在这里，客户端具有这样的配置，即ec2实例中的源是安全组本身的名称。

名称为ec2实例的安全组

sg-0bc7e4b8b0fc62ec7 - default

根据我对aws安全组的理解，在涉及源时，在入站规则下，我们可以提到IP地址、CIDR块或reference another security group。

，但这对入站规则意味着什么，在这里，所有通信量、所有端口都被允许，但对于sg-0bc7e4b8b0fc62ec7 / default =sg-0bc7e4b8b0fc62ec7 / default除外。

我混淆了作为源的安全组同名的用法，这个规则意味着什么？

Answer 1

每个VPC都有一个默认安全组 (SG)。在这个SG中，入站规则允许来自“自身”的所有传入通信量。这意味着

当指定安全组作为规则的源时，允许来自与指定协议和端口的源安全组相关联的网络接口的通信量。

换句话说，如果有两个使用默认VPC的实例，它们只能相互通信。任何一个实例都不允许其他入站通信量。

使用SG作为源是一个很好的实践，如果经常在负载均衡器(LB)和它的实例之间，或者在实例和RDS数据库之间使用。在第一种情况下，实例只允许来自LB的SG的传入流量，而在第二种情况下，db实例只允许来自实例的SG的传入连接。