AWS: Hạn chế quyền truy cập bên ngoài vào Cơ sở dữ liệu nhưng cho phép tác vụ ECS truy cập

user631845

07:33, 27/07/2023

Tôi không giỏi quản trị mạng nên tôi cần trợ giúp để làm một số việc thực sự cơ bản trên AWS. Về cơ bản, tôi có cơ sở dữ liệu RDS trên vpc, hãy gọi nó là VPC1. Cơ sở dữ liệu cũng được liên kết với nhóm bảo mật VPC "Mặc định: sg1"

Tôi có một máy chủ API cần truy cập Cơ sở dữ liệu đang chạy dưới dạng hình ảnh docker (dịch vụ) bằng ECS. Máy chủ API này được liên kết với một bộ cân bằng tải trên cùng một VPC ID VPC1. Tác vụ có IP bên ngoài XXX.XXX.XXX.XXX và IP bên trong YYY.YYY.YYY.YYY

Tất cả những gì tôi muốn làm là cho phép dịch vụ ECS truy cập cơ sở dữ liệu nhưng vô hiệu hóa tất cả các quyền truy cập bên ngoài khác.

Tôi đã thử như sau:

thêm IP riêng vào quy tắc SG gửi đến
thêm IP công cộng vào quy tắc SG gửi đến
Thêm nhóm bảo mật của mạng mà nhiệm vụ là một phần của quy tắc SG Giao thức, để thử nghiệm, được đặt thành "tất cả"

Không ai trong số này dường như làm việc. Tôi đang thiếu gì ở đây?

0 + 0

amazon-web-services

Điểm:1

Server

Tim

08:23, 27/07/2023

Tôi thường làm điều này với các tham chiếu nhóm bảo mật hơn là IP. Đảm bảo rằng mỗi tài nguyên (DB, ECS) được chỉ định một nhóm bảo mật không được sử dụng cho bất kỳ mục đích nào khác - tức là không phải là SG mặc định. Mặc định hoạt động nhưng đó không phải là cách thực hành tốt và khó theo dõi hơn.

Bạn cần đặt các quy tắc nhóm bảo mật phù hợp để cho phép lưu lượng truy cập từ ECS đến DB và vào DB từ ECS:

ECS SG: cho phép hướng ngoại kết nối đến DB SG trên cổng được yêu cầu.
DB SG: cho phép trong nước kết nối từ DB SG trên cổng được yêu cầu.

Vì các nhóm bảo mật có trạng thái nên bạn không cần phải cho phép nhập vào ECS hoặc gửi đi từ DB.

Nếu vì lý do nào đó bạn cần thực hiện việc này với IP, hãy đảm bảo rằng bạn sử dụng IP riêng tư thay vì công khai. Trong các IP công cộng của AWS chỉ được dịch trong cổng internet, chúng không được sử dụng trong VPC.

0 + 0

user631845

01:49, 28/07/2023

Vâng, đây dường như là giải pháp tốt nhất và không gây đau đớn nhất. Cám ơn sự tử tế của anh.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: AWS: Restrict external access to Database but allow ECS task to access

TH: AWS: จำกัดการเข้าถึงฐานข้อมูลจากภายนอก แต่อนุญาตให้งาน ECS เข้าถึงได้

RO: AWS: restricționați accesul extern la baza de date, dar permiteți accesul sarcinii ECS

RU: AWS: ограничить внешний доступ к базе данных, но разрешить доступ задаче ECS

VI: AWS: Hạn chế quyền truy cập bên ngoài vào Cơ sở dữ liệu nhưng cho phép tác vụ ECS truy cập

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.