Amazon ec2 如何创建分层AWS安全组？

我想在AWS中创建一个2级安全组继承权

位置组特定于不同位置的IP地址组（例如“办公室”、“家庭”、“客户1”等）。这些基本组中的每一个都授予每个IP对所有流量的访问权限（端口0-65535）

环境组-然后我尝试将这些基本位置组添加到我的更高级别环境组（例如，“测试”、“生产”、“报告数据库”等）。我将在EC2中为我的不同实例使用环境组。例如，服务器“uat_01”将引用“test”环境组，该环境组将反过来授予对“office”的访问权

这是我为安全组sg-f2d8设置的入站规则。。。。（办公室）

我使用端口范围添加基本组以访问HTTP（或HTTPS或MySQL等，根据需要），并使用带有组标识符的“自定义”配置引用基本组，例如“sg-f2d8…”

在“安全组”面板中，一切正常，但我无法从所选IP访问

请帮忙！我被告知EC2安全组可以通过这种方式引用基本组，但我似乎无法理解

---

谢谢

当您将安全组作为入站规则的源（或出站规则的目标）时，您引用的是与该组关联的资源（即您创建的属于该组的ec2实例），而不是该组允许的流量（这是对aws安全组的一种常见误解）。通过这种方式引用安全组，安全组之间也没有传递性

现在，为了实现您想要实现的目标，我可以考虑的唯一解决方法是创建具有home test、office test、home prod风格的组，并在每个组中放入您认为合适的源ip。最终，这些将只是“1级”安全组

---

正式答案是否定的，您不能创建分层aws sec组。

当您将安全组作为入站规则的源（或出站规则的目标）时，您正在引用与该组关联的资源（即您创建的属于该组的ec2实例）不允许组允许的通信量（这是aws安全组的一种常见误解）。通过这种方式引用安全组，安全组之间也没有传递性

现在，为了实现您想要实现的目标，我可以考虑的唯一解决方法是创建具有home test、office test、home prod风格的组，并在每个组中放入您认为合适的源ip。最终，这些将只是“1级”安全组

---

正式的答案是不，你不能创建分层的aws sec组。

Booooooo：（当我意识到这一点时，我的反应完全一样，我的头撞在墙上几个小时，直到我检查了文档！Booooooo:（当我意识到这一点时，我的反应完全一样，我的头撞在墙上几个小时，直到我检查了文件！