EC2 Instance Connect Endpoint 安全组
EC2 Instance Connect Endpoint 和您要连接到的实例都分配有安全组。我们建议您按照本主题中描述的方式配置安全组规则。
EC2 Instance Connect Endpoint 安全组规则
当您创建 EC2 Instance Connect Endpoint 时,如果未指定安全组,则会为 VPC 分配默认的安全组。默认出站规则允许所有出站流量到达所有目的地。要将连接仅限于 VPC 中的实例,我们建议出站规则只允许流向指定目的地的流量。
建议的出站规则
-
允许流向指定目的地的出站流量(安全组或 VPC CIDR,取决于您的安全需求)。
实例安全组规则
该实例需要至少一条入站规则才能允许来自 EC2 Instance Connect Endpoint 的流量。
建议的入站规则
根据您的安全需求以及是否启用客户端 IP 保留,指定下列一条或多条规则:
-
允许来自 EC2 Instance Connect Endpoint 安全组的入站流量。
-
允许来自客户端 IP 地址的入站流量。
-
允许来自 VPC CIDR 的入站流量,这样 VPC 中的任何实例都可以将流量发送到目标实例。
您指定的入站规则取决于 EC2 Instance Connect Endpoint 是否配置为启用客户端 IP 保留。并非所有实例类型都支持客户端 IP 保留。有关更多信息,请参阅限制。
下表列出了可以根据为 preserveClientIp 设置的值配置的实例的安全组规则。
| 客户端 IP 保留 | 实例支持的安全组规则 |
|---|---|
|
|
|
|
|
|
示例
在下图中,EC2 Instance Connect Endpoint 被分配了安全组 EIC Endpoint 安全组。EIC Endpoint 安全组有一条出站规则,允许 TCP 流量流向开发安全组。此配置意味着 EC2 Instance Connect Endpoint 只能向分配了开发安全组的实例发送流量。在图像中,为实例分配了开发安全组,这意味着,在本示例中,EC2 Instance Connect Endpoint 可以向该实例发送 TCP 流量。
