security - 可以与 AWS 中的安全组关联的所有资源有哪些？

Question

在尝试描述整个系统时，AWS 文档几乎毫无用处。是否有任何资源或可以属于一个安全组和不同类型的安全组的所有资源的编译列表？

这是我到目前为止所拥有的:

EC2-经典实例

EC2-VPC 实例

RDS

弹性缓存

还有什么我想念的吗？我缺少任何非常好的文档资源吗？

Answer 1

了解 AWS 安全组的主要概念是 它确定允许哪些流量进出虚拟网络上的资源 .
因此，想想什么可以“进入”虚拟网络:

亚马逊 EC2 实例

启动 EC2 实例的服务:

AWS Elastic Beanstalk

亚马逊弹性 MapReduce

使用 EC2 实例的服务(不直接出现在 EC2 服务中):

Amazon RDS(关系数据库服务)

亚马逊红移

Amazon ElastiCache

亚马逊云搜索

弹性负载平衡

lambda

资源不“属于”安全组。 相反，一个或多个安全组与资源相关联。这通常是一个难以理解的概念，因为安全组具有与防火墙相似的能力，并且防火墙通常“封装”许多设备。虚拟网络不是“属于”或“被安全组包围”，而是简单地使用安全组中包含的定义来确定允许哪些流量进出资源。
例如，假设两个 EC2 实例与“Web”安全组关联，并且该安全组配置为允许端口 80 上的传入流量。虽然两个实例都关联到同一个安全组， 他们无法相互通信 .这是因为它们不“属于”安全组，也不在安全组“内”。相反，安全组定义用于过滤进出实例的流量。当然，可以将安全组配置为允许来自安全组本身的传入流量(自引用)，这实际上意味着允许来自与安全组相关联的任何资源的传入流量。 (看，我告诉过你这是一个很难掌握的概念!)
此外，安全组实际上并不与 VPC 中的 EC2 实例相关联。相反，安全组与 Elastic Network Interface (ENI) 关联。附加到 EC2 实例。将 ENI 视为将实例链接到 VPC 子网的“网卡”。一个实例可以有多个 ENI，因此可以连接到多个子网。每个 ENI 都可以与安全组有自己的关联。因此，实际使用的安全组取决于流量流入/流出实例的位置，而不是实际与实例相关联。
只有两个“ 类型 ”的安全组:

EC2 Classic(传统网络配置)

EC2 VPC(现代专用网络配置)

任何一种类型的安全组都可以与任何其他资源相关联，只要它们位于相同的网络类型(经典或 VPC)中。