मेरे पास एक cfn स्टैक है (अन्य चीजों के अलावा), एक VPC, कई सुरक्षा समूह और EC2 उदाहरणों का एक मुट्ठी भर बनाता है। यह सुरक्षा समूहों को आवंटित करने के लिए तुच्छ है जो स्टैक के भीतर बनाए गए उदाहरणों के लिए बनाए जाते हैं जो स्टैक द्वारा भी बनाए जाते हैं। हालाँकि, मुझे डिफ़ॉल्ट VPC SG में दिलचस्पी है।
जब VPC क्रिएट हो जाती है (चाहे मैन्युअल रूप से GUI, क्लाउडफॉर्म या किसी अन्य माध्यम से), तो AWS उस समूह में किसी भी उदाहरण के लिए "सभी की अनुमति दें" नियम के साथ एक डिफ़ॉल्ट सुरक्षा समूह बनाता है।
मैं जो करने की कोशिश कर रहा हूं वह इस डिफ़ॉल्ट सुरक्षा समूह को कई अन्य एसजीओं के साथ-साथ स्टैक द्वारा बनाए गए उदाहरणों में असाइन करना है। यह मेरे अनुमान से कहीं अधिक कठिन साबित हो रहा है। यहाँ कुछ स्निपेट दिखाए जा रहे हैं जो मेरे पास चल रहे हैं:
"AllowSSHSecGroup":{
"Type":"AWS::EC2::SecurityGroup",
"Properties":{
"GroupDescription":"Allow SSH from anywhere",
"VpcId":{
"Ref":"DevVPC"
},
"SecurityGroupIngress":[
{
"IpProtocol":"tcp",
"FromPort":"22",
"ToPort":"22",
"CidrIp":"0.0.0.0/0"
}
]
}
},
"Instance001" : {
"Type" : "AWS::EC2::Instance",
"Properties" : {
"ImageId" : "ami-7eab224e",
"InstanceType" : "m1.large",
"AvailabilityZone" : "us-west-2a",
"PrivateIpAddress" : "10.22.0.110",
"SecurityGroupIds" : [ {"Ref" : "AllowSSHSecGroup"} ],
"SubnetId" : { "Ref" : "PublicSubnet" },
"KeyName" : "erik-key",
"DisableApiTermination" : "false",
"Tags" : [ { "Key": "Name", "Value": "Instance001"} ]
}
}
उपरोक्त स्निपेट में, मैं "ssh" सिक्योरिटी ग्रुप बना रहा हूँ और उदाहरण के लिए इसे असाइन कर रहा हूँ। जैसा कि उल्लेख किया गया है, मेरा स्टैक भी एक VPC बनाता है (जो इस उदाहरण को लॉन्च किया गया है), जो बदले में एक डिफ़ॉल्ट सुरक्षा समूह बनाता है। दुर्भाग्य से, चूंकि यह समूह AWS द्वारा स्वचालित रूप से बनाया गया है, इसलिए इसका समूह ID स्टैक के लिए उपलब्ध नहीं है, जिससे आईडी द्वारा इसे संदर्भित करना असंभव है। मैंने शुरू में सोचा था कि SecurityGroups
संपत्ति एक विकल्प होगा, क्योंकि यह मुझे डिफ़ॉल्ट एसजी को उसके नाम से संदर्भित करने की अनुमति देगा default
,। हालांकि, यह काम नहीं करता है, क्योंकि SecurityGroups
संपत्ति केवल ईसी 2 सुरक्षा समूहों के लिए है, न कि वीपीसी सुरक्षा समूहों के लिए।
इसलिए मैं फंस गया हूं। मैं है इस पर एडब्ल्यूएस समर्थन के साथ एक मामला खोल दिया है, लेकिन अब तक, वे उपयोगी नहीं किया गया है। इस पर कोई विचार कि मैं इसे कैसे पूरा कर सकता हूं?
SecurityGroupIngress
अपने सिंथेटिक डिफ़ॉल्ट सुरक्षा समूह की चर्चा करते हुए,, आप एक ही ढेर तैनाती के भीतर, स्वयं संदर्भ जो आप चाहते प्राप्त कर सकते हैं