Na przykład mam konto firmowe AWS na koncie głównym z grupą zabezpieczeń xxxxx. Teraz mam swoje osobiste aws z grupą bezpieczeństwa - rrrr. Konta nie są w ogóle powiązane. Czy mogę dodać grupę accept-yyyyy do grupy-xxxxx, umożliwiając tym samym moim osobistym instancjom dostęp do instancji firm?Czy grupy zabezpieczeń AWS na jednej grupie zabezpieczeń odnoszą się do konta AWS w innej?
wiem, że to jest dość stary, ale znalazłem jeszcze starszą AWS Developer Forums temat który omawia to i wydaje się możliwe z narzędziami EC2 API za pomocą polecenie EC2-autoryzacji (np ec2-authorize your-account-security-group-id -P tcp -p 10050 -u other-aws-account-id -o other-account-security-group-id). Jeszcze tego nie testowałem, ale opublikuję i opublikuję tutaj moje wyniki.
Można użyć interfejsu internetowego, jak również poprzez dodanie
other-aws-account-id/account-security-group-id
tj
951413000000/sg-deadbeef jako źródło
Nie można tego zrobić z grup zabezpieczeń w VPC, a od ciebie nie mogę już tworzyć grup bezpieczeństwa, które nie są w VPC (przynajmniej nie widzę). Nie wierzę, że to już możliwe.
Musisz przyjrzeć się połączeniom peeringowym VPC, ale to jest ponad moją głową.
Dla osób, które szukają rozwiązania dla tego pytania, możliwe jest odwoływanie się do grup bezpieczeństwa z kont krzyżowych, jeśli ich vpc jest sprawdzany. ! Jest to nowa funkcja od aws! Cheers
Do grupy zabezpieczeń między kontami można się odwoływać, ale odwołanie nie wydaje się mieć znaczenia. Właśnie stworzyłem regułę, która umożliwia wszystkim dostęp z SG w jednym miejscu do drugiego, ale instancje używające tych grup nie mogą ze sobą rozmawiać! –
Czy VPC zajrzało? –
Witam @ p-joel-nishanth-reddy, tak, oni oglądają VPC. –
Choć pytano ponad rok temu, to powinno być oznaczone jako właściwą odpowiedź. – Sergio
Per @ marc-kubischta: "Jeśli grupa zabezpieczeń, do której chcesz się zwrócić, znajduje się w innym regionie, masz pecha. Możliwe obejście w tym przypadku polega na skonfigurowaniu proxy przy użyciu EIP w innym regionie i na koncie, oraz dodaj EIP proxy do tworzonej grupy zabezpieczeń. " http://stackoverflow.com/review/suggested-edits/5693066 – crizCraig
Nie jest to możliwe, jeśli grupa zabezpieczeń znajduje się w VPC. –