Как ограничить доступ к EC2 только из NLB

Question

Вопрос

Есть ли способ удостовериться, что доступ поступает только с указанного c NLB? В соответствии с текущими ограничениями NLB, я не уверен, есть ли способ.

Ограничения

• AWS Сетевой балансировщик нагрузки (NLB) не имеет группы безопасности ( SG), следовательно, не может использовать SG для проверки того, что источником является NLB.

• NLB (цель ID экземпляра) сохраняет исходный IP-адрес внешнего клиента, поэтому не может использовать исходный IP для проверки источник - NLB.

Ссылки

• Балансировщики сетевой нагрузки не имеют групп безопасности
• Сохранение IP-адреса источника

  Если вы укажете цели с помощью идентификатора экземпляра, IP-адреса клиентов будут сохранены и предоставлены вашим приложениям.

Answer 1

Один из возможных способов сделать это - предоставить NLB и его EC2 в отдельном частном su bnet, зарезервированном только для них, и убедиться, что ваши правила маршрутизации не позволяют другим подсетям в VP C маршрутизировать в отдельное частное су bnet.

Answer 2

Вы можете установить EC2 на NAT su bnet, а затем указать на этот EC2 через NLB. Таким образом, хотя ваша группа безопасности EC2 установлена ​​на 0.0.0.0/0, только NLB может получить к ней доступ.

Answer 3

Как и в документе AWS NLB - целевые группы безопасности , невозможно идентифицировать NLB и убедиться, что доступ осуществляется только из NLB, если целевой тип является экземпляром. Необходимо использовать IP-адрес клиента, который обращается к NLB.

Пределы
Балансировщики сетевой нагрузки не имеют связанных групп безопасности . Поэтому группы безопасности для ваших целей должны использовать IP-адреса , чтобы разрешить трафик c от балансировщика нагрузки.

Вы не можете разрешить трафик c от клиентов к целям через балансировщик нагрузки использование групп безопасности для клиентов в группах безопасности для целей. Вместо этого используйте клиентские блоки CIDR в целевых группах безопасности .