Блог

Пожалуйста, помогите

Мы заблокировали весь исходящий трафик, удалив 0.0.0.0 / 0 и добавив только наш VPC, чтобы наше приложение подключалось к EC2

Теперь проблема в том, что EC2 не может взаимодействовать ни с одним из сервисов AWS самостоятельно; мы не можем использовать SSM, обновлять наш RPM и т.д. ..

мы добавили несколько IP-адресов из-за ошибок, с которыми столкнулись; мы опасаемся, что это неправильный способ блокировки исходящих подключений

Спасибо, заранее ценю вашу поддержку

На самом деле вам следует взглянуть на использование конечных точек VPC, где это возможно, в вашем VPC.

Если вы настроите эти исходящие соединения, они будут осуществляться через диапазоны подсетей, в которых расположены конечные точки интерфейса, за исключением S3 и DynamoDB.

Если вы используете любую из этих служб, в разделе исходящие группы безопасности вы можете внести в белый список источник списка префиксов для этих служб.

Это упрощает управление (диапазоны IP-адресов AWS постоянно меняются) и повышает безопасность, поскольку выход остается в сети AWS, никогда не подключаясь к конечным точкам сервиса через общедоступный Интернет.

Если этот подход не для вас, вам нужно будет подписаться на изменения IP-диапазона, которые запустят лямбда-функцию. Эта лямбда-функция будет получать доступ к диапазонам IP-адресов. Файл в формате json и извлеките все диапазоны, действительные для вашего приложения. Затем эти диапазоны IP-адресов будут добавлены в определяемый вами список префиксов, управляемый клиентом.

Список префиксов будет добавлен в качестве исходящего назначения, разрешающего исходящий доступ по порту 443 (HTTPS), конечно, этот метод потребует от вас создания лямбда-функции.