এডাব্লুএস ক্লাউডফর্মেশন: ভিপিসি ডিফল্ট সুরক্ষা গোষ্ঠী

16

আমার কাছে একটি সিএফএন স্ট্যাক রয়েছে যা (অন্যান্য জিনিসগুলির মধ্যে), একটি ভিপিসি তৈরি করে, বেশ কয়েকটি সুরক্ষা গোষ্ঠী এবং কয়েকটি ইসি 2 উদাহরণ দেয়। স্ট্যাকের দ্বারা তৈরি হওয়া দৃষ্টান্তগুলিতে স্ট্যাকের মধ্যে তৈরি হওয়া সুরক্ষা গোষ্ঠীগুলি নির্ধারণ করা তুচ্ছ। তবে আমি ডিফল্ট ভিপিসি এসিজিতে আগ্রহী।

যখন কোনও ভিপিসি তৈরি হয় (ম্যানুয়ালি যদিও জিইউআই, যদিও ক্লাউডফর্মেশন বা অন্য কোনও উপায়ে) A

আমি যা করার চেষ্টা করছি তা হল এই ডিফল্ট সুরক্ষা গোষ্ঠী এবং অন্যান্য বেশ কয়েকটি এসজিগুলিকে স্ট্যাকের দ্বারা নির্মিত উদাহরণগুলিতে নিয়োগ করা। এটি আমার প্রত্যাশার চেয়ে অনেক বেশি কঠিন প্রমাণিত হচ্ছে। এখানে আমি যা যা করছি তা দেখানোর জন্য এখানে কিছু স্নিপেট রয়েছে:

"AllowSSHSecGroup":{
      "Type":"AWS::EC2::SecurityGroup",
      "Properties":{
        "GroupDescription":"Allow SSH from anywhere",
        "VpcId":{
          "Ref":"DevVPC"
        },
        "SecurityGroupIngress":[
          {
            "IpProtocol":"tcp",
            "FromPort":"22",
            "ToPort":"22",
            "CidrIp":"0.0.0.0/0"
          }
        ]
      }
},
"Instance001" : {
      "Type" : "AWS::EC2::Instance",
      "Properties" : {
        "ImageId" : "ami-7eab224e",
        "InstanceType" : "m1.large",
        "AvailabilityZone" : "us-west-2a",
        "PrivateIpAddress" : "10.22.0.110",
        "SecurityGroupIds" : [ {"Ref" : "AllowSSHSecGroup"} ],
        "SubnetId" : { "Ref" : "PublicSubnet" },
        "KeyName" : "erik-key",
        "DisableApiTermination" : "false",
        "Tags" : [ { "Key": "Name", "Value": "Instance001"} ]
      }
}

উপরের স্নিপেটে, আমি একটি "অনুমতি এসএসএস" সুরক্ষা গোষ্ঠী তৈরি করছি এবং এটি একটি উদাহরণকে বরাদ্দ করছি। উল্লিখিত হিসাবে, আমার স্ট্যাকটি একটি ভিপিসিও তৈরি করে (যা এই উদাহরণটি চালু করা হয়), যার ফলে একটি ডিফল্ট সুরক্ষা গোষ্ঠী তৈরি হয়। দুর্ভাগ্যক্রমে, যেহেতু এই গোষ্ঠীটি এডাব্লুএস দ্বারা স্বয়ংক্রিয়ভাবে তৈরি করা হয়েছে, তাই এর গ্রুপ আইডি স্ট্যাকের কাছে অনুপলব্ধ, এটি আইডি দ্বারা রেফারেন্স করা অসম্ভব করে তোলে। আমি প্রথমে ভেবেছিলাম SecurityGroupsসম্পত্তিটি একটি বিকল্প হবে, কারণ এটি আমাকে এর নামে ডিফল্ট এসজি রেফারেন্স করতে দেয় default। এটি কার্যকর হয় না, কারণ SecurityGroupsসম্পত্তিটি কেবল ইসি 2 সুরক্ষা গোষ্ঠীর জন্য, ভিপিসি সুরক্ষা গোষ্ঠীগুলির জন্য নয়।

তাই আমি আটকে আছি। আমি আছে এই ডেস্কটপ AWS সমর্থনে একটি মামলা খোলা, কিন্তু এ পর্যন্ত তারা সহায়ক নয় চলেছি। আমি কীভাবে এটি সম্পাদন করতে পারি তার কোনও ধারণা?

amazon-ec2  amazon-web-services  amazon-cloudformation 
EEAA
সূত্র

উত্তর:

19

ডিফল্ট সুরক্ষা গোষ্ঠীটি উল্লেখ করা সম্ভব:

{ "Fn::GetAtt" : ["VPC", "DefaultSecurityGroup"] }

"ভিপিসি" হ'ল আপনার ভিপিসি সংস্থান নাম।

সঙ্গে AWS::EC2::SecurityGroupIngressএবং AWS::EC2::SecurityGroupEgress, আপনি এই ডিফল্ট নিরাপত্তা দলের অনুমতি বৃদ্ধি করতে পারেন।

আমি মনে করি এটি আপনি যা চান:

"VPCDefaultSecurityGroupIngress": {
  "Type" : "AWS::EC2::SecurityGroupIngress",
  "Properties" : {
    "GroupId": { "Fn::GetAtt" : ["VPC", "DefaultSecurityGroup"] },
    "IpProtocol":"tcp",
    "FromPort":"22",
    "ToPort":"22",
    "CidrIp":"0.0.0.0/0"
  }
},

@Artbristol এবং @ gabriel দ্বারা উল্লিখিত হিসাবে, এটি একক স্ট্যাক মোতায়েনের জন্য ভিপিসির জন্য ডিফল্ট সুরক্ষা গোষ্ঠীতে ইঙ্গ্রেস / এগ্র্রেস বিধিগুলিকে যুক্ত করতে দেয়।

আমি নিশ্চিত যে স্ব-রেফারেন্সিয়াল সমস্যাটি এখনও ভিপিসির ডিফল্ট সুরক্ষা গোষ্ঠীর অন্য কোনও সম্পত্তি পরিবর্তনের কোনও প্রচেষ্টাকে প্রভাবিত করে। এর একটি ভাল উদাহরণ ট্যাগ বা বিবরণ যুক্ত করা হবে। আপনি যদি এই জিনিসগুলি পরিবর্তন করতে চান তবে আপনাকে চারপাশে বহির্মুখী সুরক্ষা গোষ্ঠীগুলি মোকাবেলা করতে হবে।

IanBlenke
সূত্র
6

ঠিক আছে, এটি হিসাবে দেখা যাচ্ছে, এডাব্লুএস সমর্থন জবাব দিয়েছিল এবং আমাকে জানিয়েছে যে তারা সনাক্ত করেছেন যে এটি ক্লাউডফর্মেশনে একটি বৈশিষ্ট্য ব্যবধান, এবং এটি একটি বৈশিষ্ট্য অনুরোধ হিসাবে বিকাশকারী দলে জমা দেওয়া হয়েছে।

সুতরাং এই বৈশিষ্ট্যটি বাস্তবায়িত না হওয়া পর্যন্ত, কাজটি হ'ল আপনার নিজস্ব "ডিফল্ট" সুরক্ষা গোষ্ঠী তৈরি করা যা "রিয়েল" ডিফল্ট এসজি হিসাবে একই আচরণটির প্রতিরূপ তৈরি করে। দুর্ভাগ্যক্রমে, এই সেটআপটির স্ব-উল্লেখযোগ্য দিকের কারণে, একটি একক স্ট্যাক মোতায়েনের মধ্যে এখনও করা সম্ভব নয়। বিকল্পটি হ'ল ডিফল্ট সুরক্ষা গোষ্ঠীকে আপনার দৃষ্টান্ত না দিয়ে একবারে স্ট্যাক স্থাপন করা। তারপরে স্ট্যাকটি তৈরি হয়ে গেলে (এবং আপনার ডিফল্টর জন্য সুরক্ষা গোষ্ঠী আইডি কী তা দেখার সুযোগ হয়েছিল), আপনি সেই উদাহরণস্বরূপ সেই এসজি আইডি যুক্ত করতে পারেন।

EEAA
সূত্র
2
আমি বিশ্বাস করি যদি এই অনুসরণ forums.aws.amazon.com/thread.jspa?messageID=466960 এবং একটি তৈরি SecurityGroupIngressআপনার সিন্থেটিক ডিফল্ট নিরাপত্তা গ্রুপ উল্লেখ, আপনি একটি একক স্ট্যাক স্থাপনার মধ্যে স্ব-রেফারেন্স যে আপনি চান পেতে পারেন
আর্টব্রিজটল
এটা সঠিক। উদাহরণস্বরূপ, যদি আপনি একটি বিদ্যমান VPC ডিফল্ট ধারণকারী উপর CloudFormer স্ট্যাক চালানোর জন্য, স্ব-উল্লেখ নিরাপত্তা দল, এটা কোথায় SecurityGroupIngress উভয় সঙ্গে নিজস্ব সম্পদ হিসেবে নষ্ট হয়ে গেছে একটি টেমপ্লেট উত্পন্ন করবে GroupIdএবং SourceSecurityGroupIdসেট{ "Ref": "<SecurityGroupResource>" }
গ্যাব্রিয়েল
2
এটি আপডেট হয়েছে কিনা তা জানতে আপনি কি ঘটেন? ডিফল্ট সুরক্ষা গোষ্ঠীটির সদৃশ করা বিরক্তিকর।
পল ম্যাকডুগাল
এফডাব্লুআইডাব্লু: "ডিফল্ট নিয়ম সরান" ডকসস.অওস.মাজোন.com
জাকুব এম
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.