Это зависит от того, что вы подразумеваете под "начальной загрузкой пользовательских данных".
Если вы ссылаетесь на пользовательские данные экземпляра, которые извлекаются из службы метаданных экземпляра , которая не требуетправила, потому что его IP-адрес 169.254.169.254 подчиняется специальным правилам.
Группы безопасности Amazon и ACL сети не фильтруют трафик к локальным адресам или с них (169.254.0.0/16) илиЗарезервированные в AWS IPv4-адреса - это первые четыре IPv4-адреса подсети (включая адрес DNS-сервера Amazon для VPC).
https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html
Пользовательские данные (в этом смысле) передаются в API службы EC2 при вызове RunInstances
Действие , чтобы запроситьэкземпляр запущен.Служба EC2 сохраняет пользовательские данные, чтобы экземпляр мог получить их из службы метаданных экземпляра после ее запуска.Это предотвращает необходимость извлечения экземпляра извне.
Если это то, на что вы ссылаетесь, настройка группы безопасности не требуется.
См. Также Что особенного в отношении 169.254.169.254?
Но, поскольку вы упомянули PaloAlto, похоже, вам также может понадобиться доступ к корзине S3, исходя из этого:
Интерфейс управления VM-Брандмауэр серии должен иметь доступ к корзине S3 для завершения начальной загрузки.Вы можете назначить общедоступный IP-адрес или эластичный IP-адрес интерфейсу управления, чтобы получить доступ к сегменту S3 через Интернет.Или создайте конечную точку VPC AWS в том же регионе, что и корзина S3, если вы предпочитаете создать частное соединение между вашим VPC и корзиной S3 и не хотите включать доступ в Интернет через интерфейс управления брандмауэром.Для получения дополнительной информации см. Документацию AWS по настройке конечных точек VPC
https://docs.paloaltonetworks.com/vm-series/7-1/vm-series-deployment/bootstrap-the-vm-series-firewall/bootstrap-the-vm-series-firewall-in-aws
Конечная точка VPC для S3 позволяет вам не только получать доступ к S3 (в том же регионе, что и конечная точка), не выходя из Интернет-шлюза, но также ограничивая экземпляры, использующие конечную точку VPC, для доступа только к определенным сегментам и выполнения определенных действий.Это единственный эффективный способ управления ограниченным доступом к S3 в целом, поскольку в противном случае доступ к нему должен осуществляться через Интернет, а его IP-адреса не являются статичными и поэтому не могут быть включены в группу безопасности.Даже если бы ограничения на основе IP были возможны, это не обеспечило бы значимой безопасности, поскольку злонамеренный пользователь мог выполнить фильтрацию данных, используя свое собственное ведро, поскольку вы позволили бы подключение ко всем S3.Корреляция IP-адресов с конкретными сегментами отсутствует.