如何创建分级AWS安全组？

Question

我想在AWS中创建一个二级安全组的传家宝。

1. Location组-特定于不同位置的IP地址组(例如"office“、"home”、"customer 1“等)。每个基组授予每个IP访问所有通信量(端口0-65535)的权限。
2. 环境组-然后我尝试将这些基本位置组添加到我的高级环境组中(例如"test“、"prod”、"reporting“等等)。我将在EC2中为我的不同实例使用环境组。例如，服务器"uat_01“将引用"test”环境组，该环境组将授予对"office“的访问权限。

这是安全组sg-f2d8的入站规则设置.(办公室)

​

​

我正在根据需要添加使用端口范围访问HTTP (或HTTPS，或MySQL等)的基组，并使用“自定义”配置引用基组，例如“sg-f2d8.”。

​

​

在“安全组”面板中，一切看起来都很好，但我无法从选定的IP访问。

请帮帮我！有人告诉我，EC2安全组可以以这种方式引用基本组，但我似乎无法理解！

谢谢!

Answer 1

当您将安全组作为入站规则(或出站规则的目的地)的源时，您引用的是与该组关联的资源(即您创建的属于该组的ec2实例)，实际上不允许该组允许的通信量(这是aws-安全组中常见的误解)。通过这种方式引用安全组，在它们之间也没有传递性。

现在，为了实现你想要达到的目标，我能想到的唯一解决办法就是创建一组风格的家庭测试、办公测试、家庭测试，并在每个组中放入你认为合适的源ip。最终，这些组织将仅仅是“一级”安全组织。

正式的回答是，不，您不能创建层次化的answer组。