Sembra che tu abbia un controllo su cosa sia un gruppo di sicurezza: un firewall di stato che viene applicato alle istanze EC2.
Quando si avvia manualmente una macchina virtuale EC2 dalla console Web, AWS offre l'opzione di riutilizzare un gruppo di sicurezza esistente o crearne uno nuovo. Quando ne crei uno nuovo, la regola predefinita è SSH (porta 22) e un nome predefinito del gruppo di sicurezza di "launch wizard" # ".
Sfortunatamente, poiché un gruppo di sicurezza può essere utilizzato da più istanze EC2, non vengono ripulite quando si elimina una macchina virtuale. Quindi, se hai eliminato la VM con cui è stato creato launch-wizard-1, non elimina il gruppo di sicurezza.
Sul "gruppo di sicurezza predefinito per VPC". Quando crei il tuo VPC, viene creato un gruppo di sicurezza predefinito insieme ad esso. Quando le istanze EC2 vengono avviate in una sottorete VPC, avranno il gruppo di sicurezza predefinito a loro assegnato se un altro non è specificato. (http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#DefaultSecurityGroup).
Quindi, cosa significa questa regola che consente di parlare da solo? Per impostazione predefinita, tutto il traffico in entrata viene negato da un gruppo di sicurezza. La regola in entrata 'parla a se' indica che se a due macchine virtuali è stata assegnata questa regola, sarà loro permesso di comunicare tra loro su tutte le porte. Dovresti usare questo gruppo predefinito? No. Creare gruppi di sicurezza univoci che esercitino la regola del privilegio minimo (solo aprire le porte necessarie alle istanze che ne hanno bisogno).
Sfortunatamente, non ho molta esperienza di beanstalk elastico, quindi è qui che la mia risposta si rivolge alle ipotesi. Nel poco che ho giocato con il beanstalk, ricordo che ha creato risorse ausiliarie nel tuo account. Questo sembra essere il caso con il tuo Elastic Load Balancer (ELB).Come indica la descrizione, quando Elastic Beanstalk deve avviare un nuovo servizio di bilanciamento del carico, il servizio di bilanciamento del carico utilizzerà questo gruppo predefinito a meno che non ne venga specificato un altro. Credo che questo link documenti come si farebbe questo (http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/using-features.managing.elb.html).
In tutti i casi, si consiglia di non utilizzare i gruppi di sicurezza predefiniti a favore delle singole regole del firewall, esclusive delle esigenze di sicurezza di tale istanza.
È possibile modificare o eliminare questi?
- lancio-wizard-1: Sì, è possibile eliminare o modificare questo gruppo. Dato che hai menzionato che non è utilizzato, vai avanti e bombardalo.
- default: VPC è pignolo su alcune delle risorse predefinite che crea. L'ho provato sul mio account e non posso cancellarlo. Ovviamente puoi modificarlo, ma ti consiglio invece di non usarlo.
- default_elb: Se ricordo correttamente, il beanstalk elastico utilizza la tecnologia cloud per creare risorse aggiuntive, come un gruppo di sicurezza ELB. È possibile modificare questo gruppo di sicurezza, ma creerà incoerenze tra la definizione della realtà cloud e la realtà. Per la tua domanda specifica, puoi modificare l'intervallo di IP consentiti, ma se stai scrivendo regole su un IP privato non sarai in grado di attraversare ambienti se gli ambienti sono distribuiti per separare i VPC.
Penso di capire SG in generale un po 'meno di quanto possa sembrare dalla mia domanda. Ma questo è molto utile. Penso di avere il gruppo * launch-wizard-1 * (essenzialmente un residuo di qualcosa che ho fatto prima e che ora non uso: devo aver cancellato l'istanza EC2 con cui è stato creato, vero? – orome
Ma iniziando con * default * Ho alcune domande: anche se non vedo questo gruppo assegnato a qualcosa ("non connesso a nessun altro gruppo di sicurezza" nella mia domanda) è in realtà associato al VPC stesso e, tutto ciò che contiene (che è probabilmente perché non può essere cancellato)? Se è giusto che io non pensi che "non usarlo" è un'opzione, è? – orome
Hai ragione circa la procedura guidata di avvio. Il gruppo predefinito è di proprietà del vpc, ma è facoltativamente assegnato alle istanze EC2 Quando si creano nuove istanze è possibile assegnare qualsiasi gruppo di sicurezza desiderato Se non si seleziona un gruppo di sicurezza, verrà utilizzato quello predefinito. – scubadev