如何在 AWS 中“允许来自其他账户的安全组”

我叫伊藤，是一名基础设施工程师。

许多公司
出于各种原因（例如内部结算）使用多个 AWS 账户。

您是否曾经遇到过这样的情况：出于某种原因，您想要分离您的 AWS 账户，但仍然希望与它们进行通信？

使用 CIDR 时，如果您通过 VPC 对等连接，
则只需允许对方网络的 CIDR 即可。
但是，对于 ELB，由于没有内部 IP 地址，因此
需要允许整个安全组。

此外，当在特定子网下的自动扩展组中允许 EC2 实例时，
即使允许了单个 IP 地址，自动扩展创建的某些 EC2 实例
最终也可能获得安全组不允许的 IP 地址。
在这种情况下，您还需要允许该安全组访问这些实例。

所以，这就是如何在安全组中允许“其他帐户的安全组”。

图片大概是这样的。

<账户 ID>/<群组 ID>

答案是：
您需要在要允许访问的安全组中指定“账户 ID/组 ID”。
您可以在 AWS 控制台的右上角找到您的账户 ID。
它是一个标有“账户”的 12 位数字（大部分区域被涂黑）。

组 ID 可以在安全组中找到。
虽然大部分内容被涂黑了，但它是以“sg-”开头的 ID。

通过用“/”分隔这两个词，您可以允许（或拒绝）来自不同帐户的安全组。

它看起来是这样的。
大部分都被涂黑了。