Quels sont les groupes de sécurité par défaut créés lorsque j'ai configuré AWS EB pour la première fois?

Je suis intrigué par le rôle joué par plusieurs groupes qui semblent avoir été automatiquement ajouté à ma liste de groupes de sécurité AWS, lié à ce que je comprends est la configuration par défaut, et je me demande comment ils fonctionnent (et à ce sujet il est sécuritaire de le changer). Plus précisément, il y a trois qui sont mystérieux:

  • launch-wizard-1 qui a une règle de trafic entrant SSH, TCP, 22, 0.0.0.0/0.
  • default décrit comme "par défaut VPC groupe de sécurité", qui est une règle de trafic entrant pour l'ensemble du trafic et de tous les ports qu'utilise lui-même comme une source.
  • default_elb_... décrit comme "ELB créé le groupe de sécurité, en l'absence de groupe de sécurité est spécifié lors de l'ELB création - modifications pourraient avoir des répercussions du trafic à l'avenir ELBs", qui est une règle de trafic entrant permettant HTTP à partir de toutes les adresses IP

Les deux premiers ne semblent pas être connecté à tous les autres groupes de sécurité, tandis que le dernier est la source pour un pour un flux entrant HTTP règle dans chaque les groupes de sécurité pour mon environnement Elastic Beanstalk.

Que faire de ces trois groupes? Puis-je les modifier? Ou de modifier les connexions?

Par exemple, la dernière règle semble avoir pour effet de permettre le trafic HTTP à partir de n'importe où à tous mes EB environnements. Puis-je modifier cette règle pour limiter IPs (pour tous les environnements)? Puis-je les nations unies "crochet" de la règle une source à partir d'un donné EB environnement (par exemple, remplacement d'une source avec une plage d'adresses ip)?

source d'informationauteur orome

  1. 15

    Dirait que vous avez une poignée sur ce qu'est un groupe de sécurité est: un pare-feu dynamique qui est appliqué à des instances EC2.

    Lorsque vous lancer manuellement une EC2 VM à partir de la console web, AWS vous offrons la possibilité de réutiliser un groupe de sécurité existant ou en créer un nouveau. Lorsque vous créez un nouveau, la règle par défaut est SSH (port 22) et un groupe de sécurité par défaut le nom de "lancement de l'assistant-#".

    Malheureusement, depuis un groupe de sécurité peut être utilisé par plusieurs instances EC2, ils ne sont pas nettoyés lorsque vous supprimez une VM. Donc, si vous avez supprimé la machine virtuelle lancement de l'assistant-1 a été créé avec, il ne supprime pas le groupe de sécurité.

    Sur le "groupe de sécurité par défaut pour la VPC". Lorsque vous créez votre VPC, un groupe de sécurité par défaut est créé en parallèle avec elle. Lorsque les instances EC2 sont lancés dans un VPC de sous-réseau, ils auront le groupe de sécurité par défaut affecté à eux si l'autre n'est pas spécifié. (http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#DefaultSecurityGroup).

    Donc, ce n'est que la règle de la moyenne qui lui permet de parler à lui-même? Par défaut, tout le trafic entrant est refusé par un groupe de sécurité. Ce "parler de soi" règle de trafic entrant indique que si deux machines virtuelles à la fois avoir cette règle qui leur sont assignées, ils seront autorisés à communiquer les uns avec les autres sur tous les ports. Devriez-vous utiliser ce groupe par défaut? Pas de. Créer des groupes de sécurité que l'exercice de la règle du moindre privilège (de n'ouvrir que les ports dont vous avez besoin à des instances qui en ont besoin).

    Malheureusement, je n'ai pas beaucoup elastic beanstalk de l'expérience, c'est donc là que ma réponse se tourne vers des hypothèses. Dans le peu que j'ai joué avec beanstalk, je me souviens qu'il a créé auxiliaire de ressources dans votre compte. Cela semble être le cas avec votre Elastic Load Balancer (ELB). Comme la description l'indique, lorsque Elastic Beanstalk doit lancer un nouveau programme d'équilibrage de charge, l'équilibreur de charge utilisation de ce groupe par défaut, sauf si vous spécifiez un autre. Je crois que ce lien documents de la façon dont vous voulez faire cela (http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/using-features.managing.elb.html).

    Dans tous les cas, je déconseille l'utilisation de la valeur par défaut des groupes de sécurité en faveur de l'individu règles de pare-feu unique à cette instance de besoins en matière de sécurité.

    Pouvez-vous modifier ou supprimer ces?

    • lancement de l'assistant-1: Oui, vous pouvez modifier ou supprimer ce groupe. Puisque vous avez mentionné qu'il est inutilisé, aller de l'avant et nuke lui.
    • par défaut: VPC est méticuleux au sujet de certaines ressources par défaut qu'il crée. Je l'ai testé sur mon compte et je ne peut pas le supprimer. Vous pouvez bien sûr le modifier, mais je vous conseille plutôt tout simplement pas l'utiliser.
    • default_elb: Si je me souviens correctement, elastic beanstalk utilise cloudformation pour créer des ressources supplémentaires, comme un ELB groupe de sécurité. Vous pouvez modifier ce groupe de sécurité, mais il permettra de créer des incohérences entre les cloudformation définition et la réalité. Pour votre question spécifique, vous pouvez modifier la plage admissible de l'IPs, mais si vous êtes les règles d'écriture sur une adresse IP privée, vous ne serez pas capable de traverser des environnements si les environnements sont déployés pour séparer les Vpc.