EC2 Security Groups Управление источником / назначением

Question

Я читаю официальное учебное пособие , сертифицированное по *1001*AWS, и наткнулся на следующую информацию (см. В приложении). У меня такой вопрос: означает ли выделенный текст, что я могу контролировать, может ли трафик c на мой EC2 поступать только из экземпляра, назначенного определенной группе безопасности? Если да, то можете ли вы дать простое объяснение или ссылку на это? Спасибо.

Атрибуты правила группы безопасности

Answer 1

Да.

Итак, очень хороший пример того, где вы можете использовать это, выглядит следующим образом.

У вас есть балансировщик нагрузки, L и набор EC2, E

L имеет группу безопасности Ls , которая разрешает вход на порт 443 везде.

Вы что-то работает на порте 8080 на EC2, но не хочет, чтобы это было открыто опубликовано.

Вы можете назначить группу безопасности для EC2, Es и сказать «разрешить входящий порт 8080» из этих CIDR. Но затем вы должны указать диапазон IP-адресов для разрешения входа.

В качестве альтернативы вы можете добавить правило группы безопасности к Es , которое говорит "разрешить TCP 8080 от исходная группа безопасности Ls"

Это означает, что входящий трафик c до Es разрешен, только если он происходит из группы безопасности Ls .

Это очень аккуратный способ привязать ваши EC2 к Балансировщику нагрузки без необходимости указывать Балансировщик нагрузки. s IP-адрес (то есть, если он есть)