在这里搜索以前的问题后,普遍的共识似乎是,如果我拥有的实例被分配了一个私有 IP 10.208.34.55,那么只有我拥有的其他实例才能在该地址访问它。看:
那是对的吗?因此,我可以将我的所有实例视为在 LAN 上,并验证和信任来自 10.XXX.XXX.XXX 的任何机器,因为我确定我拥有它?
我只是想确定一下。我发现亚马逊似乎更感兴趣的是对 The Cloud 及其 3 个字符的缩写充满诗意,而不是实际提供清晰的技术文档。
AskOverflow.Dev
在这里搜索以前的问题后,普遍的共识似乎是,如果我拥有的实例被分配了一个私有 IP 10.208.34.55,那么只有我拥有的其他实例才能在该地址访问它。看:
那是对的吗?因此,我可以将我的所有实例视为在 LAN 上,并验证和信任来自 10.XXX.XXX.XXX 的任何机器,因为我确定我拥有它?
我只是想确定一下。我发现亚马逊似乎更感兴趣的是对 The Cloud 及其 3 个字符的缩写充满诗意,而不是实际提供清晰的技术文档。
Amazon EC2 提供您的实例所属的安全组,然后这允许您向您账户上的其他主机组或其他外部主机授予权限。请参阅 [用户指南][1] -> 概念 -> 网络安全了解一些概述。
通常在“默认”安全组中,您对组中的其他成员(即所有其他默认主机)具有完全访问权限,并且没有外部入站访问权限。EC2 内位于其他账户或您的账户但不在“默认组”中的其他主机将无法访问您的实例。
您可以为安全组添加规则以授予对其他安全组的访问权限,或添加规则以授予对 IP 地址/范围的访问权限。
更直接地回答您的问题:只要您的安全组规则只允许来自同一组的访问,那么您的实例应该被防火墙阻止任何其他客户访问,即使它们共享相同的 IP 空间。
[1]:http ://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/ EC2 用户指南
Gareth - 我假设两组都打开了 SSH 端口,因此从一个帐户到另一个帐户的成功 SSH 并不表明您的结论。这个想法很简单 - 在一个安全组内 - 所有端口都是开放的 - 外部访问 - 根据您的定义 - 就此而言,亚马逊中的另一个组与外部访问相同。
答案是响亮的“否”——我有多个 EC2 账户,只是尝试从账户 B 上的另一个实例登录账户 A 上的一个实例。我能够毫无问题地从 B SSH 到 A(除了需要 SSH帐户 A) 的密钥。
您应该假设 10.0.0.0/8 上的任何人都可以访问您的实例,而不管他们使用的是什么 EC2 帐户。