Как отключить доступ к портам из других регионов AWS в группе безопасности AWS

Question

Я хотел бы создать простое правило в группе безопасности AWS, которое по умолчанию разрешало бы доступ только к определенному порту ТОЛЬКО для экземпляров, работающих в определенном регионе AWS (например, us-east-1).Я знаю, что группы безопасности привязаны к определенному региону AWS, и, исходя из этого предположения, я подумал, что существует некоторый простой способ создания правила в группе безопасности для определенного порта, который запрещает доступ для запросов, поступающих от экземпляров в других регионах AWS.

Во время поиска в Google я нашел список диапазонов IP-адресов для определенных регионов на AWS: https://ip -ranges.amazonaws.com / ip-range.json , но список не маленький, поэтомудобавление списка всех диапазонов IP-адресов для конкретного региона будет моим последним средством.

Заранее спасибо.

Answer 1

В списке, на который вы ссылаетесь ip-ranges.json, перечислены только ресурсы AWS, а не другие IP-адреса, которые могут существовать в других регионах.

Группы безопасности не привязаны к региону AWS.Группы безопасности - это программно-определяемый сетевой экран (SDN), подключенный к сетевому интерфейсу.Группы безопасности не имеют наследственных знаний о регионах AWS.

За исключением использования геолокации, нет надежного способа узнать, откуда происходит трафик, когда он достигает точки AZ вашего экземпляра.Регион AWS не использует только указанный диапазон IP-адресов.Регион AWS может изменить диапазоны адресации (добавление, удаление и т. Д.) В любое время.AWS поддерживает Bring Your Own IP, что еще больше делает это невозможным.