Как добавить группу безопасности в SecurityGroupIngress из другого VPC в шаблон формирования облака AWS? - PullRequest
Новая
       45

Как добавить группу безопасности в SecurityGroupIngress из другого VPC в шаблон формирования облака AWS?

0 голосов
/ 18 октября 2019

У нас есть несколько аккаунтов AWS. При создании CFTemplate для создания группы безопасности я должен добавить SG из другого VPC в качестве входящего правила. Когда я пытаюсь использовать тот же код с "CidrIp", мой стек создается без ошибок, но когда я даю SourceSecurityGroupId & SourceSecurityGroupOwnerId, я получаю сообщение об ошибке, поскольку данный VPC не существует. Это код, который я использовал. 

"Resources" : {
    "PrivateWindowsSg" : {
      "Type" : "AWS::EC2::SecurityGroup",
      "Properties" : {
         "GroupDescription" : "Ingress from AD & DC in CS",
         "VpcId" : {
           "Ref" : "VPCID"
         }
      }
    },
    "PrivateWindowsSgIngress" : {
      "Type" : "AWS::EC2::SecurityGroupIngress",
      "Properties" :{
          "Description" : "Ingress from AD & DC in CS",
          "GroupId" : {
            "Ref" : "PrivateWindowsSg"
          },
          "IpProtocol" : "UDP",
          "FromPort" : "49152",
          "ToPort" : "65535",
          "SourceSecurityGroupId" : "SG from Other VPC",
          "SourceSecurityGroupOwnerId" :"AWSAccountID"
          }
        }
      }

Ошибка, которую я получаю каждый раз: «Группа безопасности 'sg-055f0xxxx' не существует в VPC по умолчанию 'none' (Сервис: AmazonEC2; Код состояния:400; Код ошибки: InvalidGroup.NotFound; Идентификатор запроса: 056cc269-421d-4985-a15a-b672f20041c8) ".

Помогает ли кто-нибудь решить эту проблему?

Ответы [ 2 ]

0 голосов
/ 18 октября 2019

Я обнаружил, что мой код работает. Проблема не в коде, а в тестируемом шаблоне из-за неправильного VPC, который не имеет однорангового соединения с целевым VPC.

0 голосов
/ 18 октября 2019

Соответствует ли исходная группа безопасности, которую вы пытаетесь добавить, следующему:

Другая группа безопасности. Это позволяет экземплярам, ​​связанным с указанной группой безопасности, получать доступ к экземплярам, ​​связанным с этой группой безопасности. Это не добавляет правила из исходной группы безопасности в эту группу безопасности. Вы можете указать одну из следующих групп безопасности:

  • Текущая группа безопасности
  • Другая группа безопасности для того же VPC
  • Другая группа безопасности для однорангового узлаVPC в пиринговом соединении VPC

Если нет, вы не сможете его добавить. См. здесь для получения дополнительной информации. Вы также можете проверить это, попытавшись сделать это вручную через консоль администратора. Если это работает там, то вы должны быть в состоянии сделать это с CloudFormation, если нет, то вы знаете, где ваша проблема.

...