Điểm:0

AWS: Hạn chế quyền truy cập bên ngoài vào Cơ sở dữ liệu nhưng cho phép tác vụ ECS truy cập

lá cờ jp

Tôi không giỏi quản trị mạng nên tôi cần trợ giúp để làm một số việc thực sự cơ bản trên AWS. Về cơ bản, tôi có cơ sở dữ liệu RDS trên vpc, hãy gọi nó là VPC1. Cơ sở dữ liệu cũng được liên kết với nhóm bảo mật VPC "Mặc định: sg1"

Tôi có một máy chủ API cần truy cập Cơ sở dữ liệu đang chạy dưới dạng hình ảnh docker (dịch vụ) bằng ECS. Máy chủ API này được liên kết với một bộ cân bằng tải trên cùng một VPC ID VPC1. Tác vụ có IP bên ngoài XXX.XXX.XXX.XXX và IP bên trong YYY.YYY.YYY.YYY

Tất cả những gì tôi muốn làm là cho phép dịch vụ ECS truy cập cơ sở dữ liệu nhưng vô hiệu hóa tất cả các quyền truy cập bên ngoài khác.

Tôi đã thử như sau:

  • thêm IP riêng vào quy tắc SG gửi đến
  • thêm IP công cộng vào quy tắc SG gửi đến
  • Thêm nhóm bảo mật của mạng mà nhiệm vụ là một phần của quy tắc SG Giao thức, để thử nghiệm, được đặt thành "tất cả"

Không ai trong số này dường như làm việc. Tôi đang thiếu gì ở đây?

Điểm:1
lá cờ gp
Tim

Tôi thường làm điều này với các tham chiếu nhóm bảo mật hơn là IP. Đảm bảo rằng mỗi tài nguyên (DB, ECS) được chỉ định một nhóm bảo mật không được sử dụng cho bất kỳ mục đích nào khác - tức là không phải là SG mặc định. Mặc định hoạt động nhưng đó không phải là cách thực hành tốt và khó theo dõi hơn.

Bạn cần đặt các quy tắc nhóm bảo mật phù hợp để cho phép lưu lượng truy cập từ ECS đến DB và vào DB từ ECS:

  • ECS SG: cho phép hướng ngoại kết nối đến DB SG trên cổng được yêu cầu.
  • DB SG: cho phép trong nước kết nối từ DB SG trên cổng được yêu cầu.

Vì các nhóm bảo mật có trạng thái nên bạn không cần phải cho phép nhập vào ECS hoặc gửi đi từ DB.

Nếu vì lý do nào đó bạn cần thực hiện việc này với IP, hãy đảm bảo rằng bạn sử dụng IP riêng tư thay vì công khai. Trong các IP công cộng của AWS chỉ được dịch trong cổng internet, chúng không được sử dụng trong VPC.

lá cờ jp
Vâng, đây dường như là giải pháp tốt nhất và không gây đau đớn nhất. Cám ơn sự tử tế của anh.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.