Estou configurando algumas instâncias do EC2 em uma conta compartilhada da AWS e quero dar acesso a elas. Ao mesmo tempo, quero proibir o acesso de outras instâncias da conta.
Criei um grupo de segurança e adicionei acesso SSH a partir de "Meu IP" para fazer login e isso funciona bem.
Agora eu preciso fazer o SSH entre todas as instâncias, mas não posso, mesmo que elas estejam no mesmo grupo de segurança .
Como eu posso fazer isso?
Então, você está configurando algum cluster na AWS e precisa de acesso SSH entre os nós, correto? Você tem 2 opções:
O mais ingênuo é adicionar o IP de cada instância à lista de entrada do grupo de segurança - mas isso significa que você precisará atualizar o SG toda vez que adicionar uma nova instância no cluster. (Se você já fez). Não faça isso, eu apenas mencionei isso por completo.
Muito melhor é usar o próprio ID do grupo de segurança como a fonte do tráfego .
É importante entender que o SG não é apenas um filtro de entrada, mas também marca todo o tráfego de saída - e você pode consultar o ID do SG de origem no mesmo ou em outros grupos de segurança.
Dê uma olhada no grupo de segurança padrão em sua VPC. Você provavelmente verá algo assim:
Observe que a regra se refere ao próprio ID do grupo de segurança .
Com essa regra, tudo o que se origina de qualquer host que seja membro do seu grupo de segurança será aceito por todos os outros membros / instâncias do grupo.
No seu caso, convém restringi-lo ao SSH, ICMP (se você precisar pingtrabalhar) ou qualquer outra porta necessária.
Verifique também a guia Saída e verifique se há uma entrada para Todo o tráfego para 0.0.0.0/0(a menos que você tenha necessidades específicas de segurança); caso contrário, as instâncias não poderão iniciar nenhuma conexão de saída. Por padrão, ele deve estar lá.
Espero que ajude :)
Na configuração do seu grupo de segurança que você deseja usar para permitir o SSH entre as instâncias:
Você deve adicionar uma regra que habilite o SSH com a origem sendo o próprio ID do grupo.
Por exemplo, se o seu ID de grupo de segurança é sg-12345678que você pode adicionar uma regra nesse mesmo grupo que abre SSH a partir sg-12345678.
Verifique também se a guia Saída tem uma regra para, 0.0.0.0/0ou pelo menos novamente, para o SSH, sg-12345678caso contrário o tráfego de saída será bloqueado. Por padrão, o 0.0.0.0/0deve estar lá.