所以我有一个有Web服务器的EC2实例。在安全组中,我允许80和443上的传入流量,但出于安全原因删除了所有传出流量。 我的应用程序使用AWS SNS和SMTP,当然,每当它尝试连接到这些服务时,它都会因为出站流量被阻止而失败。如何在不使用代理的情况下将出站流量限制为这些服务?我试图检查VPC端点,但没有在列表中找到SNS和SMTP。
答案 0 :(得分:0)
您需要启用这些服务接收请求所需的端口。大多数AWS服务使用需要HTTPS的REST接口(443)。
对于SNS,您需要启用端口443出站。
对于SMTP,您需要查找配置的端口。对于SES,这通常是端口465或587。
亚马逊发布ip-ranges.json,其中包含AWS的IP地址列表。您可以创建Lambda函数以使用这些地址自动更新安全组。
我不会阻止所有出站端口。相反,我会使用安全组和ip-ranges.json控制实例可以连接到的位置。然后我会测试你仍然可以安装更新等。如果你的实例是基于Windows的,那么你还有另外一些蠕虫添加微软网站。
恕我直言:除非你真的需要这种程度的控制和安全,并准备花很多时间管理一切......
示例项目:
答案 1 :(得分:0)
要添加John的答案,
上个月,AWS发布了一款名为“AWS PrivateLink”的产品,该产品使人们能够在VPC中广告服务,就像今天的S3端点一样。 AWS将在未来几个月以相同的方式发布AWS服务,因此这可能只是一个短期问题。
可以找到更多信息https://aws.amazon.com/about-aws/whats-new/2017/11/introducing-aws-privatelink-for-aws-services/