问引用其他安全组中的AWS安全组

EN

如果我在"SG-20“内部调用"SG-10”，则为

不，您不能呼叫安全组，这没有任何意义。

如果安全组A引用了安全组B，则表示安全组A所属的实例允许进出安全组B所属的实例。但是，如果您希望将安全组为A的实例的流量发送到安全组为B的实例，则必须使用实例B的IP或DNS。

通常，我们希望引用安全组而不是IP的原因是，IP可能会随着时间的推移而变化，或者根本不会公开。一个相当常见的示例是具有一个应用程序负载均衡器( ALB )和一组EC2实例，它们只允许来自ALB的流量。ALB的IP地址会随时间变化，因此，为了能够接收来自ALB的流量，我们可以引用附加到ALB的安全组。

如果我们要引用另一个安全组中的安全组，则需要编辑初始安全组的规则：

​

​

作为引用安全组的示例，假设有一个3层架构：

• 负载均衡器从互联网接收流量并将请求发送到亚马逊EC2实例
• Amazon EC2实例从负载均衡器接收请求并将查询发送到Amazon RDS数据库

<代码>H19<代码>E110 Amazon RDS数据库<代码>E211从EC2实例接收请求<代码>H212<代码>F213

这将涉及3个安全组：

• 负载均衡器(LB-SG)上的安全组，允许端口80 /443上的传入流量。
• EC2实例(App-SG)上的安全组，仅允许来自负载均衡器的端口80上的传入流量。它通过在RDS数据库(DB-SG)上将源设置为LB-SG.
• A安全组来实现这一点，该安全组只允许来自EC2实例的相关端口(例如3306) 上的传入流量。这是通过将源设置为App-SG.
• All安全组并允许所有出站Traffic.

来实现的

通过引用其他安全组，可以在不更改安全组的情况下添加/删除资源。例如，可以启动另一个EC2实例并为其分配App-SG安全组。这个新实例将能够与数据库通信，因为DB-SG允许来自App-SG的传入流量，而无需绑定到任何特定的IP地址。

如果一个资源关联了多个安全组，则所有规则都适用于该资源。安全组只说什么是“允许的”。它们不包括“拒绝”规则。

在您的SG-10/SG-20示例中，您没有提到流量的源，因此无法回答您的问题。如果您希望EC2-20接受来自EC2-10的连接，则SG-20安全组应允许源设置为SG-10的连接。

顺便说一句，除非有特定的网络要求(例如创建DMZ)，否则网络ACL通常应该保留默认的“允许所有”设置。