Ad esempio, ho un account AWS principale dell'azienda con gruppo di sicurezza-xxxxx. Ora ho i miei aws personali con il gruppo di sicurezza yyyyy. I conti non sono affatto collegati. Posso aggiungere accettare gruppo-yyyyy nel gruppo-xxxxx consentendo così alle mie istanze personali di accedere alle istanze delle società?I gruppi di sicurezza AWS su un account AWS possono fare riferimento a gruppi di sicurezza in un altro?
So che questo è abbastanza vecchio, ma ho trovato un AWS Developer Forums argomento ancora più antico che discute questo e sembra possibile con gli strumenti EC2 API utilizzando l'autorizzazione EC2 comando (ad esempio, ec2-authorize your-account-security-group-id -P tcp -p 10050 -u other-aws-account-id -o other-account-security-group-id). Non l'ho ancora testato, ma lo farò e quindi pubblicherò i miei risultati qui.
È possibile utilizzare l'interfaccia utente web così aggiungendo
other-aws-account-id/account-security-group-id
cioè
951413000000/sg-deadbeef come fonte
Non si può fare questo con gruppi di protezione in VPC di lei e dal non posso più creare gruppi di sicurezza che non sono in VPC (almeno non riesco a vedere come) Non credo che questo sia più possibile.
Devi guardare le connessioni di peering VPC, ma questo è un modo sopra la mia testa.
Per le persone alla ricerca di una soluzione per questa domanda ora, è possibile fare riferimento ai gruppi di sicurezza da conti incrociati se il proprio vpc viene visualizzato. ! È una nuova funzionalità di aws! Acclamazioni
È possibile fare riferimento a un gruppo di protezione per più account, ma il riferimento non sembra avere importanza. Ho appena creato una regola per consentire a tutti gli accessi da un SG in un accesso uno in un altro, ma le istanze che usano quei gruppi non possono parlare tra loro! –
I VPC sono stati scrutinati? –
Ciao @ p-joel-nishanth-reddy, sì, sono VPC scrutati. –
Anche se la domanda è stata posta più di un anno fa, questo dovrebbe essere contrassegnati come la risposta giusta. – Sergio
Per @ marc-kubischta: "Se il gruppo di sicurezza che si desidera fare riferimento si trova in un'altra regione, si è sfortunati. Una soluzione possibile in questo caso è impostare un proxy utilizzando un EIP nell'altra area e account e aggiungere l'EIP del proxy al gruppo di sicurezza che si sta creando. " http://stackoverflow.com/review/suggested-edits/5693066 – crizCraig
Questo non è possibile se il gruppo di sicurezza si trova all'interno di un VPC. –