ইসি 2 তে চলমান কোনও উদাহরণ থেকে অ্যামাজন ইসি 2 প্রাইভেট আইপিগুলি কি পৌঁছনীয়?

12

এখানে পূর্ববর্তী প্রশ্নগুলি অনুসন্ধানের পরে, সাধারণ sensকমত্য বলে মনে হয় যে আমার নিজের উদাহরণটি যদি 10.208.34.55 এর একটি ব্যক্তিগত আইপি অর্পণ করা হয় তবে কেবলমাত্র আমার নিজের অন্যান্য সংস্থাগুলি সেই ঠিকানায় পৌঁছতে পারে। দেখা:

দুটি আমাজন ইসি 2 উদাহরণের মধ্যে ট্র্যাফিক কীভাবে এনক্রিপ্ট করা যায়?

এটা কি ঠিক? সুতরাং আমি আমার সমস্ত দৃষ্টান্তটি এমনভাবে আচরণ করতে পারি যে তারা ল্যানে রয়েছে এবং 10.XXX.XXX.XXX থেকে আসা কোনও মেশিনকে সত্যায়ন এবং বিশ্বাস করতে পারে কারণ আমি নিশ্চিত যে আমি এটির মালিক?

আমি ঠিক নিশ্চিত হতে চান। আমি খুঁজে পেয়েছি যে অ্যামাজনকে ক্লাউড এবং তাদের 3-চরিত্রের সংক্ষিপ্ত বিবরণগুলি প্রকৃত স্পষ্ট প্রযুক্তিগত ডকুমেন্টেশন সরবরাহ করার চেয়ে কবিতার মোড়কে তুলনায় বরং আরও আগ্রহী বলে মনে হচ্ছে।

networking  security  amazon-ec2  amazon-web-services 
jberryman
সূত্র

উত্তর:

12

অ্যামাজন ইসি 2 সুরক্ষা গোষ্ঠীগুলি সরবরাহ করে যা আপনার দৃষ্টান্তের একটি অংশ, তারপরে এটি আপনাকে আপনার অ্যাকাউন্টে বা অন্য বাহ্যিক হোস্টগুলিতে হোস্টের অন্যান্য গোষ্ঠীগুলিতে অনুমতি দেওয়ার অনুমতি দেয়। [ওভার গাইড] [1] -> ধারণাগুলি -> নেটওয়ার্ক পর্যালোচনাটি একটু পর্যালোচনার জন্য দেখুন।

সাধারণত "ডিফল্ট" সুরক্ষা গোষ্ঠীতে আপনার গোষ্ঠীর অন্যান্য সদস্যের কাছে সম্পূর্ণ অ্যাক্সেস থাকে (যেমন আপনার সমস্ত ডিফল্ট হোস্টগুলির সমস্ত) এবং কোনও বাহ্যিক অভ্যন্তরীণ প্রবেশের ব্যবস্থা নেই। ইসি 2 এর ভিতরে থাকা অন্যান্য হোস্টগুলি যা অন্য অ্যাকাউন্টগুলিতে বা আপনার অ্যাকাউন্টে রয়েছে তবে "ডিফল্ট গোষ্ঠীতে নেই" আপনার উদাহরণ অ্যাক্সেস করতে সক্ষম হবে না।

আপনি অন্যান্য সুরক্ষা গোষ্ঠীগুলিতে অ্যাক্সেস মঞ্জুর করতে কোনও সুরক্ষা গোষ্ঠীর জন্য বিধিগুলি যুক্ত করতে পারেন, বা আইপি ঠিকানা / রেঞ্জগুলিতে অ্যাক্সেস দেওয়ার জন্য বিধিগুলি যুক্ত করতে পারেন।

আপনার প্রশ্নের কিছুটা সরাসরি উত্তর দেওয়ার জন্য: যতক্ষণ না আপনার সুরক্ষা গোষ্ঠীর নিয়মগুলি কেবল একই গ্রুপ থেকে অ্যাক্সেসের অনুমতি দেয়, ততক্ষণ আপনার উদাহরণগুলি অন্য কোনও গ্রাহকের দ্বারা অ্যাক্সেস থেকে চালিত হওয়া উচিত, যদিও তারা একই আইপি স্পেস ভাগ করে নেয়।

[1]: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/ ইসি 2 ব্যবহারকারী গাইড

ডোমিনিক ক্লিয়ার
সূত্র
1

গ্যারেথ - আমি ধরে নিচ্ছি উভয় গ্রুপের এসএসএইচ পোর্ট খোলা রয়েছে, সুতরাং এক অ্যাকাউন্ট থেকে অন্য অ্যাকাউন্টে সফল এসএসএইচ আপনার উপসংহারটি নির্দেশ করে না। ধারণাটি সহজ - একটি সুরক্ষা গোষ্ঠীর মধ্যে - সমস্ত বন্দর খোলা রয়েছে - বাইরের অ্যাক্সেস - আপনার সংজ্ঞা অনুসারে - এবং এই বিষয়টির জন্য, অ্যামাজনের আরও একটি গ্রুপ যেমন বাহ্যিক প্রবেশাধিকারের সমান।

-1

উত্তরটি একটি উত্তেজনাপূর্ণ NO নয় - আমার একাধিক ইসি 2 অ্যাকাউন্ট রয়েছে এবং আমি আমার অ্যাকাউন্টে এ-এর একটিতে লগ ইন করার চেষ্টা করেছি বি অ্যাকাউন্টে অন্য একটি উদাহরণ থেকে আমি বি থেকে ক তে এসএসএইচ করতে পেরেছিলাম কোন সমস্যা ছাড়াই (এসএসএইচ প্রয়োজন ছাড়া অন্য অ্যাকাউন্টের জন্য কী)

আপনার ধরে নেওয়া উচিত যে আপনার 10.0.0.0/8 এ যে কেউ EC2 অ্যাকাউন্ট ব্যবহার করছেন তা নির্বিশেষে আপনার দৃষ্টান্ত অ্যাক্সেস করতে পারে।

gareth_bowles
সূত্র
3
উদাহরণস্বরূপ আপনার কী সুরক্ষা অনুমতি ছিল? আপনার উদাহরণটি ডিফল্টরূপে কেউ অ্যাক্সেস করতে সক্ষম হবেনা, তবে প্রায়শই টিসিটোরিয়ালগুলিতে বিশ্বে tcp / 22 (এসএসএইচ) খোলার পরামর্শ দেওয়া হয় যাতে আপনি মেশিনটি অ্যাক্সেস করতে পারেন। আপনি যে সুরক্ষা গোষ্ঠীটি উদাহরণটি চালু করছেন ("ডিফল্ট"?) এর জন্য অনুমতিগুলি পরীক্ষা করতে ইলাস্টিকফক্স বা "ইক 2-বর্ণনা-গোষ্ঠী" ব্যবহার করুন। আপনি সম্ভবত একই সুরক্ষা গোষ্ঠীর সদস্যদের থেকে সম্পূর্ণ অ্যাক্সেসের অনুমতি পাবেন এবং সম্ভবত বিশ্বব্যাপী এসএসএইচ অ্যাক্সেস (যা আপনি অবশ্যই যুক্ত করেছেন)।
ডমিনিক ক্লিয়ার
আপনি ঠিক বলেছেন, আমি 22 বন্দরটির জন্য বিশ্বব্যাপী অ্যাক্সেস সক্ষম করেছি - এটি নিরাপদ বলে মনে হয়েছে যেহেতু দৃষ্টান্তগুলি অ্যাক্সেস করার জন্য আপনার এখনও এসএসএইচ কী-পেয়ার প্রয়োজন।
গ্যারেথ_উবলস
এটি খোলা থাকা আপনাকে আক্রমণগুলির শিকার করে তোলে - এর অর্থ আপনার এসএসএইচ ডেমনটি আসতে অনুরোধগুলি শুনতে হবে এবং এটি নিজেকে পরিষেবা অস্বীকারের অস্বীকার করতে পারে। কখনও কখনও ব্যর্থ লগইনগুলি দেখার জন্য হোস্টে ফেলি 2 বা অন্য কোনও মনিটরের মতো কিছু যুক্ত করে iptables / ipfw এর মাধ্যমে ফায়ারওয়াল নিয়ম চালু করে এটি প্রশমিত করা হয়।
cgseller
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.