具有 50 个 CIDR IP(入口)的安全组的 Cloudformation 模板 (JSON)
Posted
技术标签:
【中文标题】具有 50 个 CIDR IP(入口)的安全组的 Cloudformation 模板 (JSON)【英文标题】:Cloudformation template(JSON) for security group with 50 CIDR IPs (Ingress) 【发布时间】:2022-01-05 02:26:53 【问题描述】:我正在为具有超过 50 个 CIDR IP 的入口规则的安全组创建云形成模板。 在参数中,我对多个 CIDR IP 使用了 Commadelimited 列表。 与其在 SecurityGroupIngress 中为每个 CIDR IP 创建单独的值,是否可以在单个代码中包含多个 CidrIps。
"IpProtocol" : "tcp",
"CidrIp" : "54.183.255.128/26",
"FromPort" : "443",
"ToPort" : "443"
,
"IpProtocol" : "tcp",
"CidrIp" : "54.228.16.0/26",
"FromPort" : "443",
"ToPort" : "443"
,
"IpProtocol" : "tcp",
"CidrIp" : "54.232.40.64/26",
"FromPort" : "443",
"ToPort" : "443"
,
"IpProtocol" : "tcp",
"CidrIp" : "54.241.32.64/26",
"FromPort" : "443",
"ToPort" : "443"
,
我想使用的模板如下。但在这里我只能获得 1 个位置的 CIDR IP。
"AWSTemplateFormatVersion": "2010-09-09",
"Description": "HTTPS - Security Group",
"Parameters":
"VPC":
"Type": "AWS::EC2::VPC::Id",
"Description": "VPC where the Security Group will belong"
,
"Name":
"Type": "String",
"Description": "Name Tag of the Security Group"
,
"DbSubnetIpBlocks":
"Description": "Comma-delimited list of CIDR blocks",
"Type": "CommaDelimitedList"
,
"Resources":
"MySG":
"Type": "AWS::EC2::SecurityGroup",
"Properties":
"GroupDescription":
"Ref": "Description"
,
"VpcId":
"Ref": "VPC"
,
"SecurityGroupIngress": [
"IpProtocol": "tcp",
"CidrIp":
"Fn::Select": [
"1",
"Ref": "DbSubnetIpBlocks"
]
,
"FromPort": "443",
"ToPort": "443"
]
,
"Outputs":
"SecurityGroupID":
"Description": "Security Group ID",
"Value":
"Ref": "MySG"
【问题讨论】:
【参考方案1】:很遗憾,这是不可能的。一个安全组 (SG) 规则仅适用于一个 CIDR 范围。
SG 中有60 规则的限制,您可以请求增加。
虽然单个 SG 规则可以引用单个 CIDR,但您可以创建 CloudFormation macro 或 custom resource 来自动为您创建所有这些规则。
【讨论】:
谢谢马尔辛。由于有超过 50 个 CIDR IP,如果我为每个 CIDR 范围包含单独的安全组规则,CF 模板将会很长。所以在参数中定义 Commadelimited 是没有用的。 @Gnay 我更新了答案。如果你觉得它有帮助,它的acceptance 将不胜感激。以上是关于具有 50 个 CIDR IP(入口)的安全组的 Cloudformation 模板 (JSON)的主要内容,如果未能解决你的问题,请参考以下文章
在实例安全组的入站部分使用 VPC 的 CIDR 会阻止负载均衡器到达它
为啥数据库安全组中的 CIDR/IP 可能与实例弹性 IP 不同?
如何使用 Terraform 附加或删除安全组的入口/出口规则?
PowerShell:如何将 1 个用户添加到多个 Active Directory 安全组 - 具有写入权限的安全组的安全选项卡