क्या अमेज़ॅन ईसी 2 निजी आईपी ईसी 2 में चल रहे किसी भी उदाहरण से उपलब्ध हैं?

12

पिछले प्रश्नों की खोज करने के बाद, आम सहमति यह प्रतीत होती है कि यदि कोई उदाहरण है कि मेरे पास 10.208.34.55 का निजी आईपी असाइन किया गया है, तो केवल उस पते पर मौजूद अन्य आईएनएस खाता मैं उस तक पहुंच सकता है। देख:

दो अमेज़ॅन EC2 उदाहरणों के बीच ट्रैफ़िक को कैसे एन्क्रिप्ट करें?

क्या वो सही है? इसलिए मैं अपने सभी उदाहरणों का इलाज कर सकता हूं जैसे कि वे एक लैन पर हैं और 10.XXX.XXX.XXX से आने वाली किसी भी मशीन को प्रमाणित और भरोसा करते हैं क्योंकि मुझे यकीन है कि मैं इसका मालिक हूं?

मैं सिर्फ यकीन करना चाहता हूं। मुझे लग रहा है कि अमेज़ॅन द क्लाउड के बारे में कविता लिखने में अधिक दिलचस्पी ले रहा है और वास्तविक तकनीकी स्पष्टता प्रदान करने की तुलना में उनके 3-चरित्र संक्षिप्त विवरण।

networking  security  amazon-ec2  amazon-web-services 
jberryman
स्रोत

जवाबों:

12

अमेज़ॅन EC2 सुरक्षा समूह प्रदान करता है जो आपका उदाहरण है, फिर यह आपको अपने खाते या अन्य बाहरी होस्ट पर मेजबान के अन्य समूहों को अनुमति देने की अनुमति देता है। [उपयोगकर्ता गाइड] [१] -> अवधारणा -> थोड़ी सी अवलोकन के लिए नेटवर्क सुरक्षा देखें।

आम तौर पर "डिफ़ॉल्ट" सुरक्षा समूह में आपके पास समूह के अन्य सदस्यों (यानी आपके सभी अन्य डिफ़ॉल्ट होस्ट) तक पूर्ण पहुंच होती है और कोई बाहरी आवक नहीं होती है। EC2 के अंदर अन्य होस्ट जो अन्य खातों पर हैं, या आपके खाते में हैं, लेकिन "डिफ़ॉल्ट समूह में" आपके उदाहरण तक नहीं पहुंच पाएंगे।

आप सुरक्षा समूह के लिए अन्य सुरक्षा समूहों तक पहुंच प्रदान करने के लिए नियम जोड़ सकते हैं, या आईपी पते / रेंज तक पहुंच प्रदान करने के लिए नियम जोड़ सकते हैं।

आपके प्रश्न का थोड़ा और सीधे उत्तर देने के लिए: जब तक आपके सुरक्षा समूह नियम केवल उसी समूह से पहुँच की अनुमति देते हैं, तब तक आपके उदाहरणों को किसी अन्य ग्राहक द्वारा पहुँच से फायरवॉल कर दिया जाना चाहिए, भले ही वे समान IP स्थान साझा करें।

[१]: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/ ईसी2

डोमिनिक क्ले
स्रोत
1

गैरेथ - मुझे लगता है कि दोनों समूहों के पास एसएसएच पोर्ट खुला है, इस प्रकार एक खाते से दूसरे खाते में एसएसएच पोर्ट किसी भी निष्कर्ष पर नहीं जाता है। यह विचार सरल है - एक सुरक्षा समूह के भीतर - सभी बंदरगाह खुले हैं - बाहर पहुंच - आपकी परिभाषा के अनुसार है - और इस मामले के लिए, अमेज़ॅन में एक और समूह बाहरी पहुंच के समान है।

-1

इसका उत्तर एक शानदार है - मेरे पास कई EC2 खाते हैं, और खाता B पर मेरे उदाहरण में से किसी एक में लॉग इन करने की कोशिश की है। B से SSH में B से A तक कोई समस्या नहीं है (SSH की आवश्यकता के अलावा) खाता ए के लिए कुंजी)।

आपको यह मान लेना चाहिए कि आपके 10.0.0.0/8 पर कोई भी आपके उदाहरणों का उपयोग कर सकता है, भले ही वे ईसी 2 खाते का उपयोग कर रहे हों।

gareth_bowles
स्रोत
3
उदाहरण के लिए आपके पास क्या सुरक्षा अनुमतियां हैं? कोई भी आपके उदाहरण को डिफ़ॉल्ट रूप से एक्सेस करने में सक्षम नहीं होना चाहिए, लेकिन यह अक्सर दुनिया में टीसीपी / 22 (एसएसएच) को खोलने के लिए ट्यूटोरियल में सिफारिश की जाती है ताकि आप मशीन तक पहुंच सकें। उस सुरक्षा समूह के लिए अनुमतियों की जांच करने के लिए ElasticFox या "ec2-description-group" का उपयोग करें ("डिफ़ॉल्ट")? आपको संभवतः एक ही सुरक्षा समूह के सदस्यों और संभवतः वैश्विक एसएसएच पहुंच (जिसे आपने जोड़ा होगा) से पूर्ण अनुमति दी हुई दिखाई देगी।
डोमिनिक क्लेल
आप सही हैं, मैंने पोर्ट 22 के लिए वैश्विक पहुंच को सक्षम किया है - जो तब भी सुरक्षित लग रहा था जब आपको इंस्टेंसेस तक पहुंचने के लिए SSH कीपर की आवश्यकता हो।
गारेथ_बोल्स
यह खुला होने से आप हमलों के अधीन हो जाते हैं - जिसका अर्थ है कि आपके एसएसएच डेमॉन को आने वाले अनुरोधों को सुनना होगा और यह खुद को डेनियल ऑफ सर्विस हमले के लिए उधार दे सकता है। यह कभी-कभी कुछ विफल हो जाता है जैसे कि विफल 2 चैनल या होस्ट पर कुछ अन्य मॉनिटर जोड़कर विफल लॉगिन के लिए देखना और उदाहरण के लिए iptables / ipfw के माध्यम से फ़ायरवॉल नियम चालू करना।
cgseller
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.