AWS CloudFormation: невозможно найти существующий SG для назначения экземпляру RDS

Question

Создано и экспортировано SG из одного шаблона / стека:

  Resources
    RDSSecurityGroup:
      Type: AWS::EC2::SecurityGroup
      Properties:
        GroupName: "sg-name" 

  Outputs:
    SGRDS:
      Description: security group of rds instances
      Value: !Ref RDSSecurityGroup
      Export:
        Name: SGRDS

Однако, хотя экспорт создается при попытке использовать этот SG в создании RDS с использованием другого шаблона (и стека)

 Resources
   MYRDS: 
     Type: AWS::RDS::DBInstance
       Properties: 
       DBSecurityGroups:
        - !ImportValue SGRDS

происходит сбой со следующей ошибкой:

DBSecurityGroup не найдена: sg-0983409kdje5999

Обновление : похоже, это не проблема, связанная с экспортированным значением; Присвоение определенного SG моему экземпляру RDS по какой-то причине не удается в любом случае (я явно использовал имя SG, но на этот раз я получаю вышеприведенную ошибку «not found» с именем вместо id).

По какой-то причине он не может найти СГ.

Answer 1

Поскольку вы используете AWS::EC2::SecurityGroup, вам нужно использовать свойство VPCSecurityGroups, чтобы указать импортируемую группу безопасности, а не DBSecurityGroups. Сбой, потому что указанный вами SG не DBSecurityGroup.

Существует два способа установки групп безопасности для экземпляра RDS, который описан здесь :

1. DBsecurityGroups : группа безопасности типа AWS::RDS::DBSecurityGroup. Это был старый способ защиты RDS экземпляры.

2. VPCSecurityGroups : группа безопасности типа AWS::EC2::SecurityGroup, который позволяет вам указать безопасность VPC группы для защиты вашего экземпляра RDS.