Политика сервиса ec2, ограничивающая создание входящего доступа s sh publi c - PullRequest
Новая
       32

Политика сервиса ec2, ограничивающая создание входящего доступа s sh publi c

0 голосов
/ 16 апреля 2020

Мне нужно создать политику управления службами AWS, чтобы ограничить создание входящего правила для s sh с доступом publi c через группу безопасности.
Я пробовал с помощью этого скрипта JSON ниже , но я запутался с этим. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ec2:RevokeSecurityGroupIngress",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:UpdateSecurityGroupRuleDescriptionsEgress",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:UpdateSecurityGroupRuleDescriptionsIngress"
            ],
            "Resource": "arn:aws:ec2:*:352571213128:security-group/*",
            "Condition": {
                "ForAnyValue:NotIpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            }
        }
    ]
}

Тем не менее, можно создать правило для 0.0.0.0/0. Нужно: мне нужен только протокол s sh.

Ответы [ 2 ]

1 голос
/ 16 апреля 2020

Как правило, вы будете делать это с помощью автоматизированных сценариев, таких как CloudFormation или Terraform, через которые вы можете пропустить уже существующую / созданную группу безопасности, которая будет иметь ограничение порта 22 с данным IP. Если нет, вы сначала создадите группу безопасности и затем присоедините ее к вновь созданному экземпляру EC2.

Если вы делаете это вручную, то сразу после создания экземпляра EC2 вам потребуется go присоединение группы безопасности и измените диапазон IP-адресов вручную с 0.0.0.0/0 до указанного вами c IP-диапазонов.

1 голос
/ 16 апреля 2020

может быть создано входящее правило для 0.0.0.0/0.

, насколько я знаю, SourceIp означает IP-адрес вызывающего aws клиента, создающего ресурс (sg), а не значение в ресурсе

Я не уверен, что вы могли бы применить значения в SG с помощью политики.

ограничить создание входящего правила для s sh с доступом publi c через группу безопасности

Я полагаю, вы можете проверить для publi c s sh групп, использующих AWS Config (тогда у вас может быть лямбда для удаления или обновления sg)

Уже есть управляемое правило aws config "limited-s sh", хотя оно работает только для ipv4, поэтому вы можете создать свой собственный, чтобы обеспечить заданные значения c или поддержку ipv6

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...