AWSのセキュリティグループの使い方考察
基本
デフォルトでは、以下のような設定になっている。
インバウンド:すべて拒否
アウトバウンド:すべて許可
※俺からは好きにするが、お前たちは俺に触るな!!!ってことが書かれている。
指定方法
インバウンド/アウトバウンド共に
・プロトコル
・ポート範囲
・送信元/送信先(IP or SG)
面倒にしたくない。
アウトバウンドはデフォルトのすべて許可でも良いのではないか?
インバウンドで制御するからいいじゃないか?
※いや、それじゃいかんだろうといつか思うかもしれない。
パーツを作っとくのがスマートかもしれない。
同じ役割のEC2ごとにSGを作っていくのもいいかもしれないが、
SG(セキュリティグループ)で送信元を指定できるので、
事前にパーツを作っておくのが楽なのでは?
例えば)
あるシステムで、サーバとクライアントがあるとき、
サーバ用SGとクライアント用SGを作っておく。
サーバ用SGにはクライアントからのインバウンド通信を。
クライアント用SGにはサーバからのインバウンド通信を。
EC2にはSGを複数つけられるので、システム毎にSGをつけていく。
(上限はあるのであまり細かくするのは良くない。)
イメージとしてはウィルス対策、監視、ログなど
必要な通信が書かれているSGをアタッチしていくだけなので、
管理がシンプルになると思われ。
他にこんな方法もあるよ!というかたは、
やさしく、そっとコメントいただけるとうれしいです。