Как я могу внести в белый список домен слабых веб-хуков в PCF ASG?

Question

Я использую основную облачную литейную мастерскую для размещения своего приложения. Мне нужно добавить в белый список IP-адреса slack-webhooks в группе безопасности приложений (ASG). На данный момент у меня есть жестко закодированные 3 IP-адреса.

 {
    "description": "Slack-ip-1",
    "destination": "13.226.19.152",
    "protocol": "tcp",
    "ports": "443"
  },
  {
    "description": "Slack-ip-2",
    "destination": "13.249.130.154",
    "protocol": "tcp",
    "ports": "443"
  },
  {
    "description": "Slack-ip-3",
    "destination": "13.227.32.151",
    "protocol": "tcp",
    "ports": "443"
  }

Но Slack использует AWS, и существует высокая вероятность того, что эти IP-адреса будут часто меняться. Вместо жестко закодированных ips я могу занести в белый список домен типа hooks.slack.com?

Answer 1

К сожалению нет. Группы безопасности приложений преобразуются в правила iptables и с использованием доменных имен вместо IP-адресов, поэтому не рекомендуется (по соображениям безопасности и производительности) .

Я думаю, что вам лучше всего иметьcron-скрипт, который запускается периодически (возможно, ежедневно), который запускает dig или host и разрешает hooks.slack.com для получения IP-адресов. Если это изменится, вы можете либо отправить себе предупреждение, вероятно, через slack :), чтобы вы могли напомнить вам обновить ваши ASG или, возможно, вы могли бы автоматически обновить свои ASG из сценария. Зависит от того, насколько вы хотите получить фантазию.

Надеюсь, это поможет!