AWS: restricționați accesul extern la baza de date, dar permiteți accesul sarcinii ECS

user631845

27.07.2023, 07:33

Nu sunt grozav la administrarea rețelei, așa că am nevoie de ajutor pentru a face ceva cu adevărat de bază pe AWS. Practic, am o bază de date RDS pe un vpc, să-i spunem VPC1. Baza de date este, de asemenea, asociată cu grupul de securitate VPC „Implicit: sg1”

Am un server API care trebuie să acceseze baza de date care rulează ca imagine (serviciu) docker folosind ECS. Acest server API este asociat cu un echilibrator de încărcare pe același ID VPC VPC1. Sarcina are IP extern XXX.XXX.XXX.XXX și IP intern YYY.YYY.YYY.YYY

Tot ce vreau să fac este să permit serviciului ECS să acceseze baza de date, dar să dezactivez orice alt acces extern.

Am încercat următoarele:

adăugați IP-ul privat la regula SG de intrare
adăugați IP-ul public la regula SG de intrare
Adăugați grupul de securitate al rețelei din care face parte sarcina la regula SG Protocolul, pentru testare, este setat la „toate”

Niciuna dintre acestea nu pare să funcționeze. Ce îmi lipsește aici?

0 + 0

servicii-web-amazon

Puncte:1

Server

Tim

27.07.2023, 08:23

De obicei fac acest lucru cu referințe la grupuri de securitate, mai degrabă decât cu IP-uri. Asigurați-vă că fiecărei resursă (DB, ECS) i se atribuie un grup de securitate care nu este folosit pentru nimic altceva - adică nu SG implicit. Implicit funcționează, dar nu este o practică bună și este mai dificil de urmărit.

Trebuie să introduceți reguli de grup de securitate corespunzătoare pentru a permite traficul din ECS către DB și către DB din ECS:

ECS SG: permiteți outbound conectivitate la DB SG pe portul necesar.
DB SG: permiteți intrare conectivitate din DB SG pe portul necesar.

Deoarece grupurile de securitate au stat, nu trebuie să permiteți intrarea în ECS sau ieșirea din DB.

Dacă dintr-un motiv oarecare trebuie să faceți acest lucru cu IP-uri, asigurați-vă că utilizați IP-uri private, mai degrabă decât publice. În AWS, IP-urile publice sunt traduse doar în gateway-ul de internet, nu sunt utilizate în VPC.

0 + 0

user631845

28.07.2023, 01:49

Da, aceasta pare să fi fost cea mai bună și cea mai lipsită de durere. Multumesc frumos.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: AWS: Restrict external access to Database but allow ECS task to access

TH: AWS: จำกัดการเข้าถึงฐานข้อมูลจากภายนอก แต่อนุญาตให้งาน ECS เข้าถึงได้

RO: AWS: restricționați accesul extern la baza de date, dar permiteți accesul sarcinii ECS

RU: AWS: ограничить внешний доступ к базе данных, но разрешить доступ задаче ECS

VI: AWS: Hạn chế quyền truy cập bên ngoài vào Cơ sở dữ liệu nhưng cho phép tác vụ ECS truy cập

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.