如何在为端点服务创建 VPC 接口端点时配置安全组和网络 ACL?

上次更新日期:2022 年 1 月 18 日

我想创建一个 Amazon Virtual Private Cloud (Amazon VPC) 接口端点以连接至端点服务。如何配置安全组和网络访问控制列表 (ACL)?

简短描述

当您通过端点服务创建 Amazon VPC 接口端点时,将会在您指定的子网内部创建一个弹性网络接口。此 VPC 接口端点沿用关联子网的网络 ACL。此外,您必须将安全组与接口端点关联在一起,以保护传入流量。

在将 Network Load Balancer 与端点服务关联后,Network Load Balancer 会将请求转发到已注册的目标。请求将会如何目标是通过 IP 地址注册一样被转发。在这种情况下,源 IP 地址是负载均衡器节点的私有 IP 地址。如果您有权访问 Amazon VPC 端点服务,请验证:

  • Network Load Balancer 目标的入站安全组规则允许通过 Network Load Balancer 节点的私有 IP 地址进行通信。
  • 与 Network Load Balancer 的目标关联的网络 ACL 内的规则允许通过 Network Load Balancer 节点的私有 IP 地址进行通信

解决方法

找到与接口终端节点关联的网络 ACL

  1. 登录 Amazon VPC 控制台
  2. 选择终端节点
  3. 从端点列表中选择您的端点 ID。
  4. 选择子网视图。
  5. 选择关联的子网,而后您会重定向到 Amazon VPC 控制台的子网部分。
  6. 记下与子网关联的网络 ACL。

找到与接口终端节点关联的安全组

  1. 登录 Amazon VPC 控制台
  2. 选择终端节点
  3. 从端点列表中选择您的端点 ID。
  4. 选择安全组视图。
  5. 记下关联安全组的 ID。

配置与接口端点关联的安全组

安全组可以充当您的弹性网络接口的虚拟防火墙,以控制入站和出站流量。

注意:安全组是有状态的。当您在一个方向定义规则时,系统会自动允许返回流量。

配置入站规则:

  • 对于 Port Range(端口范围),请输入与端点服务相同的端口号。
  • 对于 Source(源),请输入启动客户端的 IP 地址或网络。

注意:您无需在与接口端点关联的安全组的出站方向创建规则。

针对每个与接口端点关联的安全组重复上述步骤。

配置与接口端点关联的网络 ACL

网络访问控制列表(ACL)是您的 VPC 中可选的一种安全层,充当防火墙,用于控制子网中的流量。

注意:网络 ACL 没有任何状态。您必须为出站和入站流量定义规则。

  1. 对于您之前记录的网络 ACL,请编辑这些规则
  2. 配置入站规则以允许来自客户端的流量:
    对于 Port Range(端口范围),请输入与端点服务相同的端口号。
    对于 Source(源),请输入客户端的 IP 地址或网络。
  3. 配置出站规则以允许来自接口端点的返回流量。
    对于 Port Range(端口范围),请输入 1024-65535
    对于 Destination(目标),请输入客户端的 IP 地址或网络

如果您已为每个子网定义单独的网络 ACL,请为与接口端点关联的每个网络 ACL 重复上述步骤。

注意:在配置源客户端的安全组时,请验证出站规则允许至接口端点的私有 IP 地址的连接。客户端安全组的入站方向无关紧要。对于源客户端的网络 ACL,请按以下方式配置规则:

入站规则:

  • 对于 Port Range(端口范围),请输入临时端口范围 1024-65535
  • 对于 Source(源),请输入接口端点的私有 IP 地址

出站规则:

  • 对于 Port Range(端口范围),请输入与端点服务相同的端口号。
  • 对于 Destination(目标),请输入接口端点的私有 IP 地址