我认为这个主题很容易找到信息,但我错了。
我正在使用PaloAlto实例构建一个terraform,它需要用户数据并在https上进行卷曲以验证是否应用了用户数据。
当我在公共接口上将安全组指定为入站/出站https时,ssh 0.0.0.0/0就像魅力一样。
但我需要收紧安全性并允许来自某些CIDR的入站。
对于成功的用户数据引导,EC2连接有哪些要求,可以实现最严格的安全组设置?
谢谢你的建议
这取决于“用户数据引导程序”的含义。
如果您指的是实例的用户数据,那么从instance metadata service获取,该数据不需要任何规则,因为其IP地址169.254.169.254属于特殊规则。
Amazon安全组和网络ACL不会过滤来自或来自链接本地地址(169.254.0.0/16)或AWS保留的IPv4地址的流量 - 这些是子网的前四个IPv4地址(包括Amazon DNS服务器地址) VPC)。
https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html
当调用RunInstances Action时,用户数据(在这个意义上)被传递给EC2服务API,以请求启动实例。 EC2服务存储用户数据,以便实例在启动后可以从实例元数据服务获取它。这可以防止实例需要从外部获取它。
如果这是您所指的,则不需要安全组配置。
另见What's Special About 169.254.169.254?
但是,既然您提到了PaloAlto,看起来您可能还需要访问S3存储桶,基于此:
VM系列防火墙的管理界面必须能够访问S3存储桶才能完成引导。您可以为管理接口分配公共IP地址或弹性IP地址,以便可以通过Internet访问S3存储桶。或者,如果您希望在VPC和S3存储桶之间创建专用连接,并且不希望在防火墙管理界面上启用Internet访问,则在与S3存储桶相同的区域中创建AWS VPC端点。有关更多信息,请参阅有关设置VPC endpoints的AWS文档
VPC Endpoint for S3不仅可以访问S3(与端点位于同一区域内)而无需访问Internet网关,还可以使用VPC端点限制实例仅访问特定存储桶并执行特定操作。这是控制整个S3受限访问的唯一有效方法,因为否则必须通过Internet访问它,并且其IP地址不是静态的,因此无法在安全组中引用。即使基于IP的限制是可能的,它也不会提供有意义的安全性,因为恶意用户可以使用他们自己的存储桶来完成数据泄露,因为您将允许连接到所有S3。 IP地址与特定存储桶没有关联。