Amazon web services AWS按用户管理ec2入站/出站规则
作为管理员,我正在寻找一种方法,允许用户为特定安全组管理自己的入站/出站规则,但不允许他们修改其他安全组的入站/出站规则。现在,使用策略就可以做到这一点,但是,这种方法的唯一问题是,您必须将每个员工的安全组添加到每个EC2实例中 例如(双关语),如果我有20个EC2和50名员工,我需要手动添加50*20个安全组。那不实际Amazon web services AWS按用户管理ec2入站/出站规则,amazon-web-services,amazon-ec2,aws-security-group,Amazon Web Services,Amazon Ec2,Aws Security Group,作为管理员,我正在寻找一种方法,允许用户为特定安全组管理自己的入站/出站规则,但不允许他们修改其他安全组的入站/出站规则。现在,使用策略就可以做到这一点,但是,这种方法的唯一问题是,您必须将每个员工的安全组添加到每个EC2实例中 例如(双关语),如果我有20个EC2和50名员工,我需要手动添加50*20个安全组。那不实际 对于这个问题,什么是更易于管理的解决方案?根据OP反馈进行编辑 好吧,如果我正确理解你的情况 您有N名工程师需要连接到VPC中的后端EC2实例 您可以基于IP管理进出EC2实
对于这个问题,什么是更易于管理的解决方案?根据OP反馈进行编辑 好吧,如果我正确理解你的情况
- 您有N名工程师需要连接到VPC中的后端EC2实例
- 您可以基于IP管理进出EC2实例的流量
- 工程师四处移动,所以IP地址会改变。因此,他们需要能够使用新的IP地址进行更新
总体上,我认为您应该考虑删除整个IP过滤策略并获得VPN连接。它可能每月花费40~100美元,但更安全。如果你有工程师手动设置IPs,那只是时间问题,直到有人把事情搞砸了,一个巨大的CIDR区块向全世界开放。此外,考虑返回工程师的时间价值。必须获得他们的IP并在AWS中设置它是非增值工作
初始职位 所以,我不确定我是否理解你想要实现的目标。但我猜你想给每个员工一个独特的环境,他们可以随心所欲地改变。你有几个选择 CloudFormation-最佳选择,IMO 构建一个主CloudFormation模板,用于构建您需要的所有部分:
- EC2实例
- 安全组
- 政策
在其设备上安装VPN客户端的用户可以从任何公共网络到vpc的VPN,并且可以安全地访问资源。不需要为每个用户维护和更新安全组。我很困惑-如果所有安全组都在所有EC2实例上,那么员工对其安全组所做的任何更改都会传播到所有EC2实例。那么,他们不是在有效地改变其他员工的进入方式吗?每个员工不应该只获得一个EC2实例和一个由CloudFormation定义的安全组吗?CloudFormation还创建了他们管理安全组的策略?这些都是运行后端服务的共享EC2实例。因此,员工在移动时需要访问这些实例。只有管理员才能创建新实例。现在,您可以在所有实例中拥有一个安全组,每个员工都有入站/出站规则。但是,如果员工的Ip发生变化,管理员必须更新他们的Ip地址(因为我们不希望允许所有EC2实例上的所有员工都具有写访问权限)。该员工需要的能力,以改变自己的Ip地址,没有更多。谢谢你的详细帖子!因此,在我们目前的设置中,我们实际上使用的是VPN和一个堡垒,但这些只有经过授权的Ip地址才能访问。因此,w