security - 限制一个 Elastic Beanstalk 应用程序对另一个应用程序的访问-6ren

security - 限制一个 Elastic Beanstalk 应用程序对另一个应用程序的访问

转载作者：行者123 更新时间：2023-12-02 19:08:26

26

4

我有两个 Elastic Beanstalk 应用程序“a”和“b”。任何人都应该能够通过 http 与 (a) 对话，但只有 (a) 能够与 (b) 对话。即

internet -> a -> b

现在，如果两个应用程序都完全向互联网开放，则一切正常。但当我尝试限制 (b) 的 ELB 的安全组时，(a) 似乎无法再连接。

即如果我允许 (b) 的负载均衡器安全组允许 http:0.0.0.0/0，则一切正常。但是，如果我将同一安全组设置为仅允许 http:[(a) 的安全组]，则 (a) 无法再与 (b) 通信。

两个应用程序位于同一 VPC 中。我错过了什么？

-- 编辑--

明确地说:

应用 B:
- ELB 安全组:sg-a3d3ccc6
- EC2 安全组:sg-aed3cccb
应用程序 A:
- ELB 安全组:sg-4fe5fd2a
- EC2 安全组:sg-5ee5fd3b

工作:

应用程序 A 的 ELB 安全组设置，以允许任何人访问 HTTP/S App A's ELB Security Group Settings, to allow access from anyone to HTTP/S

应用程序 A 的 EC2 安全组，仅允许从 A 的 ELB 进行访问(是的，我在这里缺少 https，但现在没问题) App A's EC2 Security Group, to allow access only from A's ELB

应用程序 B 的 ELB 安全组，允许任何人访问 App B's ELB Security Group, to allow access from anyone

应用程序 B 的 EC2 安全组，仅允许从 B 的 ELB 进行访问 App B's EC2 Security Group, to allow access only from B's ELB

不工作:

一切与上面相同，但将 B 的 ELB 安全组更改为仅允许来自 A 的 EC2 组的访问。哎呀，为了确保安全，我们将添加 A 的 EC2 和 ELB。

应用程序 B 的 ELB 安全组，仅允许从应用程序 A 访问 App B's ELB Security Group, allowing access only from App A

最佳答案

如果有人能做到这一点(正如一些人声称的那样)，我会对细节非常感兴趣。我注册了一个支持帐户并向 AWS 开具了一张票证，但他们官方说这是不可能的:

After researching this more the setup that you are trying to implement isn't supported. In the section of the security group rules it states that when referencing a security group in a SG rule it allows access from the local IP addresses of instances associated with the source group, not their public or Elastic IP. Below is the documentation page with more information on the topic.

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-rules

To accomplish what you want to do will require a bit more setup, but is possible.

Below I've included a link to a tutorial that lays out the process of deploying an EB environment into a VPC with instances in a private subnet as well as the process of setting up a NAT instance on AWS. Using this it will allow you to have your private EB applications instances accessible from only the public EB application.

I would recommend setting up a new VPC with this architecture in mind rather than try to modify your existing VPC.

http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo-vpc-basic.html http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_NAT_Instance.html#NATInstance

即两个 EB 实例之间的流量来自 A 的公共(public) IP 地址，但安全组仅适用于私有(private) IP 地址。我还没读完，但看起来解决方案是创建一个新的 VPC 并将两者一起进行 NAT，因此所有请求看起来都来自私有(private) IP 地址。

这有点恶心，尤其是创建所有新的 VPC 将是一件巨大的痛苦。非常好奇其他人是否可以在没有这个的情况下工作。

关于security - 限制一个 Elastic Beanstalk 应用程序对另一个应用程序的访问，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/30628944/

26

4

0

文章推荐： facebook - 创建 React App Service Worker nginx 无缓存配置

文章推荐： docker - Docker内部版本:xz(stdin):无法识别文件格式

文章推荐： image - 用于新提交的Docker镜像的Dockerfile

文章推荐： docker - 为什么docker compose在启动后立即退出？

spring-security - 从 spring-security.xml 文件禁用 Spring Security
请帮助我的建议。我需要通过 xml 文件中的某个变量在我的应用程序上禁用/启用 spring 安全性。我的 spring-security.xml 文件
java - 无法在 Spring Security 中使用 @Secured Method Security 注释
我做了很多研究，对我来说一切看起来都是正确的......但我无法让它发挥作用!有人有什么想法吗？无论我做什么，相关映射仍然对任何人公开(匿名或登录，无论他们具有什么角色)。理想情况下，我希望所有请
security - 如何避免浏览器中出现 "This page contains both secure and non secure items"警告？
我们正在考虑为我们网站的一部分启用 SSL，但某些页面包含来自第三方供应商(如 Google AdSense)的广告。我认为这会给我们的用户带来一个恼人的问题，因为他们在查看带有广告的页面时会看到类
spring-security - 社交登录，spring-security-oauth2 和 spring-security-jwt？
我正在开发一个休息服务，它将通过浏览器提供浏览器单页应用程序和移动应用程序。目前我的服务正在运行根本没有 Spring 。 oauth2 客户端是在过滤器内部实现的，所以可以说是“手动”。我正在
security - Content-Security-Policy 和 Content-Security-Policy-Report-Only 头可以共存而不相互干扰吗
我正在为我公司的网站添加 Content-Security-Policy-Report-Only 标题。在我研究它时，我发现一些页面已经设置了 Content-Security-Policy head
Spring:注解等价于 security:authentication-manager 和 security:global-method-security
在 XML 配置中，我可以使用 security 命名空间来启用对安全性的支持，例如: 我尝试使用没有 XML 的 Spring，只有 @Configuration 类。与上述 XM
security - 如何在Spring Security 3中为匿名用户从数据库加载角色？
我正在使用 Spring Security 3.0.2，但找不到从数据库加载匿名用户角色的方法(我有动态角色，可以将角色分配给每个人)。我尝试使用自定义的anonymousAuthenticatio
security - 许多重定向登录 security.yml
我有那个代码。但是当我在浏览器中进入 app_dev.php/login浏览器说:该页面进行了太多重定向安全.yml安全: 编码器: Symfony\Component\Security\Core\
security - 如何记录SSH Secure Shell客户端的所有即将到来的消息？
我正在使用SSH Secure Shell客户端，这是一个连接服务器的好工具。但是，我想知道是否可以记录通过SSH Secure Shell客户端运行的程序中所有即将出现的消息。例如:./ test
security - 许多重定向登录 security.yml
我有那个代码。但是当我在浏览器中进入 app_dev.php/login浏览器说:该页面进行了太多重定向安全.yml安全: 编码器: Symfony\Component\Security\Core\
security - Silex Security success_handler
如何为表单例份验证提供程序设置 success_handler(和 failure_handler)？ Silex 使用此配置忽略我: register(new Silex\Provider\Secu
spring-security - Spring Security 预认证账户锁校验
新手问题...我已成功实现自定义处理程序和服务(自定义用户详细信息服务、身份验证成功、身份验证失败)并且一切正常。我现在还实现了如果 3 次并发身份验证失败将锁定帐户(一定时间)的功能。我现在继续处
spring-security - Spring Security 多个注销网址？
我正在使用 Spring security java 配置，我想知道一种实现多个 url 注销的方法。即 logout().logoutRequestMatcher(new AntPathReques
spring-security - Spring Security SAML扩展如何处理认证后的后续请求？
我正在为我的 SP 使用 Spring Security SAML 扩展。用户通过 IDP 身份验证后，SP 使用某种方法允许后续调用不必通过 IDP 重新进行身份验证。这是如何在 Spring Se
spring-security - Spring Security 注销返回按钮
spring security 有没有办法防止下面的最后一点？我正在使用 3.0.5 - 用户登录我的网站 - 用户转到网站中的任何页面并单击注销 -注销链接使用户 session 无效并将它们发送到
security - System.Web.Security 不存在于程序集中
要么我迟到了，要么我做错了什么。我正在使用 Visual Studio 2013，但是我试图使用 Membership 类，using System.Web.Security;我的程序集中不存在命名空
spring-security - Spring Security OAuth2重定向循环
我有一个具有依赖性的oauth2客户端spring-boot应用程序: - Spring 靴1.2.0.RC1 -spring-security-oauth2 2.0.4.RELEASE - Spri
security - 控制台应用程序中的 System.Web.Security
我想在控制台应用程序中生成 HashPasswordForStoringInConfigFile。它是在 Web 应用程序中使用以下类完成的 System.Web.Security.FormsAut
spring-security - Spring Security 中的多个预认证过滤器？
我需要有多个 PRE_AUTH Spring 安全过滤器。特别是我需要使用 PRE_AUTH除了配置为 PRE_AUTH 的两个过滤器之外的过滤器在 Spring Security 3.0 的 SAM
spring-security - Spring Security - 自定义预授权注释？
我猜这里没有答案，但我想知道是否有办法创建这样的自定义注释: @Documented @Inherited @Retention(RetentionPolicy.RUNTIME) @Target({E

首页

博学

6Ren·AI

商城

security - 限制一个 Elastic Beanstalk 应用程序对另一个应用程序的访问