È possibile limitare l'accesso HTTP a un'applicazione Elastic Beanstalk solo a determinati indirizzi IP? Ho provato ad aggiungere regole al gruppo di sicurezza del mio ambiente, ma non sembrano avere alcun effetto. È perché tutto il traffico HTTP viene instradato tramite Elastic Load Balancer, che non è all'interno del gruppo di sicurezza?Limita l'accesso HTTP al beanle di elastico
risposta
ho limitato l'accesso HTTP a un'applicazione elastica Beanstalk solo a determinati indirizzi IP.
seguito è la mia procedura.
Crea nuovo ambiente di pianta di fagioli nel VPC (Amazon Virtual Private cloud).
si prega di leggere seguenti documenti:
Using AWS Elastic Beanstalk with Amazon VPC
Example: Launching an AWS Elastic Beanstalk Application in a VPC
nota: Ho cercato di creare un nuovo ambiente pianta di fagioli (Tomcat) nella VPC utilizzando AWS Tookit per Eclipse il mese scorso. Ma non sono riuscito a creare un nuovo ambiente beanstalk a causa del bug di AWS Toolkit per Eclipse. Infine, potrei creare un nuovo ambiente di beanstalk utilizzando un comando elastico-beanstalk-create-environment. Pertanto raccomando di usare il comando elastico-beanstalk-create-environment.Creare un nuovo ACL di rete (funzione VPC) e aprire la scheda in ingresso e configurare per limitare gli indirizzi IP di origine. Imposta questo ACL di rete sulla sottorete di VPC che ha un ELB di beanstalk.
sono stato in grado di limitare l'accesso alle cartelle con le seguenti limitazioni: X-Forwarded
<Directory "/var/www/html/folder_name">
SetEnvIf X-FORWARDED-FOR x.x.x.x allow
SetEnvIf X-FORWARDED-FOR a.a.a.a allow
Order deny,allow
Deny from all
Allow from env=allow
</Directory>
questo è stato fatto nel file httpd.conf, ma spero che funziona anche in un file .htaccess. Tuttavia, presumo che non utilizzi un ELB, solo una singola istanza e che cosa possa mai implementare o meno AWS che bilancia il bilanciamento del carico.
Spero che questo aiuti.
Il filtro IP è limitato all'ELB. Dato che la connessione dall'ELB alle tue istanze proviene da un indirizzo interno) Mentre l'indirizzo IP è passato in un'intestazione ('X-Forwarded-For') non è il più affidabile se si tenta di fare il filtraggio ip con esso. – datasage