階層型AWSセキュリティグループを作成するにはどうすればよいですか？

Question

AWSで2レベルのセキュリティグループ階層を作成したいと考えています。

1. 場所グループ - IPのグループは、異なる場所（例えば、 "オフィス"、 "自宅"、 "顧客1" など）に固有のアドレス。これらのベースグループはすべて、すべてのトラフィック（ポート0-65535）への各IPアクセスを許可します
2. 環境グループ - これらのベースロケーショングループを私のより高いレベルの環境グループに追加しようとしています。 prod "、" reporting db "など）。私はEC2の異なるインスタンスに環境グループを使用します。たとえば、サーバー "uat_01"は "test"環境グループを参照し、次に "office"へのアクセスを許可します。

ここで私はHTTPにアクセスするためのポート範囲を使用してベースグループを追加する（またはHTTPSよ（オフィス）....

セキュリティグループSG-f2d8のための私のインバウンドルール設定です、またはMySQLなど）、およびグループ識別子を持つ「カスタム」構成を使用してベースグループを参照すること（例： 「SG-f2d8 ....」セキュリティグループパネルで

、すべてがOKに見えますが、私が選択したIPアドレスからのアクセスを得ることができません。

助けてください！私はEC2セキュリティグループがこのようにベースグループを参照することができると言われましたが、私はそれを理解できないようです！

ありがとうございます！

Answer 1

セキュリティグループを受信ルールの送信元（または送信ルールの送信先）として配置すると、そのグループに関連付けられているリソース（つまり、そのグループに属するec2インスタンス）を参照していますグループが許可するトラフィックを許可します（これは、セキュリティグループの一般的な誤解のようなものです）。このように参照することによって、セキュリティグループ間の推移もありません。

あなたが達成したいことを達成するために、私が考えることができる唯一の回避策は、スタイルホームテスト、オフィステスト、ホームプロードのグループを作成し、ソースIPをそれぞれ入れますフィットを参照してください。終わりには、これらは単に「1レベル」のセキュリティグループになります。

正式な答えは、いいえ、階層的なaws秒グループを作成できないということです。