그래서 웹 서버가있는 EC2 인스턴스가 있습니다. 보안 그룹에서는 80 및 443의 수신 트래픽을 허용했지만 보안상의 이유로 모든 발신 트래픽을 제거했습니다. 내 응용 프로그램은 AWS SNS와 SMTP를 사용하며 물론 이러한 서비스에 연결을 시도 할 때마다 아웃 바운드 트래픽이 차단되어 실패합니다. 프록시를 사용하지 않고 아웃 바운드 트래픽을 이러한 서비스로만 제한하려면 어떻게해야합니까? VPC 엔드 포인트를 확인하려고했으나 목록에서 SNS와 SMTP를 찾지 못했습니다.AWS SNS/SMTP로 아웃 바운드 트래픽 제한
이러한 서비스가 요청을 수신하는 데 필요한 포트를 활성화해야합니다. 대부분의 AWS 서비스는 HTTPS (443)가 필요한 REST 인터페이스를 사용합니다.
SNS의 경우 포트 443 아웃 바운드를 사용하도록 설정해야합니다.
SMTP의 경우 사용자가 구성한 포트를 검색해야합니다. SES의 경우 일반적으로 포트 465 또는 587입니다.
Amazon은 AWS의 IP 주소 목록을 포함하는 ip-ranges.json을 게시합니다. 람다 (Lambda) 함수를 생성하여 보안 그룹을이 주소로 자동 업데이트 할 수 있습니다.
나는 모든 아웃 바운드 포트를 차단하지 않을 것입니다. 대신 인스턴스가 보안 그룹과 ip-ranges.json을 사용하여 연결할 수있는 곳을 제어 할 것입니다. 그런 다음 업데이트를 설치할 수 있는지 테스트 할 것입니다. 인스턴스가 Windows 기반 인 경우 Microsoft 사이트를 추가하는 웜이 발생할 수 있습니다.
이럴 : 당신은 정말 ... 제어 및 보안 수준이 필요하고 모든 것을 관리하는 데 많은 시간을 보낼 수 있도록 준비하지 않는 한
예 프로젝트 :
John의 답변에 추가하려면
지난 달 AWS는 오늘날 사람들이 S3 엔드 포인트처럼 VPC 내에서 서비스를 광고 할 수있게 해주는 "AWS PrivateLink" AWS는 앞으로 몇 달 안에 AWS 서비스를 같은 방식으로 게시 할 것이므로 단기적인 문제 일 수 있습니다.
자세한 내용은 https://aws.amazon.com/about-aws/whats-new/2017/11/introducing-aws-privatelink-for-aws-services/