EC2 Instance Connect Endpoint 安全组 - Amazon Elastic Compute Cloud

EC2 Instance Connect Endpoint 安全组

安全组控制允许到达和离开与其关联资源的流量。例如,除非与 Amazon EC2 实例关联的安全组特别允许,否则我们会拒绝进出该实例的流量。

以下示例演示了如何为 EC2 Instance Connect 端点和目标实例配置安全组规则。

EC2 Instance Connect 端点安全组规则

EC2 Instance Connect 端点的安全组规则必须允许离开该端点并指向目标实例的出站流量。您可以将实例安全组或 VPC 的 IPv4 地址范围指定为目标。

由于指向端点的流量来自 EC2 Instance Connect 端点服务,因此无论端点安全组的入站规则如何,该流量都会被允许。要控制谁可以使用 EC2 Instance Connect 端点连接到实例,请使用 IAM 策略。有关更多信息,请参阅 使用 EC2 Instance Connect 端点连接到实例的权限

示例出站规则:安全组引用

以下示例使用了安全组引用,这意味着目标是一个与目标实例关联的安全组。此规则允许从该端点到使用此安全组的所有实例的出站流量。

协议 目标位置 端口范围 注释
TCP 实例安全组的 ID 22 允许指向与实例安全组关联的所有实例的出站 SSH 流量
示例出站规则:IPv4 地址范围

以下示例允许指向指定 IPv4 地址范围的出站流量。实例的 IPv4 地址是从其子网分配的,因此可以使用 VPC 的 IPv4 地址范围。

协议 目标位置 端口范围 注释
TCP VPC IPv4 CIDR 22 允许指向 VPC 的出站 SSH 流量

目标实例安全组规则

目标实例安全组规则必须允许来自该 EC2 Instance Connect 端点的入站流量。您可以将端点安全组或 IPv4 地址范围指定为源。如果指定 IPv4 地址范围,则源取决于关闭还是开启了客户端 IP 保留功能。有关更多信息,请参阅 注意事项

由于安全组是有状态的,因此无论实例安全组的出站规则如何,都将允许响应流量离开 VPC。

示例入站规则:安全组引用

以下示例使用了安全组引用,这意味着源是与该端点关联的安全组。此规则允许从端点到使用此安全组的所有实例的入站 SSH 流量,无论客户端 IP 保留功能处于开启还是关闭状态。如果 SSH 没有其他入站安全组规则,则实例仅接受来自该端点的 SSH 流量。

协议 来源 端口范围 注释
TCP 端点安全组的 ID 22 允许来自与端点安全组关联的资源的入站 SSH 流量
示例入站规则:客户端 IP 保留功能已关闭

以下示例允许来自指定 IPv4 地址范围的入站 SSH 流量。因为客户端 IP 保留功能已关闭,因此源 IPv4 地址是端点网络接口的地址。端点网络接口的地址由其子网分配,因此您可以使用 VPC 的 IPv4 地址范围来允许连接到 VPC 中的所有实例。

协议 来源 端口范围 注释
TCP VPC IPv4 CIDR 22 允许来自 VPC 的入站 SSH 流量
示例入站规则:客户端 IP 保留功能已开启

以下示例允许来自指定 IPv4 地址范围的入站 SSH 流量。因为客户端 IP 保留功能已开启,因此源 IPv4 地址是客户端的地址。

协议 来源 端口范围 注释
TCP 公有 IPv4 地址范围 22 允许来自指定客户端 IPv4 地址范围的入站流量