AWS: ограничить внешний доступ к базе данных, но разрешить доступ задаче ECS

user631845

27.07.2023, 07:33

Я не силен в сетевом администрировании, поэтому мне нужна помощь, чтобы сделать что-то действительно простое на AWS. По сути, у меня есть база данных RDS на vpc, назовем ее VPC1. База данных также связана с группой безопасности VPC «По умолчанию: sg1».

У меня есть сервер API, которому необходимо получить доступ к базе данных, работающей как образ докера (служба) с использованием ECS. Этот сервер API связан с балансировщиком нагрузки на том же VPC ID VPC1. У задачи внешний IP XXX.XXX.XXX.XXX и внутренний IP YYY.YYY.YYY.YYY

Все, что я хочу сделать, это разрешить службе ECS доступ к базе данных, но запретить любой другой внешний доступ.

Я пробовал следующее:

добавить частный IP-адрес в правило SG для входящего трафика
добавить общедоступный IP-адрес в правило SG для входящего трафика
Добавьте группу безопасности сети, частью которой является задача, в правило SG Протокол для тестирования установлен на "все"

Ни один из них не работает. Что мне здесь не хватает?

0 + 0

амазон-веб-сервисы

Рейтинг:1

Server

Tim

27.07.2023, 08:23

Обычно я делаю это со ссылками на группы безопасности, а не с IP-адресами. Убедитесь, что каждому ресурсу (БД, ECS) назначена группа безопасности, которая не используется ни для чего другого, т. е. не SG по умолчанию. По умолчанию работает, но это не очень хорошая практика, и ее сложнее отслеживать.

Вам необходимо ввести соответствующие правила группы безопасности, чтобы разрешить трафик из ECS в БД и в БД из ECS:

ECS SG: разрешить исходящий возможность подключения к БД SG на нужный порт.
БД SG: разрешить входящий возможность подключения от БД SG на нужный порт.

Поскольку группы безопасности сохраняют состояние, вам не нужно разрешать входящие в ECS или исходящие из БД.

Если по какой-то причине вам нужно сделать это с IP-адресами, убедитесь, что вы используете частные IP-адреса, а не общедоступные. В AWS общедоступные IP-адреса транслируются только в интернет-шлюзе, они не используются в VPC.

0 + 0

user631845

28.07.2023, 01:49

Да, похоже, это было лучшее и самое безболезненное решение. Спасибо любезно.

Ответить

Admin

Этот вопрос на других языках:

EN: AWS: Restrict external access to Database but allow ECS task to access

TH: AWS: จำกัดการเข้าถึงฐานข้อมูลจากภายนอก แต่อนุญาตให้งาน ECS เข้าถึงได้

RO: AWS: restricționați accesul extern la baza de date, dar permiteți accesul sarcinii ECS

RU: AWS: ограничить внешний доступ к базе данных, но разрешить доступ задаче ECS

VI: AWS: Hạn chế quyền truy cập bên ngoài vào Cơ sở dữ liệu nhưng cho phép tác vụ ECS truy cập

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.