为什么主网络接口被迫继承其EC2实例的所有安全组？

Question

我正在测试一个运行在EC2实例上的虚拟负载均衡器。我想能够改变设置和测试平衡器在各种情况下。为了模拟物理负载均衡器，我为实例分配了三个网络接口：

1. 外部(主要)-一个暴露在网络上的接口。AWS规则将被设置为允许该接口的所有通信量。负载均衡器将设置自己的IP/端口规则，以在内部过滤该通信量。与此接口的连接将从VPC内部和外部到达。
2. 管理-一个专门的接口，其规则被设置为允许HTTPS流量到负载平衡器的web接口，或者允许SSH流量到运行在负载均衡器上的管理外壳。管理连接将建立在VPC之外的计算机上。
3. 内部--负载均衡器后面的所有实例将通过它连接的接口。此接口上的连接将由负载均衡器映射到外部接口上的连接。到内部接口的连接只能从VPC内部的实例中到达。

为了模拟物理连接，我想对这些接口应用一些AWS安全组规则，以便只允许VPC中某些实例之间的连接(IE:它们彼此插入)。为了做到这一点，我为每个接口(内部、管理和外部)创建了一个单独的安全组。

我的理解是，安全组中的规则适用于属于它们的接口上的所有入站和出站通信。由于这个设置中的每个接口都具有不同的角色，所以我希望每个接口都属于一个(而且只有一个)安全组。

我不清楚的是，实例本身(相对于其接口)属于一个安全组意味着什么。我的想法是，由于负载平衡器实例将在所有三个接口上进行通信，所以它应该属于所有三个安全组。

不幸的是，当我将内部和管理安全组应用于实例时，它强制外部接口也位于内部和管理安全组中。

同样，当我从外部接口中删除内部和管理安全组时，它也会从这些安全组中删除实例。

应用于实例的安全组只是一个多余的配置快捷方式(IE:只有应用于网络接口的安全组才是真正重要的)，是否有其他方法来实现我想要的配置，还是我想错了问题，并且AWS有理由阻止这种配置？

Answer 1

虽然可能暗示AWS实例有安全组，但实际上网络接口有安全组。每个接口(与实例或埃尼一起提供)都可以有自己的安全组。任何安全组都可以应用于您需要的任意多个网络接口。

Answer 2

因为这就是它的工作原理，以及它是如何被记录下来工作的。

将安全组应用于实例的能力只是语法上的糖。如文件所示，它将安全组应用于该实例的主网络接口。