本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
安全组 | 授权入口规则
为指定的安全组 (SG) 授权多个入口规则。您必须指定您正在授权的入口规则的配置。请注意,向指定的 SG 添加入口规则不会修改任何现有的入口规则。
完整分类:管理 | 高级堆栈组件 | 安全组 | 授权入口规则
更改类型详情
更改类型 ID |
ct-3j2zstluz6dxq |
当前版本 |
4.0 |
预期执行时长 |
60 分钟 |
AWS 批准 |
必需 |
客户批准 |
可选 |
执行模式 |
自动 |
附加信息
授权安全组入口规则
以下是 AMS 控制台中此更改类型的屏幕截图:
它是如何运作的:
导航到 “创建 RFC” 页面:在 AMS 控制台的左侧导航窗格中,单击RFCs打开 RFCs 列表页面,然后单击 “创建 R FC”。
在默认的 “浏览更改类型” 视图中选择常用更改类型 (CT),或者在 “按类别选择” 视图中选择 CT。
按更改类型浏览:您可以单击 “快速创建” 区域中的常用 CT,立即打开 “运行 RFC” 页面。请注意,您不能使用快速创建来选择较旧的 CT 版本。
要进行排序 CTs,请使用卡片视图或表格视图中的所有更改类型区域。在任一视图中,选择一个 CT,然后单击 “创建 RFC” 打开 “运行 RFC” 页面。如果适用,“创建 RFC” 按钮旁边会显示 “使用旧版本创建” 选项。
按类别选择:选择类别、子类别、项目和操作,CT 详细信息框将打开,并显示 “使用旧版本创建” 选项(如果适用)。单击 “创建 RFC” 打开 “运行 RFC” 页面。
在 “运行 RFC” 页面上,打开 CT 名称区域以查看 CT 详细信息框。必须填写主题(如果您在 “浏览更改类型” 视图中选择 CT,则会为您填写此主题)。打开其他配置区域以添加有关 RFC 的信息。
在执行配置区域中,使用可用的下拉列表或输入所需参数的值。要配置可选的执行参数,请打开其他配置区域。
完成后,单击 “运行”。如果没有错误,则会显示成功创建的 RFC 页面,其中包含已提交的 RFC 详细信息和初始运行输出。
打开运行参数区域以查看您提交的配置。刷新页面以更新 RFC 的执行状态。(可选)取消 RFC 或使用页面顶部的选项创建一个 RFC 的副本。
它是如何运作的:
使用 Inline Create(您发出包含所有 RFC 和执行参数的
create-rfc命令)或模板创建(创建两个 JSON 文件,一个用于 RFC 参数,一个用于执行参数),然后以这两个文件作为输入发出create-rfc命令。这里描述了这两种方法。提交带有返回的 RFC ID 的 RFC:
aws amscm submit-rfc --rfc-id命令。ID监控 RFC:
aws amscm get-rfc --rfc-id命令。ID
要检查更改类型版本,请使用以下命令:
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
注意
您可以将任何CreateRfc参数与任何 RFC 一起使用,无论它们是否属于变更类型的架构的一部分。例如,要在 RFC 状态更改时收到通知,请将此行添加到请求的 RFC 参数部分(不是执行参数)。--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"有关所有 CreateRfc 参数的列表,请参阅《AMS 变更管理 API 参考》。
内联创建:
使用内联提供的执行参数(内联提供执行参数时使用转义引号)发出 create RFC 命令,然后提交返回的 RFC ID。例如,你可以用这样的东西替换内容:
aws amscm create-rfc --change-type-id "ct-3j2zstluz6dxq" --change-type-version "4.0" --title "AWSManagedServices-AuthorizeSecurityGroupIngressRulesV4" --execution-parameters "{\"DocumentName\": \"AWSManagedServices-AuthorizeSecurityGroupIngressRulesV4\",\"Region\": \"us-east-1\",\"Parameters\": {\"SecurityGroupId\": [ \"sg-03b5e3a1ad874bdd7\"],\"InboundRules\": [{\"IpProtocol\": \"tcp\",\"FromPort\": \"80\",\"ToPort\": \"80\",\"Source\": \"192.168.1.0/24\"},{\"IpProtocol\": \"tcp\",\"FromPort\": \"99\",\"ToPort\": \"99\",\"Source\": \"172.16.0.0/24\", \"Description\": \"On-prem IP\"}]}}"
模板创建:
将此更改类型的执行参数 JSON 架构输出到文件中;此示例将其命名为 Auth p SGIngress arams.json。
aws amscm get-change-type-version --change-type-id "ct-3j2zstluz6dxq" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > AuthSGIngressParams.json修改并保存身份验证SGIngress参数文件。例如,你可以用这样的东西替换内容:
{ "DocumentName": "AWSManagedServices-AuthorizeSecurityGroupIngressRulesV4", "Region": "us-east-1", "Parameters": { { "SecurityGroupId": [ "sg-03b5e3a1ad874bdd7" ], "InboundRules": [ { "IpProtocol": "tcp", "FromPort": "80", "ToPort": "80", "Source": "192.168.1.0/24", }, { "IpProtocol": "tcp", "FromPort": "99", "ToPort": "99", "Source": "172.16.0.0/24", "Description": "On-prem IP" } ] } } }将 RFC 模板 JSON 文件输出到名为 Auth SGIngress rfc.json 的文件中:
aws amscm create-rfc --generate-cli-skeleton > AuthSGIngressRfc.json修改并保存 Auth SGIngress rfc.json 文件。例如,你可以用这样的东西替换内容:
{ "ChangeTypeVersion": "4.0", "ChangeTypeId": "ct-3j2zstluz6dxq", "Title": "Authorize Multiple Ingress Rules" }创建 RFC,指定 Auth SGIngress Rfc 文件和身份SGIngress验证参数文件:
aws amscm create-rfc --cli-input-json file://AuthSGIngressRfc.json --execution-parameters file://AuthSGIngressParams.json您在响应中收到新 RFC 的 ID,并可以使用它来提交和监控 RFC。在您提交之前,RFC 仍处于编辑状态且无法启动。
注意
此更改类型为 2.0 版。两个独立的可选源参数CidrIp 和 SourceSecurityGroupId,合并为一个必需的参数,即 S ou rce,有两个选项。此更改有助于确保提供来源。如果没有来源,RFC 就会失败。
有两种方法可以授权新的入口规则:
安全组 | 更新更改类型 (ct-3memthlcmvc1b):这是手动更改类型,实施时间更长,因为 AMS 运营部门必须对其进行审查以确保安全。可能需要与您进行其他沟通。
安全组 | 授权入口规则 (ct-3j2zstluz6dxq):这是一种自动更改类型,因此实现速度更快。此更改类型提供了删除标准 TCP/UDP 或 ICMP 入口规则的选项。
如果来源是公有 IP,那么 RFC 就会失败。要添加带有公有 IP 的新入口规则,请使用安全组 | 更新更改类型 (ct-3memthlcmvc1b)。
要了解有关 AWS 安全组和安全组规则的更多信息,请参阅安全组规则参考。这些信息可以帮助您确定所需的规则,更重要的是,可以帮助您确定如何命名安全组,以便在创建其他资源时可以直观地选择安全组。另请参阅适用于 Linux 实例的 Amazon EC2 安全组适用于您的 VPC 的安全组。
创建安全组后,使用将安全组与资源关联将安全组与您的 AMS 资源关联。要删除安全组,该安全组必须具有关联的资源。
执行输入参数
有关执行输入参数的详细信息,请参见变更架构类型 ct-3j2zstluz6dxq。
示例:必填参数
Example not available.
示例:所有参数
Example not available.
