Apa yang terjadi ketika saya menetapkan beberapa grup keamanan ke sebuah instance? Apakah permisif dalam arti bahwa lalu lintas diizinkan masuk jika salah satu dari kelompok keamanan mengizinkannya. ATAU apakah ini membatasi dalam arti bahwa setiap kelompok keamanan harus mengizinkan lalu lintas masuk untuk dilewati?
Misalnya, katakan saya memiliki kelas instance yang hanya akan berbicara dengan instance lain di akun yang sama. Saya juga memiliki kelas instance yang hanya akan menerima lalu lintas melalui HTTP (port 80).
Apakah mungkin untuk membatasi akses ke instance internal dan hanya melalui HTTP dengan membuat dan menerapkan dua grup keamanan:
- Grup keamanan "internal". Izinkan semua lalu lintas masuk dari anggota lain dari grup keamanan itu di semua port untuk semua transport (TCP, UDP, ICMP)
- Buat grup keamanan "http". Izinkan semua lalu lintas ke port 80 melalui TCP dari sumber apa pun.
ATAU apakah saya terpaksa membuat grup keamanan tunggal yang memungkinkan lalu lintas dari port 80 di mana sumbernya sendiri?
sumber
Permisif.
Menurut AWS di sini: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-rules
sumber
Inilah tanggapan dari dukungan dokumentasi AWS. Mereka mengatakan akan memperbarui dokumentasi:
Saya menemukan beberapa posting forum diskusi yang membahas masalah serupa dengan aturan yang saling bertentangan dalam satu atau beberapa grup keamanan:
https://forums.aws.amazon.com/thread.jspa?messageID=221768
https://forums.aws.amazon.com/thread.jspa?messageID=349244吼
Ketika beberapa grup keamanan diterapkan pada instance, aturan digabungkan untuk membuat satu set besar aturan. Di EC2, aturan grup keamanan hanya diizinkan, dengan kata lain, Anda tidak bisa menambahkan aturan DENY. Artinya, aturan yang paling permisif akan selalu berlaku. Misalnya, jika Anda memiliki grup keamanan yang memungkinkan akses ke port 22 dari alamat IP 10.10.10.10, dan grup keamanan lain yang memungkinkan akses ke port 22 dari semua orang, semua orang akan memiliki akses ke port 22 pada instance.
sumber
Saat Anda menentukan grup keamanan sebagai sumber atau tujuan untuk aturan, aturan tersebut memengaruhi semua instance yang terkait dengan grup keamanan. Lalu lintas masuk diizinkan berdasarkan alamat IP pribadi dari instance yang terkait dengan grup keamanan sumber (dan bukan IP publik atau alamat IP elastis). Untuk informasi lebih lanjut tentang alamat IP, lihat Amazon EC2 Instance IP Addressing. Jika aturan grup keamanan Anda merujuk grup keamanan di VPC peer, dan grup keamanan referensi atau koneksi peeling VPC dihapus, aturan ditandai sebagai basi. Untuk informasi lebih lanjut, lihat Bekerja dengan Aturan Grup Keamanan Basi di Panduan Vering Amazon VPC.
Jika ada lebih dari satu aturan untuk port tertentu, kami menerapkan aturan yang paling permisif. Misalnya, jika Anda memiliki aturan yang memungkinkan akses ke port TCP 22 (SSH) dari alamat IP 203.0.113.1 dan aturan lain yang memungkinkan akses ke port TCP 22 dari semua orang, semua orang memiliki akses ke port TCP 22.
Saat Anda mengaitkan beberapa grup keamanan dengan instance, aturan dari masing-masing grup keamanan dikumpulkan secara efektif untuk membuat satu set aturan. Kami menggunakan serangkaian aturan ini untuk menentukan apakah akan mengizinkan akses.
Perhatian Karena Anda dapat menetapkan beberapa grup keamanan ke sebuah instance, sebuah instance dapat memiliki ratusan aturan yang berlaku. Ini dapat menyebabkan masalah saat Anda mengakses instance. Karena itu, kami menyarankan Anda untuk menyingkat peraturan Anda sebanyak mungkin.
sumber