Gli IP privati ​​Amazon EC2 sono raggiungibili da qualsiasi istanza in esecuzione in EC2?

Dopo aver cercato qui le domande precedenti, il consenso generale sembra essere se a un'istanza che possiedo viene assegnato un IP privato di 10.208.34.55, che solo ALTRE ISTITUZIONI CHE POSSO PROPRIO possono raggiungerlo a quell'indirizzo. Vedere:

Come crittografare il traffico tra due istanze di Amazon EC2?

È corretto? Quindi posso trattare tutte le mie istanze come se fossero su una LAN e autenticare e fidarmi di qualsiasi macchina proveniente da 10.XXX.XXX.XXX perché sono sicuro di possederlo?

Voglio solo essere sicuro. Sto scoprendo che Amazon sembra essere più interessato a diffondere poetiche su The Cloud e le loro abbreviazioni di 3 caratteri piuttosto che fornire documentazione tecnica chiara.

Amazon EC2 fornisce gruppi di sicurezza di cui l'istanza fa parte, quindi questo ti consente di concedere autorizzazioni ad altri gruppi di host sul tuo account o altri host esterni. Vedere la [Guida per l'utente] [1] -> Concetti -> Sicurezza della rete per una breve panoramica.

Normalmente nel gruppo di sicurezza "predefinito" si ha pieno accesso agli altri membri del gruppo (ovvero tutti gli altri host predefiniti) e nessun accesso esterno in entrata. Altri host all'interno di EC2 che si trovano su altri account o sul tuo account ma non nel "gruppo predefinito non potranno accedere alla tua istanza.

È possibile aggiungere regole per un gruppo di sicurezza per concedere l'accesso ad altri gruppi di sicurezza o aggiungere regole per concedere l'accesso a indirizzi / intervalli IP.

Per rispondere alla tua domanda in modo un po 'più diretto: fintanto che le regole del tuo gruppo di sicurezza consentono l'accesso dallo stesso gruppo, le tue istanze dovrebbero essere protette dall'accesso di qualsiasi altro cliente, anche se condividono lo stesso spazio IP.

[1]: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/ EC2 Guida per l'utente

Gareth - Suppongo che entrambi i gruppi abbiano la porta SSH aperta, quindi SSH di successo da un account all'altro non indica la tua conclusione. L'idea è semplice - all'interno di un gruppo di sicurezza - tutte le porte sono aperte - l'accesso esterno - è secondo la tua definizione - e del resto un altro gruppo in Amazon è uguale all'accesso esterno.

La risposta è un NO clamoroso: ho più account EC2 e ho appena provato ad accedere a una delle mie istanze sull'account A da un'altra istanza sull'account B. Sono stato in grado di SSH da B ad A senza problemi (a parte il bisogno dell'SSH chiave per l'account A).

Dovresti presumere che chiunque sul tuo 10.0.0.0/8 possa accedere alle tue istanze, indipendentemente dall'account EC2 che sta utilizzando.