Question

При использовании ECR для хранения образов контейнеров для использования с ECS экземпляр EC2 (или служба Fargate) должен иметь группу безопасности, которая разрешает доступ (через общедоступный Интернет) к URI репозитория для конкретной учетной записи.

Во многих организациях действуют строгие правила создания белых списков IP-адресов, которые, как правило, не разрешают использование исходящего порта 443 для всех IP-адресов.

Нет интерфейса / шлюза конечной точки VPC, доступного для ECR, и, предположительно, как и большинство сервисов AWS, его IP-адрес эластичен и может измениться в любой момент.

Итак, как добавить правило выхода в группу безопасности, которая разрешает исходящий доступ через порт 443 к URI ECR, не открывая его для всех IP-адресов?

d1ll1nger · Answer 1 · 07 ноября 2018

Хотя IP-адрес конечной точки может измениться, он будет меняться только на другой IP-адрес в довольно большом блоке CIDR. Amazon публикует все свои диапазоны IP-адресов в файле .json, который можно получить здесь:

https://aws.amazon.com/blogs/aws/aws-ip-ranges-json/

Вы можете сузить его до диапазона IP-адресов для служб EC2 и AMAZON в регионе, в котором вы развертываете. Хотя диапазон довольно большой.

Выходное правило группы безопасности, разрешающее только запросы ECR

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Выходное правило группы безопасности, разрешающее только запросы ECR

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы