如何在 AWS 中“允许来自其他账户的安全组”

我叫伊藤，是一名基础设施工程师。

您可能
出于各种原因拥有多个 AWS 账户，例如用于内部计费。

您是否曾经遇到过这样的情况：出于某种原因，您想要分离您的 AWS 账户，但仍然希望与它们进行通信？

对于 CIDR，如果您使用 VPC 对等连接，
则只需允许对方网络的 CIDR 即可。
但是，由于 ELB 没有内部 IP 地址，因此
您需要允许每个安全组。

此外，当在特定子网下的自动扩展组中允许 EC2 实例时，
即使允许了单个 IP 地址，
自动扩展添加的 EC2 实例仍有可能拥有安全组不允许的 IP 地址。
在这种情况下，您仍然需要允许该安全组。

所以，这就是如何在安全组中允许“其他帐户的安全组”。

图片大概是这样的。

<账户 ID>/<群组 ID>

答案就在这里。
您需要指定要允许访问的安全组的“账户 ID/组 ID”。
您可以在 AWS 控制台右上角查看您的账户 ID。
它是一个 12 位数字，上面用黑色字体显示着“账户”字样。

您可以在安全组中查看组 ID。
虽然大部分内容已被涂黑，但它是以“sg-”开头的 ID。

通过用“/”分隔这两个词，您可以允许（或拒绝）来自不同帐户的安全组。

它长这样，
通体漆成黑色。