我需要配置一个带有两个安全组的EC2实例,一个已经存在(sg1),另一个是我在terraform中定义的新安全组(sg2)。
阅读关于aws_security_group资源的Terraform's docs,它提到了一个可选字段security_groups - (Optional) List of security group Group Names if using EC2-Classic, or Group IDs if using a VPC。
这究竟意味着什么?这是否利用了sg1的入口规则并将它们应用于sg2?这是否意味着我可以在sg2的定义中将sg1的安全组ID传递给此字段以允许与sg1相同的入口或这是完全不同的东西?
此外,如果是这种情况,因为它们具有相同的出口规则,这意味着我不是将两个security_group_ids传递给我的ec2实例terraform,而是可以将sg1 id传递给sg2的TF中的sg2入口块以实现相同的结果?
安全组规则可以引用CIDR块,前缀列表ID(对于VPC端点)或其他安全组。
这允许您说具有foo安全组的所有内容都允许使用bar安全组与所有内容进行通信。
具体关于它是否可以是ID(形式为sg-123456)或名称的位在AWS API中是一个怪癖,并支持长期弃用的EC2经典帐户。通常,您希望使用ID来引用安全组。