Я считаю, что ответ Рона правильный, но не отвечает на ваш вопрос.
Если у вас есть экземпляры в нескольких подсетях, и ваши экземпляры должны обмениваться данными, ваши NACL должны учитывать это с помощью разрешающих правил. Я не проверял это, но я работал с AWS долгое время, и я вполне уверен, что это так и работает.
Интересно, что группы безопасности — это брандмауэры, которые можно рассматривать как окружающие каждый сетевой интерфейс. Поэтому, если вы хотите, чтобы экземпляры в группе безопасности взаимодействовали, вам нужно правило, разрешающее вход из группы безопасности в себя.
Ответы на комментарии в вопросах:
Порты
Вам нужно только открыть порты 80/443 в группе безопасности вашего веб-сервера. Часть 1024–65535 — это эфемерные порты, о которых вам следует прочитать, если вы хотите их понять. Начните с Википедия но затем переходите к чему-то более простому для понимания, если вам нужно.
Инспектор АВС
Эта страница говорит следующее
Агент Amazon Inspector инициирует всю связь с Amazon.
Инспекторская служба. Это означает, что агент должен иметь исходящий
сетевой путь к общедоступным конечным точкам, чтобы он мог отправлять данные телеметрии.
Например, агент может подключиться к
arsenal..amazonaws.com, или конечной точкой может быть Amazon S3.
ведро на s3.dualstack..amazonaws.com. Обязательно замените
с фактическим регионом AWS, в котором вы используете Amazon
Инспектор. Дополнительные сведения см. в разделе Диапазоны IP-адресов AWS. Так как
все соединения от агента устанавливаются исходящие, это не
необходимо открыть порты в ваших группах безопасности, чтобы разрешить входящие
связь с агентом из Amazon Inspector.
