Политика обслуживания ec2 для ограничения создания входящего общего доступа ssh

Question

Политика обслуживания ec2 для ограничения создания входящего общего доступа ssh

Мне нужно создать политику управления сервисами AWS, чтобы ограничить создание входящего правила для ssh с общедоступным доступом через группу безопасности.
Я пробовал использовать этот сценарий JSON ниже, но я напортачил.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ec2:RevokeSecurityGroupIngress",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:UpdateSecurityGroupRuleDescriptionsEgress",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:UpdateSecurityGroupRuleDescriptionsIngress"
            ],
            "Resource": "arn:aws:ec2:*:352571213128:security-group/*",
            "Condition": {
                "ForAnyValue:NotIpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24",
                        "203.0.113.0/24"
                    ]
                }
            }
        }
    ]
}

Тем не менее, правило для входящего трафика для 0.0.0.0/0 может быть создано. Необходимо: мне нужен только протокол ssh.

1

json amazon-web-services amazon-ec2 aws-security-group aws-policies

Источник

user9580003 16 апр '20 в 08:38

2 ответа

Другие вопросы по тегам json amazon-web-services amazon-ec2 aws-security-group aws-policies

user1645712 16 апр '20 в 09:03 2020-04-16 09:03 · Answer 1 · 2020-04-16 09:03

Входящее правило для 0.0.0.0/0 может быть создано.

насколько я знаю, SourceIp означает IP-адрес вызывающего клиента aws, создающего ресурс (sg), а не значение в ресурсе

Я не уверен, что вы можете обеспечить соблюдение ценностей в SG с помощью политики.

ограничить создание входящего правила для ssh с публичным доступом через группу безопасности

Я считаю, что вы можете проверить наличие общедоступных групп ssh с помощью AWS Config (тогда у вас может быть лямбда для удаления или обновления sg)

Уже существует управляемое правило aws config "limited-ssh", хотя оно работает только для ipv4, поэтому вы можете создать собственное, чтобы гарантировать определенные значения или поддержку ipv6.

user758481 16 апр '20 в 10:49 2020-04-16 10:49 · Answer 2 · 2020-04-16 10:49

Как правило, вы будете делать это с помощью автоматических сценариев, таких как CloudFormation или Terraform, через которые вы можете передать уже существующую / созданную группу безопасности, которая будет иметь ограничение порта 22 с заданным IP. В противном случае вы сначала создадите группу безопасности, а затем присоедините ее к вновь созданному экземпляру EC2.

Если вы делаете это вручную, то сразу после создания экземпляра EC2 вам нужно будет подключить к нему группу безопасности и вручную изменить диапазон IP-адресов с 0.0.0.0/0 на ваши конкретные диапазоны IP.