ใน AWS กลุ่มการปรับขนาดอัตโนมัติของเรากำลังเปิดตัวอินสแตนซ์ใหม่ในโซนความพร้อมใช้งานที่แตกต่างกัน (สำหรับความพร้อมใช้งานสูง) และแน่นอนว่าอินสแตนซ์เว็บเหล่านี้ต้องการการเข้าถึงบริการฐานข้อมูล (RDS) บนพอร์ต 3306

ตอนนี้ ฉันควรอนุญาตที่อยู่ IP ใดในกลุ่มความปลอดภัย RDS สำหรับพอร์ต 3306

เนื่องจากอินสแตนซ์ที่เพิ่งเปิดตัวใหม่แต่ละรายการมีที่อยู่ IP ที่แตกต่างกันในแต่ละครั้ง ดังนั้นเราจะเพิ่มลงในกลุ่มความปลอดภัยได้อย่างไร

BTW: นี่ไม่ใช่แค่ปัญหาสำหรับกลุ่มความปลอดภัย RDS แต่สำหรับกลุ่มความปลอดภัยทั้งหมด เนื่องจากฉันไม่สามารถจำกัดพวกเขาได้

answer

คุณไม่ได้เพิ่มที่อยู่ IP สำหรับอินสแตนซ์ EC2 ในกลุ่มความปลอดภัย RDS คุณเพิ่มกลุ่มความปลอดภัยอื่น สิ่งนี้ทำให้ทุกอินสแตนซ์ในกลุ่มความปลอดภัย EC2 ของคุณเข้าถึงกลุ่มความปลอดภัย RDS / ทรัพยากรของคุณ

ในรูปภาพที่สับสนเล็กน้อยนี้ คุณจะเห็นว่ากลุ่มความปลอดภัยเว็บของฉัน (ลงท้ายด้วย f4) ถูกเพิ่มในกลุ่มความปลอดภัย RDS ของฉัน (สิ้นสุดที่ C6)

การเข้าถึง RDS สำหรับอินสแตนซ์ EC2

แนวคิดที่เกี่ยวข้องคุณอาจจะตระหนักถึงความเป็นบทบาท IAM ใช้ไม่ได้ในสถานการณ์นี้ แต่มีประโยชน์ที่จะทราบ พวกเขาสามารถอนุญาตให้อินสแตนซ์ EC2 เข้าถึงทรัพยากร EC2 ได้จริง (เช่น S3) โดยไม่ต้องจัดเก็บข้อมูลรับรอง อินสแตนซ์ EC2 ต้องเริ่มต้นด้วยบทบาท แต่ฉันเชื่อว่านโยบายบทบาทสามารถเปลี่ยนแปลงได้ทันที

อินสแตนซ์ที่เพิ่งเปิดตัวใหม่ของคุณจะเชื่อมต่อกับกลุ่มความปลอดภัยของตนเอง บางทีพวกเขาอาจเป็นส่วนหนึ่งของกลุ่มการปรับขนาดอัตโนมัติ แต่ก็ไม่สำคัญ คุณสามารถใช้กลุ่มความปลอดภัยที่อินสแตนซ์ใช้เพื่อให้สิทธิ์การเข้าถึงอินสแตนซ์ RDS ของคุณ: ใส่คำอธิบายภาพที่นี่

โปรดสังเกตว่า เรามีกลุ่มความปลอดภัย RDS ที่มีรายการที่อนุญาตการรับส่งข้อมูลบนพอร์ต TCP 3306 จากแหล่งที่มาที่กำหนดเอง แหล่งที่มาที่กำหนดเองคือ ID กลุ่มความปลอดภัยของกลุ่มความปลอดภัยที่อินสแตนซ์ของคุณเชื่อมต่ออยู่