security - 首次设置 AWS EB 时创建的默认安全组是什么？

Question

我对几个组所扮演的角色感到困惑，这些组似乎已自动添加到我的 AWS 安全组列表中，连接在我收集的默认配置中，并且想知道它们是如何工作的(以及它们如何工作可以安全更改)。具体神秘的有以下三个:

• launch-wizard-1 具有入站规则 SSH、TCP、22、0.0.0.0/0。
• default 被描述为“默认 VPC 安全组”，它具有针对所有流量和使用自身作为源的所有端口的入站规则。
• default_elb_... 描述为“在 ELB 创建期间未指定安全组时使用 ELB 创建的安全组 - 修改可能会影响 future ELB 的流量”，它具有允许来自所有 IP 的 HTTP 的入站规则地址

前两个似乎没有连接到任何其他安全组，而后者是我的 Elastic Beanstalk 环境的每个 安全组中入站 HTTP 规则的来源。

这三组是做什么的？我可以改变它们吗？或者更改与它们的连接？

例如，后一条规则似乎具有允许从任何地方到我所有 EB 环境的 HTTP 流量的效果。我可以更改此规则以限制 IP(到所有环境)吗？我能否从给定的 EB 环境中“取消 Hook ”规则作为源(例如，将其替换为具有一系列 IP 的源)？

Answer 1

看起来您已经了解什么是安全组:应用于 EC2 实例的状态防火墙。

当您从 Web 控制台手动启动 EC2 VM 时，AWS 将为您提供重新使用现有安全组或创建新安全组的选项。当您创建一个新的时，默认规则是 SSH(端口 22)和默认安全组名称“launch-wizard-#”。

不幸的是，由于一个安全组可以被多个 EC2 实例使用，因此当您删除一个 VM 时，它们不会被清除。因此，如果您删除了用于创建 launch-wizard-1 的 VM，它不会删除安全组。

进入“VPC 的默认安全组”。当您创建 VPC 时，会同时创建一个默认安全组。当 EC2 实例在 VPC 子网中启动时，如果没有指定另一个安全组，它们将分配给它们默认的安全组。 (http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#DefaultSecurityGroup)。

那么允许它与自己对话的规则意味着什么？默认情况下，安全组拒绝所有入站流量。这个“自言自语”入站规则表明，如果两个 VM 都分配了此规则，则将允许它们在所有端口上相互通信。你应该使用这个默认组吗？不可以。创建唯一的安全组来执行最小权限规则(仅向需要它们的实例打开您需要的端口)。

不幸的是，我没有太多的弹性 beanstalk 经验，所以这就是我的回答转向假设的地方。在我玩 beanstalk 的小时候，我记得它在您的帐户中创建了辅助资源。您的弹性负载均衡器 (ELB) 似乎就是这种情况。如描述所示，当 Elastic Beanstalk 需要启动一个新的负载均衡器时，负载均衡器将使用这个默认组，除非您指定另一个。我相信此链接记录了您将如何执行此操作 ( http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/using-features.managing.elb.html )。

在所有情况下，我都建议不要使用默认安全组，而建议使用针对该实例安全需求的独特防火墙规则。

你能更改或删除这些吗？

• launch-wizard-1:是的，您可以删除或修改该组。既然你提到他没有被使用，那就继续用核武器攻击他吧。
• default:VPC 对它创建的一些默认资源很挑剔。我在我的帐户上测试过它，我无法删除它。您当然可以修改它，但我建议您不要使用它。
• default_elb:如果我没记错的话，elastic beanstalk 使用 cloudformation 来创建额外的资源，例如 ELB 安全组。您可以修改此安全组，但它会导致 cloudformation 定义与实际情况不一致。对于您的具体问题，您可以更改允许的 IP 范围，但如果您在私有(private) IP 上编写规则，并且环境部署到单独的 VPC，您将无法跨环境。