ホスト/動的IP/DNSを使用したAmazon EC2セキュリティグループ

Question

私は、動的IPを使用するEC2セキュリティグループおよびサービスでの最善のアプローチについていくつかのガイダンスを求めています。私はSendGrid、Elastic Cloudなどのサービスを利用したいと考えています。これらはすべて80/443ポートでdyanmic IPを使用しています。しかし、ポート80/443へのアクセスは、ホワイトリストに登録されたIPを除いて閉じられます。これまで私が見つけた解決策は次のとおりです：

1. CRONジョブをpingし、IPを取得し、EC2セキュリティグループをEC2 API経由でアップデートしてください。
2. 新しいEC2を作成し、ポート80/443を開いた状態でプロキシとして動作させます。新しいサーバーはSendgrid/ElasticCloudと通信し、応答を検査し、メインサーバーに部品を返します。

その他の解決策はありますか？

Answer 1

まず、AWSのセキュリティグループは、例えば、あなたのアウトバウンドルール内のすべての目的地（0.0.0.0/0）にポートを開く80と443あれば、あなたのEC2のマシンができるようになる、ということを意味し、statefulをしていることに留意してくださいリモートホストに接続して、特定のIPのインバウンドルールがなくても応答を返すことができます。

ただし、このアプローチは、接続が常にEC2インスタンスによって開始され、リモートサービスがただ応答している場合にのみ機能します。外部からEC2インスタンスへの接続を開始する必要がある場合は、セキュリティグループにインバウンドルールを指定する必要があります。パブリックIPアドレスのCIDRブロックを知っている場合は、セキュリティグループルールの宛先として指定できるので、問題を解決できます。あなたのマシンに到達しようとしているホストのIP範囲がわからない場合は、ネットワークレベルでのアクセス制限が実現できず、リクエスタの何らかの認証を実装する必要があります。

P.S.また、セキュリティグループあたりのデフォルトのソフト制限は、50 inbound or outbound rulesであることに注意してください。