可以与 AWS 中的安全组关联的所有资源都有哪些？

Posted 2023-03-27

【中文标题】可以与 AWS 中的安全组关联的所有资源都有哪些？

【英文标题】：What are all the resources that can be associated with a security group in AWS?可以与 AWS 中的安全组关联的所有资源有哪些？

【发布时间】：2015-06-26 03:09:58

【问题描述】：

在尝试描述整个系统时，AWS 文档几乎毫无用处。是否有任何资源或可以属于一个安全组和不同类型的安全组的所有资源的编译列表？

这是我目前所拥有的：

EC2-经典实例 EC2-VPC 实例 RDS 弹性缓存

我还缺少什么？我缺少任何非常好的文档资源吗？

【问题讨论】：

ELB 和 redshift 集群也可以有安全组（在 vpc 中）

安全组也可以与自己或其他安全组关联，作为可信的流量来源。

【参考方案1】：

了解 AWS 安全组的主要概念是它决定了允许哪些流量进出虚拟网络上的资源。

因此，想想什么可以“进入”虚拟网络：

Amazon EC2 实例

启动 EC2 实例的服务：

AWS Elastic Beanstalk Amazon Elastic MapReduce

使用 EC2 实例的服务（不直接出现在 EC2 服务中）：

Amazon RDS（关系数据库服务） 亚马逊红移 Amazon ElastiCache 亚马逊云搜索

弹性负载平衡

拉姆达

资源不“属于”一个安全组。相反，一个或多个安全组与一个资源相关联。这通常是一个难以理解的概念，因为安全组具有与防火墙类似的功能，并且防火墙通常“封装”许多设备。虚拟网络不是“属于”或“被安全组包围”，而是简单地使用安全组中包含的定义来确定允许哪些流量进出资源。

例如，假设两个 EC2 实例与“Web”安全组关联，并且该安全组配置为允许端口 80 上的传入流量。虽然两个实例都关联到同一个安全组，但 它们不能相互交流。这是因为它们不“属于”安全组，也不在安全组“内”。相反，安全组定义用于过滤进出实例的流量。当然，可以将安全组配置为允许来自安全组本身的传入流量（自引用），这实际上意味着允许来自与安全组相关联的任何资源的传入流量。 （看，我告诉过你这是一个很难掌握的概念！）

此外，安全组实际上并不与 VPC 中的 EC2 实例相关联。相反，安全组与附加到 EC2 实例的 Elastic Network Interface (ENI) 相关联。将 ENI 视为将实例链接到 VPC 子网的“网卡”。一个实例可以有多个 ENI，因此可以连接到多个子网。每个 ENI 都可以与安全组有自己的关联。因此，实际使用的安全组取决于流量流入/流出实例的位置，而不是实际与实例相关联。

安全组只有两种“类型”：

EC2 Classic（旧版网络配置） EC2 VPC（现代专用网络配置）

任何一种类型的安全组都可以与任何其他资源相关联，只要它们位于相同的网络类型（经典或 VPC）中。

【讨论】：

很棒的答案。谢谢！

截至今天，AWS Lambda 应该在列表中。

男孩，AWS 确实需要一个 API 调用，它可以提供所有关联的安全组。浏览每项服务并检查所有内容是一件痛苦的事。现在，如果您尝试删除正在使用的安全组，我认为您会收到警告，因此所有用户的数据都必须可用。

【参考方案2】：

Lambda 函数也可以与安全组相关联。 2015 年的情况可能并非如此，当时写的是原始答案。

【参考方案3】：

Fargate 任务也可以分配给安全组。

【参考方案4】：

接口端点也可以与安全组相关联，这是一个很好的问题，目前在 AWS 文档中不容易找到。

【参考方案5】：

AWS EFS（弹性文件系统）需要附加一个安全组。

来自 AWS 文档： 要将您的 Amazon EFS 文件系统连接到您的 Amazon EC2 实例， 您必须创建两个安全组：一个用于您的 Amazon EC2 实例 另一个用于您的 Amazon EFS 挂载目标。

参考：https://docs.aws.amazon.com/efs/latest/ug/accessing-fs-create-security-groups.html