是否可以为EC2 VPC安全组配置继承？

Question

我们希望能够从公司网络中的各种公开IP中访问VPC中的实例。是否可以创建安全组(如操作员-安全组)，并在应用于现有安全组的实例时对其进行继承的规则？

我尝试了以下配置，但失败了: sg-operator (安全组创建，不关联任何实例)端口3389源我的ip: 10.10.10.10

sg-server1 1(安全组关联实例)端口3389源"sg-operator“

在我看来，在安全组中添加的规则只在与实例直接关联时才起作用，还有其他方法吗？

Answer 1

其他组无法继承安全组规则。您需要做的是创建您的sg-operators安全组，然后直接将它应用到一组实例中，您可以在VPC (而不是经典版)中轻松地这样做。

背景:向现有安全组中添加安全组的允许规则意味着源安全组中的实例能够通过指定的端口和协议与现有安全组中的实例通信。这并不意味着附属安全组允许的任何通信量都被允许进入相关的安全组，这确实是一个更好的解决方案。

这允许您为DB服务器定义数据库服务器安全组，然后创建一个规则，允许web服务器安全组中的实例在端口3306上进行通信。

Answer 2

安全组规范对实例的访问，因此它们确实需要与实例相关联才能执行任何操作。您可以将多个安全组与实例关联起来，当涉及到服务器的访问时，实例将组合其规则。

例如，我们的web服务器有一个授予端口80访问0.0.0.0/0的安全组，以及一个向我们的office授予端口22访问的安全组。

Answer 3

找到解决方案..or解决方案。

转到istance并:更改安全组

一个实例可以关联多个安全组。

当然，只适用于vpc：)