Autorisieren von eingehendem Datenverkehr für Linux-Instances

Mit Sicherheitsgruppen können Sie den Datenverkehr zu Ihrer Instance kontrollieren, einschließlich des Datenverkehrs, der auf der Instance eingeht. Sie können zum Beispiel nur Computern von Ihrem Heimnetzwerk den Zugriff über SSH auf die Instance gewähren. Wenn Ihre Instance ein Webserver ist, können Sie allen IP-Adressen erlauben, mittels HTTP oder HTTPS auf Ihre Instance zuzugreifen, sodass externe Benutzer den Content auf Ihrem Webserver durchsuchen können.

Die Standardsicherheitsgruppen und die neu erstellten Sicherheitsgruppen enthalten Standardregeln, die es Ihnen nicht ermöglichen, über das Internet auf die Instance zuzugreifen. Weitere Informationen finden Sie unter Standardsicherheitsgruppen und Benutzerdefinierte Sicherheitsgruppen. Um Netzwerkzugriff auf Ihre Instance zu ermöglichen, müssen Sie eingehenden Datenverkehr für Ihre Instance zulassen. Fügen Sie einer Sicherheitsgruppe, die Sie mit der Instance bei deren Start verknüpft haben, eine Regel hinzu, um einen Port für eingehenden Datenverkehr zu öffnen.

Zum Herstellen einer Verbindung mit der Instance müssen Sie eine Regel einrichten, um SSH-Datenverkehr von der öffentlichen IPv4-Adresse Ihres Computers zu autorisieren. Wenn Sie SSH-Datenverkehr von zusätzlichen IP-Adressbereichen zulassen möchten, fügen Sie für jeden Bereich, der autorisiert werden muss, eine weitere Regel hinzu.

Wenn Sie Ihre VPC für IPv6 konfiguriert und Ihre Instance mit einer IPv6-Adresse gestartet haben, können Sie für die Verbindung zu der Instance deren IPv6-Adresse anstelle von einer öffentlichen IPv4-Adresse verwenden. Ihr lokaler Computer muss über eine IPv6-Adresse verfügen und für die Verwendung von IPv6 konfiguriert sein.

Wenn Sie den Netzwerkzugriff auf eine Windows-Instance zulassen müssen, finden Sie weitere Informationen unter Autorisieren von eingehendem Datenverkehr für Windows-Instances im Amazon EC2-Benutzerhandbuch für Windows-Instances.

Bevor Sie beginnen

Sie müssen entscheiden, wer Zugriff auf Ihre Instance anfordern soll, z. B. ein einzelner Host oder ein bestimmtes vertrauenswürdiges Netzwerk, wie die öffentliche IPv4-Adresse Ihres lokalen Computers. Der Sicherheitsgruppen-Editor in der Amazon EC2-Konsole kann die öffentliche IPv4-Adresse Ihres lokalen Computers automatisch für Sie erkennen. Alternativ können Sie den Suchausdruck „wie ist meine IP-Adresse“ in einem Internet-Browser eingeben oder den folgenden Service verwenden: Check IP. Wenn Sie eine Verbindung über einen Internetdienstanbieter oder hinter Ihrer Firewall ohne statische IP-Adresse herstellen, müssen Sie den von Client-Computern verwendeten IP-Adressbereich herausfinden.

Warnung

Wenn Sie 0.0.0.0/0 verwenden, lassen Sie für alle IPv4-Adressen den Zugriff auf Ihre Instance per SSH zu. Wenn Sie ::/0 verwenden, ermöglichen Sie allen IPv6-Adressen den Zugriff auf Ihre Instance. Dies ist zwar für kurze Zeit in einer Testumgebung akzeptabel, aber für Produktionsumgebungen sehr unsicher. Für die Produktion wird nur eine bestimmte IP-Adresse bzw. ein bestimmter Adressbereich für den Zugriff auf Ihre Instance autorisiert.

Legen Sie fest, ob Sie den SSH-Zugriff über EC2 Instance Connect auf Ihre Instances unterstützen. Wenn Sie EC2 Instance Connect nicht verwenden werden, sollten Sie eine Deinstallation in Betracht ziehen oder in Ihren IAM-Richtlinien die folgende Aktion ablehnen: ec2-instance-connect:SendSSHPublicKey Weitere Informationen finden Sie unter Deinstallieren von EC2 Instance Connect und Konfigurieren von IAM-Berechtigungen für EC2 Instance Connect.

Hinzufügen einer Regel für eingehenden SSH-Datenverkehr zu einer Linux-Instance

Sicherheitsgruppen fungieren als Firewall für zugeordnet Instances. Sie steuern den ein- und ausgehenden Datenverkehr auf der Instance-Ebene. Sie müssen einer Sicherheitsgruppe Regeln hinzufügen, damit Sie von Ihrer IP-Adresse über SSH eine Verbindung zu Ihrer Linux-Instance herstellen können.

Neue Konsole

So fügen Sie einer Sicherheitsgruppe eine Regel für eingehenden SSH-Datenverkehr über IPv4 hinzu (Konsole)

1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie im Navigationsbereich Instances aus.

3. Wählen Sie Ihre Instance aus und wählen Sie in der unteren Hälfte des Bildschirms die Registerkarte Security (Sicherheit). Security groups (Sicherheitsgruppen) listet die Sicherheitsgruppen auf, die mit der Instance verknüpft sind. Inbound rules (Regeln für eingehenden Datenverkehr) zeigt eine Liste der Regeln für eingehenden Datenverkehr an, die für die Instance gültig sind.

4. Wählen Sie für die Sicherheitsgruppe, der Sie die neue Regel hinzufügen, den Link der Sicherheitsgruppen-ID aus, um die Sicherheitsgruppe zu öffnen.

5. Wählen Sie auf der Registerkarte Inbound rules (Regeln für eingehenden Datenverkehr) die Option Edt inbound rules (Regeln für eingehenden Datenverkehr bearbeiten) aus.

6. Führen Sie im Dialogfeld Edt inbound rules (Regeln für eingehenden Datenverkehr bearbeiten) die folgenden Schritte aus:

   1. Wählen Sie Add rule.

   2. Wählen Sie bei Type die Option SSH aus.

   3. Wählen Sie unter Source (Quelle) My IP (Meine IP) aus, um das Feld automatisch mit der öffentlichen IPv4-Adresse Ihres lokalen Computers aufzufüllen.

      Alternativ können Sie für Source (Quelle) Custom (benutzerdefiniert) auswählen und die öffentliche IPv4-Adresse Ihres Computers oder Netzwerks in CIDR-Notation angeben. Wenn zum Beispiel Ihre IPv4-Adresse 203.0.113.25 lautet, geben Sie 203.0.113.25/32 ein, um diese einzelne IPv4-Adresse in CIDR-Notation aufzuführen. Wenn Ihr Unternehmen Adressen aus einem Bereich zuweist, geben Sie den gesamten Bereich an, z. B. 203.0.113.0/24.

      Weitere Informationen zur Ermittlung Ihrer IP-Adresse finden Sie unter Bevor Sie beginnen.

   4. Wählen Sie Save rules (Regeln speichern) aus.

Alte Konsole

So fügen Sie einer Sicherheitsgruppe eine Regel für eingehenden SSH-Datenverkehr über IPv4 hinzu (Konsole)

1. Wählen Sie im Navigationsbereich der Amazon EC2-Konsole die Option Instances aus. Nachdem Sie als Nächstes Ihre Instance ausgewählt haben, wechseln Sie zur Registerkarte Description. Security groups listet die Sicherheitsgruppen auf, die mit der Instance verknüpft sind. Klicken Sie auf View inbound rules (Regeln für eingehenden Datenverkehr anzeigen), um die Liste der für die Instance gültigen Regeln anzusehen.

2. Wählen Sie im Navigationsbereich Security Groups aus. Wählen Sie eine der Sicherheitsgruppen aus, die mit der Instance verknüpft sind.

3. Klicken Sie im Detailbereich auf der Registerkarte Inbound auf Edit. Wählen Sie im Dialogfeld die Option Add Rule und in der Liste Type den Eintrag SSH aus.

4. Klicken Sie im Feld Source auf My IP, um das Feld automatisch mit der öffentlichen IPv4-Adresse des lokalen Computers auszufüllen. Alternativ können Sie Custom auswählen und die öffentliche IPv4-Adresse Ihres Computers oder Netzwerks in CIDR-Notation angeben. Wenn zum Beispiel Ihre IPv4-Adresse 203.0.113.25 lautet, geben Sie 203.0.113.25/32 ein, um diese einzelne IPv4-Adresse in CIDR-Notation aufzuführen. Wenn Ihr Unternehmen Adressen aus einem Bereich zuweist, geben Sie den gesamten Bereich an, z. B. 203.0.113.0/24.

   Weitere Informationen zur Ermittlung Ihrer IP-Adresse finden Sie unter Bevor Sie beginnen.

5. Wählen Sie Save aus.

Wenn Sie eine Instance mit einer IPv6-Adresse gestartet haben und eine Verbindung zu der Instance mit deren IPv6-Adresse herstellen möchten, müssen Sie Regeln hinzufügen, die eingehenden IPv6-Datenverkehr über SSH zulassen.

Neue Konsole

So fügen Sie einer Sicherheitsgruppe eine Regel für eingehenden SSH-Datenverkehr über IPv6 hinzu (Konsole)

1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie im Navigationsbereich Instances aus.

3. Wählen Sie Ihre Instance aus und wählen Sie in der unteren Hälfte des Bildschirms die Registerkarte Security (Sicherheit). Security groups (Sicherheitsgruppen) listet die Sicherheitsgruppen auf, die mit der Instance verknüpft sind. Inbound rules (Regeln für eingehenden Datenverkehr) zeigt eine Liste der Regeln für eingehenden Datenverkehr an, die für die Instance gültig sind.

4. Wählen Sie für die Sicherheitsgruppe, der Sie die neue Regel hinzufügen, den Link der Sicherheitsgruppen-ID aus, um die Sicherheitsgruppe zu öffnen.

5. Wählen Sie auf der Registerkarte Inbound rules (Regeln für eingehenden Datenverkehr) die Option Edt inbound rules (Regeln für eingehenden Datenverkehr bearbeiten) aus.

6. Führen Sie im Dialogfeld Edt inbound rules (Regeln für eingehenden Datenverkehr bearbeiten) die folgenden Schritte aus:

   1. Wählen Sie Add rule.

   2. Wählen Sie bei Type die Option SSH aus.

   3. Wählen Sie für Source (Quelle) Custom (benutzerdefiniert) und geben Sie die IPv6-Adresse Ihres Computers in CIDR-Notation ein. Wenn beispielsweise Ihre IPv6-Adresse 2001:db8:1234:1a00:9691:9503:25ad:1761 ist, geben Sie 2001:db8:1234:1a00:9691:9503:25ad:1761/128 ein, um die einzelne IP-Adresse in CIDR-Notation aufzuführen. Wenn Ihr Unternehmen Adressen aus einem Bereich zuweist, geben Sie den gesamten Bereich an, z. B. 2001:db8:1234:1a00::/64.

   4. Wählen Sie Save rules (Regeln speichern) aus.

Alte Konsole

So fügen Sie einer Sicherheitsgruppe eine Regel für eingehenden SSH-Datenverkehr über IPv6 hinzu (Konsole)

1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie im Navigationsbereich Security Groups aus. Wählen Sie die Sicherheitsgruppe für die Instance aus.

3. Klicken Sie auf Inbound, Edit und Add Rule.

4. Wählen Sie bei Type die Option SSH aus.

5. Geben Sie im Feld Source die IPv6-Adresse des Computers in CIDR-Notation ein. Wenn beispielsweise Ihre IPv6-Adresse 2001:db8:1234:1a00:9691:9503:25ad:1761 ist, geben Sie 2001:db8:1234:1a00:9691:9503:25ad:1761/128 ein, um die einzelne IP-Adresse in CIDR-Notation aufzuführen. Wenn Ihr Unternehmen Adressen aus einem Bereich zuweist, geben Sie den gesamten Bereich an, z. B. 2001:db8:1234:1a00::/64.

6. Wählen Sie Save aus.

Anmerkung

Führen Sie die folgenden Befehle unbedingt auf Ihrem lokalen System aus, nicht auf der Instance selbst. Weitere Informationen zu diesen Befehlszeilenschnittstellen erhalten Sie unter Zugriff auf Amazon EC2.

Hinzufügen einer Regel zu einer Sicherheitsgruppe mithilfe der Befehlszeile

1. Suchen Sie mit einem der folgenden Befehle die Sicherheitsgruppe ab, die Ihrer Instance zugeordnet ist:

   • describe-instance-attribute (AWS CLI)

     aws ec2 describe-instance-attribute --instance-id instance_id --attribute groupSet

   • Get-EC2InstanceAttribute (AWS-Tools für Windows PowerShell)

     PS C:\> (Get-EC2InstanceAttribute -InstanceId instance_id -Attribute groupSet).Groups

   Beide Befehle geben eine Sicherheitsgruppen-ID zurück, die Sie im nächsten Schritt verwenden.

2. Fügen Sie die Regel unter Verwendung eines der folgenden Befehle der Sicherheitsgruppe hinzu:

   • authorize-security-group-ingress (AWS CLI)

     aws ec2 authorize-security-group-ingress --group-id security_group_id --protocol tcp --port 22 --cidr cidr_ip_range

   • Grant-EC2SecurityGroupIngress (AWS-Tools für Windows PowerShell)

     Der Befehl Grant-EC2SecurityGroupIngress benötigt den Parameter IpPermission, der das Protokoll, den Port-Bereich und den IP-Adress-Bereich beschreibt, die für die Sicherheitsgruppenregel verwendet werden sollen. Der folgende Befehl erstellt den Parameter IpPermission:

     PS C:\> $ip1 = @{ IpProtocol="tcp"; FromPort="22"; ToPort="22"; IpRanges="cidr_ip_range" }

     PS C:\> Grant-EC2SecurityGroupIngress -GroupId security_group_id -IpPermission @($ip1)

Zuordnen einer Sicherheitsgruppe zu einer Instance

Sie können eine Sicherheitsgruppe einer Instance zuweisen, wenn Sie die Instance starten. Wenn Sie Regeln hinzufügen oder entfernen, gelten diese Änderungen automatisch für alle Instances, denen Sie die Sicherheitsgruppe zugewiesen haben.

Nach dem Start einer Instance können Sie deren Sicherheitsgruppen nicht mehr ändern. Weitere Informationen finden Sie unter Ändern der Sicherheitsgruppen einer Instance im Amazon VPC Benutzerhandbuch.