我正在Elastic Beanstalk(EB)上部署一項服務。當您創建EB環境時,它會要求您爲運行該應用程序的主機選擇一個安全組。無論您選擇什麼,除了生成的安全組以外,EB還會使用您選擇的安全組,允許端口80和443上的所有外部HTTP和HTTPS通信。是否有任何方法禁用此安全組?我希望允許的流量由我選擇的安全組確定。我不想允許任何外部流量。Elastic beanstalk自動創建一個安全組,允許端口80上的所有流量。我該如何禁用?
如果您的環境使用單一實例
當創建一個安全組,您可以通過進入EC2隨時更改此=>安全組=>找到相應的安全組連接由EB創建(可能一些隨機字符,如:awseb-e-thmgihexyz-stack-AWSEBSecurityGroup-6PG13Z3VXXX9)EC2實例=>入站=>編輯=>除去Inbound Port 80和Inbound Port 443
還是一個非常類似的方法:
轉到EC2 =>選擇由您的EB創建的應用程序=>滾動到最左邊的實例=>你會看到你的安全組那裏,應該有awseb開始,選擇它=>它會帶你到安全組入站頁面默認=>編輯=>刪除Inbound Port 80和Inbound Port 443
如果您的環境使用負載平衡器
圍棋EB中心中,點擊您的應用=>去Configuration左側=>點擊Load Balancer設置圖標在左上方。在那裏你會看到Listener port: 80。點擊80並將其切換到OFF。你也可以這樣做到Secure listener port: 443這應該是而不是實際上是默認打開的。
更新:
動態更新您的安全組進來的流量,使用EC2 SDK的authorizeSecurityGroupIngress記錄在案HERE。
希望這會有所幫助!
感謝您的信息。有沒有辦法在單實例環境中執行此操作,即沒有負載平衡器?我擔心重建環境可能會無意中造成安全風險。 – Max
安全風險? 還有,做前兩種方法。第二種方法只有當您有負載均衡器運行 – iSkore
「安全風險」是安全組以外的人員可以在環境重建時訪問該服務。 – Max