Как я могу разрешить доступ к Jupyter Notebook, запущенному в браузере на AWS EC2, только с одного IP-адреса?

Question

Я пытаюсь разрешить доступ к моей записной книжке Jupyter только с одним IP-адресом, который работает в браузере на экземпляре ec2.

Я попытался установить входящие правила в моем acl, чтобы разрешить весь трафик только с моего IP-адреса. Кроме того, я попытался сделать это с группой безопасности. Какой вариант был бы более подходящим?

Моя последняя цель - предоставить доступ к ограниченному количеству пользователей из одного из наших небольших мест на основе их IP-адресов.

Спасибо за вашу помощь!

Answer 1

Реальный ответ заключается в том, что это зависит как от того, как выглядит ваша другая инфраструктура, от того, получают ли дополнительные пользователи привилегии доступа к консоли / ресурсу через IAM, насколько вам удобны различные параметры безопасности и сколько времени у вас ». ищите потратить управление правами доступа.

В следующей таблице , взятой из документов по безопасности AWS VPC , предлагается прямое сравнение между функциями двух опций, о которых вы спрашивали: группы безопасности и сетевые ACL.

Использование группы безопасности или сетевого ACL будет работать, но я бы порекомендовал использовать группу безопасности , поскольку похоже, что ваш сценарий использования позволяет управлять доступом к ресурсу за ресурсом (экземпляр на уровне), а не на уровне подсети.

От документов до IP-адресов белого списка для группы безопасности вам необходимо добавить правило в группу безопасности, которую вы прикрепили к экземпляру EC2 (или создать и присоединить новый). ):

Добавление правила в группу безопасности для входящего трафика SSH через IPv4 (консоль)

1. На панели навигации консоли Amazon EC2 выберите Экземпляры. Выберите свой экземпляр и посмотрите на вкладку «Описание»; Группы безопасности перечисляет группы безопасности, связанные с экземпляром. Выберите просмотр входящих правил, чтобы отобразить список правил, которые находятся в эффект для экземпляра.

2. На панели навигации выберите Группы безопасности. Выберите одну из групп безопасности, связанных с вашим экземпляром.

3. В области сведений на вкладке Входящие выберите Изменить. В диалоговом окне выберите «Добавить правило», а затем выберите SSH из списка «Тип».

4. В поле Источник выберите Мой IP-адрес, чтобы автоматически заполнить поле общедоступным IPv4-адресом вашего локального компьютера. Либо выберите Пользовательский и укажите публичный IPv4-адрес ваш компьютер или сеть в нотации CIDR. Например, если ваш IPv4 адрес 203.0.113.25, укажите 203.0.113.25/32, чтобы перечислить этот сингл IPv4-адрес в нотации CIDR. Если ваша компания выделяет адреса из диапазона, укажите весь диапазон, например 203.0.113.0/24.

Информацию о поиске вашего IP-адреса см. В разделе Перед началом работы.

5. Выберите Сохранить.

Наконец, если единственная цель вашего экземпляра EC2 - запустить Jupyter Notebook, я советую проверить SageMaker, размещенный на Jupyter Notebooks , так как они могут быть более удобными для того, что вы пытаетесь сделать ( легко получить доступ к облачному ноутбуку Jupyter, но без необходимости SSH из терминала).