Amazon EC2 Özel IP'lerine EC2'de çalışan herhangi bir örnekten erişilebilir mi?

13

Burada önceki soruları aradıktan sonra, sahip olduğum bir örneğe 10.208.34.55 özel bir IP atanmışsa, bu adrese yalnızca DİĞER INSTANCES I OWN'in ulaşabileceği genel fikir birliği gibi görünüyor. Görmek:

İki Amazon EC2 örneği arasındaki trafik nasıl şifrelenir?

Bu doğru mu? Yani tüm örneklerimi sanki bir LAN'daymış gibi ele alabilir ve 10.XXX.XXX.XXX kaynağından gelen herhangi bir makinenin kimliğini doğrulayabilir ve güvenebilirim.

Sadece emin olmak istiyorum. Amazon'un, The Cloud ve onların 3 karakterlik kısaltmalarıyla ilgili şiirselliği balmumu ile net teknik dokümantasyon sağlamaktan daha fazla ilgilendiğini görüyorum.

networking  security  amazon-ec2  amazon-web-services 
jberryman
kaynak

Yanıtlar:

12

Amazon EC2, örneğinizin bir parçası olduğu güvenlik grupları sağlar; bu, hesabınızdaki veya diğer harici ana makinelerdeki diğer ana makine gruplarına izin vermenize olanak tanır. Biraz genel bakış için [Kullanıcı Kılavuzu] [1] -> Kavramlar -> Ağ güvenliği konusuna bakın.

Normalde "varsayılan" güvenlik grubundaki gruba (yani tüm diğer üyelere tam erişime sahip sizin diğer varsayılan ana) ve harici gelen erişime. EC2 içindeki diğer hesaplarda veya hesabınızda bulunan ancak "varsayılan grupta olmayan" diğer ana bilgisayarlar örneğinize erişemez.

Bir güvenlik grubuna diğer güvenlik gruplarına erişim izni verecek kurallar veya IP adreslerine / aralıklarına erişim izni vermek için kurallar ekleyebilirsiniz.

Sorunuzu biraz daha doğrudan yanıtlamak için: güvenlik grubu kurallarınız yalnızca aynı gruptan erişime izin verdiği sürece, örnekleriniz aynı IP alanını paylaşsalar bile başka bir müşterinin erişiminden güvenlik duvarına tabi olmalıdır.

[1]: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/ EC2 Kullanıcı Kılavuzu

Dominic Cleal
kaynak
1

Gareth - Her iki grubun da SSH portunun açık olduğunu varsayıyorum, bu nedenle bir hesaptan diğerine başarılı SSH sonucunuzu göstermiyor. Fikir basit - bir güvenlik grubu içinde - tüm portlar açık - dış erişim - tanımınıza göre - ve bu nedenle Amazon'daki başka bir grup harici erişim ile aynı.

-1

Cevap çok büyük bir HAYIR - birden fazla EC2 hesabım var ve B hesabındaki başka bir örnekten A hesabındaki durumlarımdan birine giriş yapmayı denedim. A için anahtar).

10.0.0.0/8 sürümünüzdeki herhangi birinin, hangi EC2 hesabını kullandıklarına bakılmaksızın örneklerinize erişebileceğini varsaymalısınız.

gareth_bowles
kaynak
3
Örnekte hangi güvenlik izinlerine sahipsiniz? Kimsenin örneğinize varsayılan olarak erişememesi gerekir, ancak makinelerde erişebilmeniz için öğreticilerde genellikle dünyaya tcp / 22 (SSH) açmanız önerilir. Örneği başlattığınız güvenlik grubunun izinlerini ("varsayılan"?) Kontrol etmek için ElastikFoks veya "ec2-define-group" kullanın. Muhtemelen aynı güvenlik grubunun üyelerinden tam erişime ve muhtemelen genel SSH erişimine (eklemiş olmanız gerekir) izin vereceksiniz.
Dominic Cleal
Haklısın, 22 numaralı bağlantı noktasına global erişimi etkinleştirdim - bu, örneklere erişmek için SSH anahtar çiftine hala ihtiyacınız olduğu için güvenli görünüyordu.
gareth_bowles
Açık olması, saldırılara maruz kalmanızı sağlar - yani SSH arka plan programınız gelen istekleri dinlemek zorunda kalır ve bu da Hizmet Reddi saldırısına neden olabilir. Bu, bazen başarısız oturumları izlemek ve iptables / ipfw aracılığıyla örnek güvenlik duvarı kurallarını açmak için ana bilgisayara fail2ban veya başka bir monitör gibi bir şey ekleyerek hafifletilir.
cgseller
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.