ฉันมี cfn stack ที่ (เหนือสิ่งอื่นใด) สร้าง VPC กลุ่มความปลอดภัยหลายกลุ่มและอินสแตนซ์ EC2 จำนวนหนึ่ง เป็นเรื่องเล็กน้อยที่จะกำหนดกลุ่มความปลอดภัยที่สร้างขึ้นภายในสแต็กให้กับอินสแตนซ์ที่สร้างโดยสแต็กด้วย อย่างไรก็ตามฉันสนใจ VPC SG ที่เป็นค่าเริ่มต้น
เมื่อ VPC ถูกสร้างขึ้น (ไม่ว่าจะด้วยตนเองแม้ว่า GUI โดยการคลาวด์หรือวิธีการอื่น ๆ ) AWS จะสร้างกลุ่มความปลอดภัยเริ่มต้นด้วยกฎ "อนุญาตทั้งหมด" สำหรับอินสแตนซ์ใด ๆ ในกลุ่มนั้น
สิ่งที่ฉันพยายามทำคือกำหนดกลุ่มความปลอดภัยเริ่มต้นนี้พร้อมกับ SGs อื่น ๆ ให้กับอินสแตนซ์ที่สร้างโดยสแต็ก นี่เป็นการพิสูจน์ว่ายากกว่าที่ฉันคาดไว้มาก นี่คือตัวอย่างบางส่วนที่แสดงสิ่งที่ฉันเกิดขึ้น:
"AllowSSHSecGroup":{
"Type":"AWS::EC2::SecurityGroup",
"Properties":{
"GroupDescription":"Allow SSH from anywhere",
"VpcId":{
"Ref":"DevVPC"
},
"SecurityGroupIngress":[
{
"IpProtocol":"tcp",
"FromPort":"22",
"ToPort":"22",
"CidrIp":"0.0.0.0/0"
}
]
}
},
"Instance001" : {
"Type" : "AWS::EC2::Instance",
"Properties" : {
"ImageId" : "ami-7eab224e",
"InstanceType" : "m1.large",
"AvailabilityZone" : "us-west-2a",
"PrivateIpAddress" : "10.22.0.110",
"SecurityGroupIds" : [ {"Ref" : "AllowSSHSecGroup"} ],
"SubnetId" : { "Ref" : "PublicSubnet" },
"KeyName" : "erik-key",
"DisableApiTermination" : "false",
"Tags" : [ { "Key": "Name", "Value": "Instance001"} ]
}
}
ในตัวอย่างด้านบนฉันกำลังสร้างกลุ่มความปลอดภัย "allow ssh" และกำหนดให้กับอินสแตนซ์ ดังที่กล่าวไว้สแต็คของฉันยังสร้าง VPC (ซึ่งเปิดตัวอินสแตนซ์นี้) ซึ่งจะสร้างกลุ่มความปลอดภัยเริ่มต้นขึ้น น่าเสียดายเนื่องจาก AWS กลุ่มนี้สร้างขึ้นโดยอัตโนมัติ ID กลุ่มจะไม่สามารถใช้งานได้กับสแต็กทำให้ไม่สามารถอ้างอิงโดย ID ได้ ผมเริ่มคิดว่าSecurityGroups
คุณสมบัติที่จะเป็นตัวเลือกที่เป็นที่จะให้ฉันไปอ้างอิง SG default
เริ่มต้นโดยชื่อของมัน ไม่สามารถใช้งานได้เนื่องจากSecurityGroups
คุณสมบัตินี้มีไว้สำหรับ EC2 Security Groups เท่านั้นไม่ใช่ VPC Security Groups
ดังนั้นฉันติดอยู่ ฉันได้เปิดกรณีด้วยการสนับสนุน AWS เกี่ยวกับเรื่องนี้ แต่จนถึงขณะนี้พวกเขาไม่ได้รับประโยชน์ ความคิดใด ๆ เกี่ยวกับวิธีที่ฉันสามารถทำได้?
SecurityGroupIngress
อ้างอิงความปลอดภัยเริ่มต้นสังเคราะห์ของคุณคุณจะได้รับการอ้างอิงตนเองที่คุณต้องการภายในการปรับใช้สแต็กเดียว