1. ホーム
  2. 質問と答え
  3. AWSプライベートサブネットセキュリティグループAWSサービスの出力ホワイトリスト?

AWSプライベートサブネットセキュリティグループAWSサービスの出力ホワイトリスト?

2016-04-04 5 views
3

プライベートサブネットに、DynamoDBとKMSにアクセスする必要のあるEC2インスタンスがあります。現時点では、VPCエンドポイントはこれらのいずれもサポートしていないため、NATゲートウェイ経由でインターネットにアクセスする必要があります。AWSプライベートサブネットセキュリティグループAWSサービスの出力ホワイトリスト?

誰がちょうど含まれるセキュリティグループの退出ルールを制限することができた私はこれら2つのサービスにセキュリティグループの退出ルールを制限したいが、私は今までに発見した唯一の情報はhttp://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html

@ですAWSサービス?

私はEC2サービスエントリがAMAZONサービスエントリのサブセットであることから、EC2リストに存在しないすべてのCIDRブロックを含めるべきかどうかを推測しています。他のAWSサービスIP?

私はこれらが動的であることを知っているため、更新を購読して処理する必要があります。事前に

おかげ

パット

出典

2016-04-04 pmcgrath

+0

私は非常に似たものを探しています。自分の特定のEC2サーバーからダイナモボックスのインスタンスにアクセスできるようにしたいだけです。サーバアクセスはセキュリティグループによって非常に簡単に制御されていますが、DynamoDbの場合は何も似ていません。 –

答えて

1

1つのオプションは、セキュリティグループに(例えばdyanamodb.amazonaws.com用)AWSサービスのDNS名を使用することですが、SGはそれを許可していません。

  1. は、すべてのアウトバウンドアクセス

  2. 使用squidプロキシなどのプロキシを許可:だから、2つのオプションがあります。プライベートサブネットにルートを追加して、インターネットトラフィックをプロキシにルーティングします。プロキシはNAT経由でインターネットに接続されます。プロキシでは、目的のサービスにのみトラフィックを許可するルールを追加し、他のすべてのトラフィックについては明示的に拒否することができます。

出典

2016-04-04 14:10:28 helloV

+0

squidプロキシは管理する必要があるSPOFです。現在、私がAWSに依存しているNATゲートウェイサービスを使用しています失敗 – pmcgrath

+0

上記の2つの点については、squidプロキシを設定するためにこのチュートリアルが役に立ちます。https://blogs.aws.amazon.com/security/post/TxFRX7UFUIT2GD/How-to-Add-DNS-Filtering-to-Your-NAT-Instanceイカと一緒に –

関連する問題

 関連する問題