Liste blanche de sortie de groupe de sécurité de sous-réseau privé AWS pour les services AWS?

Question

J'ai des instances EC2 dans un sous-réseau privé qui ont besoin d'accéder à DynamoDB et KMS. Étant donné que les points de terminaison VPC ne prennent actuellement en charge ni l'un ni l'autre, je devrai accorder l'accès à Internet via une passerelle NAT.

Je veux limiter les règles d'évacuation du groupe de sécurité à ces seuls 2 services, mais la seule information que j'ai trouvé à ce jour est @http://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html

Quelqu'un at-il été en mesure de limiter les règles d'évacuation du groupe de sécurité à inclure juste Services AWS? De ce que je peux voir les entrées de service EC2 sont un sous-ensemble des entrées de service AMAZON donc je devine si je devais inclure tous les blocs CIDR qui n'existent pas dans la liste EC2 qui me laisserait avec tous les autres adresses IP de service AWS?

Je sais que ceux-ci sont dynamiques et devraient donc s'abonner et gérer les mises à jour.

Merci à l'avance

Pat

Answer 1

Une option consiste à utiliser les noms DNS de services AWS (par exemple dyanamodb.amazonaws.com) dans le groupe de sécurité, mais SG ne permet pas. Donc, vous avez 2 options:

1. accès sortant Autoriser tous les

2. Utilisez un proxy comme squid proxy. Ajouter un itinéraire à votre sous-réseau privé pour acheminer le trafic Internet vers le proxy et le proxy est connecté à Internet via NAT. Dans le proxy, vous pouvez ajouter des règles pour autoriser uniquement le trafic vers les services souhaités et un refus explicite pour tout autre trafic