在安全组规则中使用安全组作为来源时，是否可以匹配公网IP？

Question

我有两套系统，分别位于两个不同的可用区，每个都有自己的安全组A和B。

在区域A的安全组中，我创建了一个入站规则，允许来自区域B安全组中的VM的所有传入流量。

这适用于内网in :当使用A的内网in时，B中的虚拟机可以连接到A中的虚拟机，但这不适用于外网in。

现在，我明白为什么它不起作用了(AWS security group that allows instances within VPC to connect doesn't work over public IP)，但是有没有一种简单的方法来配置区域A安全组，使所有与安全组B关联的公网IP也被允许？

即不跟踪公网IP，手动(或通过API)在‘安全组B’规则旁边的入站规则中维护？

Answer 1

安全组没有引用“安全组X中的资源使用的所有公共IP地址”的功能。

公有IP地址是按资源分配的，不与安全组关联。

您需要使用相关的公用IP地址手动更新安全组。或者，如果资源都在您的AWS账户中，您可以编写一个脚本来循环访问这些资源，获取它们的公共IP地址并将它们添加到安全组中。