Каковы группы безопасности по умолчанию, созданные при первом запуске AWS EB?

Я озадачен той ролью, которую играют несколько групп, которые, кажется, были добавлены автоматически в мой список групп безопасности AWS, связанных с тем, что я собираю по умолчанию, и задаюсь вопросом, как они работают (и что с ними связано безопасен для изменения). В частности, есть три загадочных:

launch-wizard-1, который имеет входящее правило SSH, TCP, 22, 0.0.0.0/0.
default описывается как "группа безопасности VPC по умолчанию", которая имеет входящее правило для всего трафика и всех портов, которые используют себя как источник.
default_elb_... описывается как "созданная группа безопасности ELB, когда группа безопасности не указана во время создания ELB - модификации могут влиять на трафик на будущие ELB", который имеет входящее правило, разрешающее HTTP со всех IP-адресов

Первые два не подключены к другим группам безопасности, а последний является источником для входящего правила HTTP в каждой из групп безопасности для моей среды Elastic Beanstalk.

Что делают эти три группы? Могу я их изменить? Или изменить соединения с ними?

Например, последнее правило, по-видимому, влияет на то, чтобы HTTP-трафик из любого места в мои среды EB. Могу ли я изменить это правило для ограничения IP-адресов (для всех сред)? Могу ли я "отключить" правило в качестве источника из заданной среды EB (например, заменив его как источник с диапазоном IP-адресов)?

Ответ 1

Похоже, у вас есть дескриптор того, что такое группа безопасности: брандмауэр с состоянием, который применяется к экземплярам EC2.

Когда вы вручную запускаете виртуальную машину EC2 с веб-консоли, AWS предоставит вам возможность повторно использовать существующую группу безопасности или создать новую. Когда вы создаете новое, по умолчанию используется SSH (порт 22) и имя группы безопасности по умолчанию "мастер запуска - #".

К сожалению, поскольку группа безопасности может использоваться несколькими экземплярами EC2, они не очищаются при удалении виртуальной машины. Поэтому, если вы удалили виртуальную машину, с которой был создан мастер-1, он не удаляет группу безопасности.

В "группе безопасности по умолчанию для VPC". Когда вы создаете VPC, вместе с ним создается группа безопасности по умолчанию. Когда экземпляры EC2 запускаются в подсеть VPC, у них будет назначена группа безопасности по умолчанию, если другая не указана. (http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#DefaultSecurityGroup).

Так что же означает это правило, позволяющее ему говорить с самим собой? По умолчанию весь входящий трафик отклоняется группой безопасности. Это правило "поговорить с самим собой" указывает, что если у двух виртуальных машин есть это правило, назначенное им, им будет разрешено связываться друг с другом на всех портах. Следует ли использовать эту группу по умолчанию? Нет. Создайте уникальные группы безопасности, которые используют правило наименьших прав (только откройте порты, которые вам нужны, в нужные им экземпляры).

К сожалению, у меня нет большого опыта работы с фасолью, поэтому в этом мой ответ превращается в предположения. В том маленьком, что я играл с beanstalk, я помню, что он создал вспомогательные ресурсы в вашем аккаунте. Это, по-видимому, относится к вашему балансировщику эластичных нагрузок (ELB). Как показывает описание, когда Elastic Beanstalk должен запустить новый балансировщик нагрузки, балансировщик нагрузки будет использовать эту группу по умолчанию, если вы не укажете другую. Я считаю, что эта ссылка документирует, как вы это сделаете (http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/using-features.managing.elb.html).

Во всех случаях я бы рекомендовал не использовать группы безопасности по умолчанию в пользу отдельных правил брандмауэра, уникальных для обеспечения безопасности этого экземпляра.

Можете ли вы изменить или удалить их?

Мастер запуска-1: Да, вы можете удалить или изменить эту группу. Поскольку вы упомянули, что он не используется, продолжайте и уничтожайте его.
default: VPC скупает некоторые ресурсы по умолчанию, которые он создает. Я тестировал его на своем аккаунте, и я не могу его удалить. Вы можете, конечно, изменить его, но я бы рекомендовал вместо этого просто не использовать его.
default_elb: Если я правильно помню, эластичный beanstalk использует cloudformation для создания дополнительных ресурсов, таких как группа безопасности ELB. Вы можете изменить эту группу безопасности, но это создаст несоответствия между определением облачной информации и реальностью. Для вашего конкретного вопроса вы можете изменить диапазон допустимых IP-адресов, но если вы пишете правила на частном IP-адресе, вы не сможете пересекать среды, если среды развернуты для разделения VPC.