程序员经验分享-hwhale

将 IP 地址输入 EC2 安全组规则时应使用什么格式?

2024-02-08

我正在尝试配置从堡垒主机(位于公共子网中)到同一 VPC 中的私有 linux 实例(位于私有子网中)的安全 ssh 连接。

当我为我的私有 Linux 实例添加安全组规则时,最初它显示的规则为:

请注意,在添加堡垒主机的 IP 地址之前,水印显示“CIDR、IP 或安全组”,但是当我添加堡垒主机的 IP 地址时,它会抛出错误:

源必须是 CIDR 块或安全组 ID。

为什么不允许我在这里输入堡垒主机的IP地址?


Answer recommended by AWS /collectives/aws Collective

看来你的情况是:

  • 您在公有子网中有一个 EC2 实例(“堡垒实例”),并且您可以通过 SSH 访问它
  • 您在私有子网中有一个 EC2 实例(“私有实例”)
  • 您正在配置与私有实例关联的安全组,以仅允许来自堡垒实例的 SSH 访问

我注意到您在安全组中输入公共 IP 地址 (52.63.198.234)。您实际上应该输入私有IP地址堡垒实例的。这样,实例之间的流量完全在 VPC 内流动,而不是离开 VPC(访问公共 IP 地址)然后再次返回。

事实上,推荐方式配置此设置的方法是:

  • 为您的 Bastion 实例创建安全组(“Bastion-SG”)
  • 为您的私有实例创建安全组(“Private-SG”)
  • 配置 Private-SG 以允许来自 Bastion-SG 的入站 SSH 流量

通过参考安全组名称,将自动允许来自与指定安全组关联的任何 EC2 实例(在本例中为与 Bastion-SG 关联的任何实例)的流量。这意味着可以添加/替换实例,并且仍将根据关联的安全组允许流量,而不必更新特定的 IP 地址。

所以,回答你的问题......是的,有三种方法可以参考来源。来自 EC2 文档安全组规则 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-rules:

  • 个人IP地址,采用 CIDR 表示法。请务必在 IP 地址后使用 /32 前缀;如果您在 IP 地址后使用 /0 前缀,则会向所有人开放该端口。例如,指定IP地址203.0.113.1为203.0.113.1/32。
  • IP 地址范围,采用 CIDR 表示法(例如 203.0.113.0/24)。
  • The name安全组的 (EC2-Classic) 或 ID(EC2-Classic 或 EC2-VPC)。

因此,IP 地址实际上必须使用 CIDR 表示法,其中/32在最后。如果您认为这与“IP”的暗示不太相符(我倾向于同意您的观点),请随时点击Feedback按钮,并向 EC2 控制台团队提供您的反馈。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

Linux

amazonwebservices

SSH

awssecuritygroup

将 IP 地址输入 EC2 安全组规则时应使用什么格式? 的相关文章

  • AWS DynamoDB 的 r 语言支持 [重复]

    这个问题在这里已经有答案了 这是对此的后续 更新问题 AWS dynamodb 支持 R 编程语言 https stackoverflow com questions 14224919 aws dynamodb support for r

  • AWS DynamoDb DocumentClient - 从项目数组创建批量写入 - node.js

    我正在尝试执行batchWrite使用 DynamoDB 的操作DocumentClient来自项目数组 JSON 这是我的代码 var items for i 0 i lt orders length i var ord orders i

  • 将node.js +expressjs应用程序的NODE_ENV设置为ubuntu下的守护进程

    我按照这些说明让守护进程正常工作 http kevin vanzonneveld net techblog article run nodejs as a service on ubuntu karmic http kevin vanzon

  • 在哪里可以找到 AWS Amplify Logger 日志

    我目前正在开发一个使用 AWS Amplify 创建的 Web 应用程序 我必须在其中实现日志记录 基于AWS 放大文档 https docs amplify aws lib utilities logger q platform js有一

  • XAMPP Windows 上的 Php Cron 作业

    嗯 我是这个词的新手CRON 据我所知 这是一个Unix安排特定操作在定义的时间间隔后执行的概念 我需要运行一个php文件 每小时更新一次数据库 但我的困惑在于安排执行 我在用XAMPP用于 Windows 7 上的本地开发测试 我发现了什

  • ssh:连接到主机 bitbucket.org 端口 22:连接超时

    一切都工作得很好 做了一些git pushes 没有问题 今天我决定将我的框架更新到最新版本 因此它稍微改变了我项目的目录结构 因此 在 Bitbucket 中 我创建了一个新的存储库 dev1 project com 并将我的项目文件夹重

  • 当操作系统为 Windows Server 2019 时,ec2 私有子网无法到达 169.254.169.254

    我有多个 ec2 实例在私有子网中运行 仅允许 vpc 内的流量 其中一些实例是自定义操作系统 其中一些实例运行 AWS windows server 2012 ami 有些运行 AWS Windows Server 2019 ami 在所

  • AWS Import-image 用户无权访问 S3 对象

    运行 AWS Amazon Web Services 导入映像任务时 aws ec2 import image description My OVA disk containers file c TEMP containers json 我

  • ECS 上蓝/绿部署所需的 Cloudformation 脚本

    我正在尝试编写一个云形成模板具有蓝绿部署支持的 AWS ECS 这项蓝绿功能最近由 AWS 在 ECS 中添加 但在云形成模板中找不到任何更新它的参考 他们提供了有关如何通过 UI 而不是通过云形成来完成此操作的文档 我猜想 AWS 可能不

  • 裸机交叉编译器输入

    裸机交叉编译器的输入限制是什么 比如它不编译带有指针或 malloc 的程序 或者任何需要比底层硬件更多的东西 以及如何才能找到这些限制 我还想问 我为目标 mips 构建了一个交叉编译器 我需要使用这个交叉编译器创建一个 mips 可执行

  • 如何反汇编、修改然后重新组装 Linux 可执行文件?

    无论如何 这可以做到吗 我使用过 objdump 但它不会产生我所知道的任何汇编器都可以接受的汇编输出 我希望能够更改可执行文件中的指令 然后对其进行测试 我认为没有任何可靠的方法可以做到这一点 机器代码格式非常复杂 比汇编文件还要复杂 实

  • 如何在文件夹中的 xml 文件中 grep 一个单词

    我知道我可以使用 grep 在这样的文件夹中的所有文件中查找单词 grep rn core 但我当前的目录有很多子目录 我只想搜索当前目录及其所有子目录中存在的所有 xml 文件 我怎样才能做到这一点 我试过这个 grep rn core

  • 比较linux中的两个未排序列表,列出第二个文件中的唯一项

    我有 2 个包含号码列表 电话号码 的文件 我正在寻找一种列出第二个文件中第一个文件中不存在的数字的方法 我尝试过各种方法 comm getting some weird sorting errors fgrep v x f second

  • 适用于 AWS 区域的 Cassandra Ec2MultiRegionSnitch 或 GossipingPropertyFileSnitch

    我们在美国 AWS 区域有 3 个 Cassandra 节点 在新加坡 AWS 区域有 3 个节点 如果我必须构建多数据中心 我们是否必须使用 Ec2MultiRegionSnitch 或者我们可以使用 GossipingPropertyF

  • aarch64 Linux 硬浮点或软浮点

    linux系统有arm64 有arm架构armv8 a 如何知道 Debian 运行的是硬浮动还是软浮动 符合 AAPCS64 GNU GCC for armv8仅提供硬浮动aarch64工具链 这与 armv7 a 的 GCC 不同 后者

  • 如何回忆上一个 bash 命令的参数?

    Bash 有没有办法回忆上一个命令的参数 我通常这样做vi file c其次是gcc file c Bash 有没有办法回忆上一个命令的参数 您可以使用 or 调用上一个命令的最后一个参数 Also Alt can be used to r

  • AWS CloudWatchLog 限制

    我正在尝试找到集中式解决方案来将我的应用程序日志记录从数据库 RDS 中移出 我本想使用 CloudWatchLog 但注意到 PutLogEvents 请求有限制 PutLogEvents 请求的最大速率为每秒 5 个请求 每个日志流 即

  • 隐式声明“gets”

    据我所知 隐式声明 通常意味着该函数必须在调用之前放置在程序的顶部 或者我需要声明原型 然而 gets应该在stdio h文件 我已包含 有没有什么办法解决这一问题 include

  • 如何通过不同的接口路由 TCP/IP 响应?

    我有两台机器 每台机器都有两个有效的网络接口 一个以太网接口eth0和 tun tap 接口gr0 目标是使用接口在机器 A 上启动 TCP 连接gr0但然后让机器 B 的响应 ACK 等 通过以太网接口返回 eth0 因此 机器 A 发出

  • boto3 资源(例如 DynamoDB.Table)的类型注释

    The boto3库提供了几种返回资源的工厂方法 例如 dynamo boto3 resource dynamodb Table os environ DYNAMODB TABLE 我想注释这些资源 以便我可以获得更好的类型检查和完成 但我

随机推荐

  • 如何配置一个网络中的容器相互连接(服务器 -> mysql)?

    我已经在 Windows 上运行了 ubuntu docker containers mysql 和 nodejs server app docker run d 网桥 name own p 80 3000 own latest docke

  • 基于 python 的 Dockerfile 抛出 locale.Error: 不支持的区域设置

    我在将主机 Centos7 区域设置传递给 python3 docker 映像时遇到问题 尽管我使用了下面链接中描述的建议 但图像中仅出现以下区域设置 C C UTF 8 POSIX 为什么 locale getpreferredencod

  • Perl:计算大量数据的相关系数时的编程效率

    编辑 链接现在应该可以使用 抱歉给您带来麻烦我有一个如下所示的文本文件 Name Test 1 Test 2 Test 3 Test 4 Test 5 Bob 86 83 86 80 23 Alice 38 90 100 53 32 Jil

  • twilio 如何获取可能的用户

    我从服务器检索了访问令牌并连接了 JavaScript SDK 聊天客户端 例如so https www twilio com docs chat initializing sdk clients javascript 1 我创建了一个类似

  • 未检测到 Web 服务?

    我正在尝试在下面托管此服务 该服务运行良好 但是当我在不同的 Visual Studio 运行时中打开一个新项目并尝试添加 Web 服务时 它找不到任何东西 不在指定的地址或本地计算机上的任何位置 下面的代码似乎只有当我在同一解决方案中运行

  • 如何使用JQuery选择第n个选项

    我有以下 HTML

  • 在 php 中将标头添加到 file_get_contents

    我是一个全新的 PHP 新手 想要一个客户端程序来调用 URL Web 服务 我正在使用 file get content 来获取数据 如何向使用 file get content 发出的请求添加额外的标头 我也在考虑使用 cURL 我想知

  • ios:如何显示“选择无线连接”弹出窗口?

    如果没有互联网连接 并且您使用 Ipad 或 Iphone 启动 Safari 应用程序 则会出现一个弹出窗口 显示 选择无线网络 有没有办法在我想要的时候强制此弹出窗口显示在我的应用程序中 问题是 我的应用程序中有一个按钮可以将用户连接到

  • Python / Selenium / Firefox:无法使用指定的配置文件路径启动 Firefox

    我尝试使用指定的配置文件启动 Firefox firefox profile webdriver FirefoxProfile Users p2mbot projects test firefox profile driver webdri

  • 按名称调用属性设置器的最佳方法是什么?

    我正在构建一个通用 UI 它可以连接到一系列底层对象属性 因此我想按名称调用 getter 和 setter 我尝试过使用 NSInspiration 也看到其他人使用setValue forKey 但我想用最快的方法 如果我保留对 NSI

  • 实体框架以及类似的地方[重复]

    这个问题在这里已经有答案了 我正在使用这个指令 db user db CBR User FirstOrDefault p gt p Codice Fiscale code 我想使用 like 运算符代替 来管理不区分大小写 怎样才能做到呢

  • 禁用 UIWebView 中特定 HTML 元素的数据检测器

    有谁知道是否可以仅针对特定的 HTML 元素禁用 UIWebView 中电话号码 电子邮件地址等的数据检测器 我希望检测器对于加载到 UIWebView 中的大部分内容都处于活动状态 但在某些区域禁用它 如果这是可能的 我假设它可以通过在加

  • 我的 AVPlayer 的内存在哪里?如何取回它?

    我正在同时播放大量视频AVPlayer 为了减少加载时间 我将相应的视图存储在NSCache 这种方法效果很好 直到达到一定数量的视频 视频就会停止播放 甚至不再出现 没有错误 日志或内存警告 特别是 我正在听UIApplicationDi

  • Fedora 19 上的 Metasploit msfconsole method_missing

    我使用以下命令在 Fedora 19 上安装了metasploit这份来自 Fedora 的指南 http fedoraproject org wiki Metasploit 完成我运行的所有步骤后微软控制台并得到以下错误 usr loca

  • nfsnobody 用户权限

    我已经在两台 CentOS 6 64 机器之间设置了 NFS 文件共享 在服务器上 共享的文件夹最初由 root 用户拥有 在客户端上 它显示为 nfsnobody 所有 当我尝试从客户端写入该文件夹时 出现权限错误 因此 我将服务器上的文

  • 将 google plus 登录添加到 ionic 应用程序

    我正在尝试将 google plus 登录添加到我的ionic app 点击此链接后出现错误 https ionicthemes com tutorials about google plus login with ionic framew

  • 推荐一个适合偶尔使用的好的实体关系图构建工具? [关闭]

    Closed 这个问题不符合堆栈溢出指南 help closed questions 目前不接受答案 免费软件是一个优点 您能否用一句话描述一下为什么它应该足够适合偶尔使用 编辑 你可能会检查这个很酷link http www refere

  • TCP握手可靠性

    我其实想知道 在 TCP 握手中 为什么客户端需要 ack 返回来完成握手 在syn和syn ack之后 双方都有足够的信息来启动数据 tcp仍然要求客户端的ack移动到已建立的状态 问题是 为什么这种三向握手是实现可靠性的必要和充分条件

  • 下划线覆盖 NSAttributedString 中的文本

    我正在尝试创建一个属性字符串 但下划线覆盖了我的文本 而不是出现在它后面 有没有办法来解决这个问题 我正在使用以下代码 let paragraphStyle NSMutableParagraphStyle paragraphStyle li

  • 将 IP 地址输入 EC2 安全组规则时应使用什么格式?

    我正在尝试配置从堡垒主机 位于公共子网中 到同一 VPC 中的私有 linux 实例 位于私有子网中 的安全 ssh 连接 当我为我的私有 Linux 实例添加安全组规则时 最初它显示的规则为 请注意 在添加堡垒主机的 IP 地址之前 水印

热门标签