当我第一次设置AWS时，创建的默认安全组是什么？

Question

我对几个组所扮演的角色感到困惑，这些组似乎已经自动添加到我的AWS安全组列表中，连接在我收集的默认配置中，并想知道它们是如何工作的(以及更改它们是安全的)。具体来说，有三个是神秘的：

• launch-wizard-1，它有一个入站规则SSH，TCP，22，0.0.0.0/0。
• default被描述为“默认VPC安全组”，它对所有通信量和用作源的所有端口都有入站规则。
• default_elb_...被描述为“在ELB创建过程中没有指定安全组时使用的ELB创建的安全组-修改可能会影响未来ELB的通信量”，后者有一个入站规则，允许从所有IP地址发送HTTP。

前两个安全组似乎没有连接到任何其他安全组，而后者是我的ElasticBean秸秆环境中每个安全组中入站HTTP规则的源。

三组是做什么的？我能换一下吗？或者改变与他们的联系？

例如，后一条规则的效果似乎是允许从任何地方向我的所有EB环境发送HTTP流量。我是否可以更改此规则以限制IP(适用于所有环境)？我是否可以将该规则作为来自给定EB环境的源(例如，用一系列it替换为源)？

Answer 1

看起来您已经掌握了一个安全组的句柄:一个应用于EC2实例的有状态防火墙。

当您从web控制台手动启动EC2 VM时，AWS将为您提供重用现有安全组或创建新安全组的选项。当您创建一个新的安全组时，默认规则是SSH (端口22)和默认的安全组名称“启动向导-#”。

不幸的是，由于一个安全组可以被多个EC2实例使用，所以在删除VM时没有清理它们。因此，如果删除创建启动向导-1的VM，它不会删除安全组。

转到“VPC的默认安全组”。当您创建VPC时，将同时创建一个默认的安全组。当EC2实例被启动到VPC子网时，如果未指定另一个实例，则将为它们分配默认的安全组。(SecurityGroups.html#DefaultSecurityGroup)。

那么，这个规则是什么意思，允许它自己说话呢？默认情况下，安全组拒绝所有入站通信量。这个“自言自语”入站规则表明，如果两个VM都分配了此规则，则允许它们在所有端口上相互通信。您应该使用这个默认组吗？不是的。创建执行最小特权规则的唯一安全组(只打开需要它们的实例的端口)。

不幸的是，我没有太多的弹性豆茎经验，所以这是我的答案转向假设。在我玩豆茎的小游戏中，我记得它在你的帐户中创造了辅助资源。这似乎是你的弹性负载均衡器(ELB)的情况。如描述所示，当ElasticBean秸秆需要启动一个新的负载均衡器时，除非您指定另一个负载均衡器，否则负载均衡器将使用此默认组。我相信这个链接记录了你将如何做到这一点(http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/using-features.managing.elb.html)。

在所有情况下，我建议不要使用默认的安全组来支持该实例的安全需求所特有的单独防火墙规则。

你能改变或删除这些吗？

• 启动向导-1:是的，您可以删除或修改这个组。既然你提到他没有用，那就去用核弹吧。
• 默认: VPC对它创建的一些默认资源非常挑剔。我在我的帐户上测试了它，我不能删除它。当然，您可以修改它，但我建议您不要使用它。
• default_elb:如果我还记得的话，弹性豆秆使用cloudformation来创建额外的资源，比如一个ELB安全组。您可以修改这个安全组，但是它会在cloudformation和reality之间造成不一致。对于您的具体问题，您可以更改允许的IP的范围，但是如果您在私有IP上编写规则，则如果将这些环境部署到单独的VPC上，您将无法跨环境。