У меня есть экземпляр EC2, на котором запущен HTTP-сервер в одной группе безопасности (давайте назовем его SG1), и ряд других экземпляров EC2 во второй группе безопасности (SG2), которым необходимо отправлять запросы первой.
Если я разрешу входящий трафик HTTP (TCP-порт 80) c для 0.0.0.0/0, проблем не будет.
Если заменить это правило, указав, что входящий трафик c разрешен из SG2 Я не могу получить доступ к серверу из любого места (включая экземпляры EC2 в SG2).
Мой ACL-список достаточно разрешительный в любом случае (разрешен весь трафик c) и независимо от того, что он не изменяется.
Я должен иметь возможность разрешить входящий трафик c по sgID, как указано в следующем сообщении, которое отображается в консоли при настройке SG1:
Определяет трафик c, который может добраться до вашего экземпляра. Укажите один IP-адрес или диапазон IP-адресов в нотации CIDR (например, 203.0.113.5/32). При подключении из-за брандмауэра вам потребуется диапазон IP-адресов, используемый клиентскими компьютерами. Вы можете указать имя или идентификатор другой группы безопасности в том же регионе. Чтобы указать группу безопасности в другой учетной записи AWS (только EC2-Classi c), добавьте к ней префикс с идентификатором учетной записи и переслать sla sh, например: 111122223333 / OtherSecurityGroup.