Autorizar tráfego de entrada para suas instâncias do Linux
Os grupos de segurança permitem controlar o tráfego para sua instância incluindo o tipo de tráfego que pode acessar sua instância. Por exemplo, é possível permitir que apenas os computadores de sua rede local acessem sua instância usando SSH. Se sua instância for um servidor Web, será possível permitir que todos os endereços IP acessem sua instância usando HTTP ou HTTPS, para que os usuários externos possam navegar pelo conteúdo de seu servidor Web.
Os grupos de segurança padrão e os grupos de segurança recém-criados incluem regras padrão que não permitem que você acesse a instância pela internet. Para obter mais informações, consulte Grupos de segurança padrão e Os grupos de segurança personalizados. Para permitir acesso da rede para sua instância, você deverá permitir o tráfego de entrada para sua instância. Para abrir uma porta para o tráfego de entrada, adicione uma regra a um grupo de segurança que você associou à instância quando a executou.
Para se conectar à instância, configure uma regra para autorizar trafego do SSH no endereço IPv4 público de seu computador. Para permitir tráfego do SSH de intervalos de endereços IP adicionais, adicione outra regra para cada intervalo que você precisar autorizar.
Se você tiver habilitado sua VPC para IPv6 e executou a instância com um endereço IPv6, será possível conectar-se à instância usando seu endereço IPv6 em vez de um endereço IPv4 público. Seu computador local deve ter um endereço IPv6 e configurado para usar IPv6.
Se você precisar permitir acesso de rede a uma instância do Windows, consulte Como autorizar tráfego de entrada para suas instâncias do Windows no Guia do usuário do Amazon EC2 para instâncias do Windows.
Antes de começar
Decida quem requer acesso à instância. Por exemplo, um único host ou uma rede específica em que você confia, como o endereço IPv4 público de seu computador local. O editor do grupo de segurança no console do Amazon EC2 pode detectar automaticamente o endereço IPv4 público de seu computador local. Como alternativa, é possível usar a frase de pesquisa "qual é meu endereço IP" em um navegador de Internet ou o serviço a seguir: Verificar IP
Atenção
Se usar 0.0.0.0/0
, permitirá que todos os endereços IPv4 acessem sua instância usando SSH. Se usar ::/0
, você permitirá que todos os endereços IPv6 acessem sua instância. É necessário autorizar apenas um endereço IP específico ou um intervalo de endereços a acessar a instância.
Decida se você oferecerá suporte ao acesso SSH às suas instâncias usando o EC2 Instance Connect. Se não usar o EC2 Instance Connect, considere desinstalá-lo ou negar a seguinte ação em suas políticas do IAM: ec2-instance-connect:SendSSHPublicKey
. Para obter mais informações, consulte Desinstalar o EC2 Instance Connect e Configurar permissões do IAM para o EC2 Instance Connect.
Adicione uma regra para o tráfego de entrada de SSH para uma instância do Linux
Os security groups atuam como firewall para instâncias associadas, controlando o tráfego de entrada e de saída no nível da instância. Adicione regras a um grupo de segurança que permitam que você se conecte à instância do Linux no seu endereço IP usando o SSH.
Para adicionar uma regra a um grupo de segurança para tráfego de entrada do SSH por meio de IPv4 (console)
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/
. -
Na barra de navegação superior, selecione uma região para o grupo de segurança. Os grupos de segurança são específicos para uma região, portanto, selecione a mesma região em que criou sua instância.
-
No painel de navegação, escolha Instâncias.
-
Selecione sua instância e, na metade inferior da tela, escolha a guia Security (Segurança) . O parâmetro Security groups (Grupos de segurança) lista os grupos de segurança associados à instância. O parâmetroInbound rules (Regras de entrada) exibem uma lista das regras de entrada que estão em vigor para a instância.
-
Para o grupo de segurança ao qual você adicionará a nova regra, escolha o link ID do grupo de segurança para abrir o grupo de segurança.
-
Na guia Inbound Rules (Regras de entrada), selecione Edit inbound rules (Editar regras de entrada).
-
Na página Editar regras de entrada, faça o seguinte:
-
Escolha Add rule (Adicionar regra).
-
Em Type, escolha SSH.
-
Na caixa Source (Fonte), escolha My IP (Meu IP) para preencher automaticamente o campo com o endereço IPv4 público do computador local.
Como alternativa, para Source (Fonte), escolha Custom (Personalizado) e insira o endereço IPv4 público do computador ou da rede em notação CIDR. Por exemplo, se o endereço IPv4 for
203.0.113.25
, insira203.0.113.25/32
para listar esse único endereço IPv4 em notação CIDR. Se sua empresa alocar endereços com base em um intervalo, insira o intervalo inteiro, como203.0.113.0/24
.Para obter informações sobre como localizar seu endereço IP, consulte Antes de começar.
-
Selecione Save rules (Salvar regras).
-
Se você executou uma instância com um endereço IPv6 e desejar conectar-se à sua instância usando seu endereço IPv6, você deverá adicionar regras que permitam o tráfego IPv6 de entrada via SSH.
Para adicionar uma regra a um grupo de segurança para tráfego de entrada do SSH por meio de IPv6 (console)
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/
. -
Na barra de navegação superior, selecione uma região para o grupo de segurança. Os grupos de segurança são específicos para uma região, portanto, selecione a mesma região em que criou sua instância.
-
No painel de navegação, escolha Instâncias.
-
Selecione sua instância e, na metade inferior da tela, escolha a guia Security (Segurança) . O parâmetro Security groups (Grupos de segurança) lista os grupos de segurança associados à instância. O parâmetroInbound rules (Regras de entrada) exibem uma lista das regras de entrada que estão em vigor para a instância.
-
Para o grupo de segurança ao qual você adicionará a nova regra, escolha o link ID do grupo de segurança para abrir o grupo de segurança.
-
Na guia Inbound Rules (Regras de entrada), selecione Edit inbound rules (Editar regras de entrada).
-
Na página Editar regras de entrada, faça o seguinte:
-
Escolha Add rule (Adicionar regra).
-
Em Type, escolha SSH.
-
Em Source (Origem), escolha Custom (Personalizado) e insira o endereço IPv6 do computador em notação CIDR. Por exemplo, se seu endereço IPv6 for
2001:db8:1234:1a00:9691:9503:25ad:1761
, insira2001:db8:1234:1a00:9691:9503:25ad:1761/128
para listar este único endereço IP em notação CIDR. Se sua empresa alocar endereços com base em um intervalo, insira o intervalo inteiro, como2001:db8:1234:1a00::/64
. -
Selecione Save rules (Salvar regras).
-
nota
Execute os comandos a seguir no sistema local, não na própria instância. Para obter mais informações sobre essas interfaces de linha de comando, consulte Acessar o Amazon EC2.
Para adicionar uma regra a um grupo de segurança usando a linha de comando
-
Encontre o grupo de segurança que está associado à sua instância usando um dos seguintes comandos:
-
describe-instance-attribute (AWS CLI)
aws ec2 describe-instance-attribute --region
region
--instance-idinstance_id
--attribute groupSet -
Get-EC2InstanceAttribute (AWS Tools for Windows PowerShell)
PS C:\>
(Get-EC2InstanceAttribute -Regionregion
-InstanceIdinstance_id
-Attribute groupSet).Groups
Os dois comandos retornam um ID de grupo de segurança que será usado na próxima etapa.
-
-
Adicione a regra ao grupo de segurança usando um dos seguintes comandos:
-
authorize-security-group-ingress (AWS CLI)
aws ec2 authorize-security-group-ingress --region
region
--group-idsecurity_group_id
--protocol tcp --port 22 --cidrcidr_ip_range
-
Grant-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)
O comando
Grant-EC2SecurityGroupIngress
precisa de um parâmetroIpPermission
que descreve o protocolo, o intervalo de portas e o intervalo de endereços IP a serem usados para a regra de grupo de segurança. O comando a seguir cria o parâmetroIpPermission
:PS C:\>
$ip1 = @{ IpProtocol="tcp"; FromPort="22"; ToPort="22"; IpRanges="cidr_ip_range
" }PS C:\>
Grant-EC2SecurityGroupIngress -Regionregion
-GroupIdsecurity_group_id
-IpPermission @($ip1)
-
Atribuir um grupo de segurança a uma instância
É possível atribuir um security group a uma instância ao executá-la. Quando você adiciona ou remove regras, essas alterações são aplicadas automaticamente a todas as instâncias às quais você atribuiu o security group.
Depois de executar uma instância, é possível alterar seus grupos de segurança. Para ter mais informações, consulte Para mudar o grupo de segurança de uma instância.