Amazon web services 将SSH和RDP协议/端口的EC2安全组源0.0.0.0/0恢复为172.16.0.0/16
当有人为SSH和RDP的端口/协议打开0.0.0.0/0时, 应通过通知自动恢复到172.16.0.0/16 我在这里试图做的是,对于SSH和RDP,SG不应该为0.0.0.0/0打开 即使有人这样做,也应该通过通知将其恢复到内部网络172.16.0.0/0。Amazon web services 将SSH和RDP协议/端口的EC2安全组源0.0.0.0/0恢复为172.16.0.0/16,amazon-web-services,amazon-ec2,aws-security-group,Amazon Web Services,Amazon Ec2,Aws Security Group,当有人为SSH和RDP的端口/协议打开0.0.0.0/0时, 应通过通知自动恢复到172.16.0.0/16 我在这里试图做的是,对于SSH和RDP,SG不应该为0.0.0.0/0打开 即使有人这样做,也应该通过通知将其恢复到内部网络172.16.0.0/0。 请建议一种实现方法。我建议为此使用AWS Config()服务。AWS配置允许您创建将被检查的审核规则。如果违反了规则,它将自动生成SNS通知,您可以使用该通知触发lambda来纠正错误(或类似错误) 检查SG中特定IP地址的规则是默认规
请建议一种实现方法。我建议为此使用AWS Config()服务。AWS配置允许您创建将被检查的审核规则。如果违反了规则,它将自动生成SNS通知,您可以使用该通知触发lambda来纠正错误(或类似错误) 检查SG中特定IP地址的规则是默认规则选项的一部分,因此无需自己创建任何规则
编辑:您可以将自动修正与“AWS DisablePublicAccessForSecurityGroup”修正操作一起使用。这应该允许您实现您想要的没有人可以在未获得权限的情况下修改安全组,因此正确的解决方案是,您不会将此权限授予不应该拥有此权限的用户。默认情况下,AWS中未授予的所有内容都会被拒绝 仅仅恢复这样不安全的配置更改是不够的,这取决于时间 TCP的安全组规则控制最初允许创建哪些连接,而不是允许存在哪些连接。如果
- 我将规则更改为允许0.0.0.0/0的规则;然后
- 我从(我)允许的(非故意的)地址(例如203.0.113.1)建立连接;然后
- 删除规则或恢复允许0.0.0.0/0的更改
确保您没有解决错误的问题。谢谢。。这和我想的一样。但是我找不到任何更改源IP范围的默认规则。。另外,应该只针对SSH和RDP进行恢复。我想您可以复制修复操作并创建一个自定义操作。这可能是最简单的选项复制规则并创建新规则,还是复制并创建新修正操作?RDP和SSH是我的端口。。另外,请建议更合适的规则名称/是的,我尝试了Config和AWS DisablePublicAccessForSecurityGroup修正,它删除了SSH或RDP规则(如果是0.0.0.0/0)。但不是删除,而是改成172.16.0.0/0吗?@mytech,你有没有找到你想要的解决方案?我很想知道最后是怎么做的。请共享。对不起,权限将放在第一位。。如果拥有该权限的人更改/创建为0.0.0.0/0,则应撤销该权限。。AWS配置可以做到这一点。。它将自动修复,并将在几秒钟内删除。