Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Autorisieren von eingehendem Datenverkehr für Linux-Instances
Mit Sicherheitsgruppen können Sie den Datenverkehr zu Ihrer Instance kontrollieren, einschließlich des Datenverkehrs, der auf der Instance eingeht. Sie können zum Beispiel nur Computer in Ihrem Heimnetzwerk den Zugriff über SSH auf die Instance gewähren. Wenn Ihre Instance ein Webserver ist, können Sie allen IP-Adressen erlauben, mittels HTTP oder HTTPS auf Ihre Instance zuzugreifen, sodass externe Benutzer den Content auf Ihrem Webserver durchsuchen können.
Die Standardsicherheitsgruppen und die neu erstellten Sicherheitsgruppen enthalten Standardregeln, die es Ihnen nicht ermöglichen, über das Internet auf die Instance zuzugreifen. Weitere Informationen finden Sie unter Standardsicherheitsgruppen und Benutzerdefinierte Sicherheitsgruppen. Um Netzwerkzugriff auf Ihre Instance zu ermöglichen, müssen Sie eingehenden Datenverkehr für Ihre Instance zulassen. Fügen Sie einer Sicherheitsgruppe, die Sie mit der Instance bei deren Start verknüpft haben, eine Regel hinzu, um einen Port für eingehenden Datenverkehr zu öffnen.
Zum Herstellen einer Verbindung mit der Instance müssen Sie eine Regel einrichten, um SSHRDP-Datenverkehr von der öffentlichen IPv4-Adresse Ihres Computers zu autorisieren. Wenn Sie SSH-Datenverkehr von zusätzlichen IP-Adressbereichen zulassen möchten, fügen Sie für jeden Bereich, der autorisiert werden muss, eine weitere Regel hinzu.
Wenn Sie Ihre VPC für IPv6 konfiguriert und Ihre Instance mit einer IPv6-Adresse gestartet haben, können Sie für die Verbindung zu der Instance deren IPv6-Adresse anstelle von einer öffentlichen IPv4-Adresse verwenden. Ihr lokaler Computer muss über eine IPv6-Adresse verfügen und für die Verwendung von IPv6 konfiguriert sein.
Wenn Sie den Netzwerkzugriff auf eine Windows-Instance zulassen müssen, finden Sie weitere Informationen unter Autorisieren von eingehendem Datenverkehr für Windows-Instances im Amazon EC2-Benutzerhandbuch für Windows-Instances.
Bevor Sie beginnen
Sie müssen entscheiden, wer Zugriff auf Ihre Instance anfordern soll, z. B. ein einzelner Host oder ein bestimmtes vertrauenswürdiges Netzwerk, wie die öffentliche IPv4-Adresse Ihres lokalen Computers. Der Sicherheitsgruppen-Editor in der Amazon EC2-Konsole kann die öffentliche IPv4-Adresse Ihres lokalen Computers automatisch für Sie erkennen. Alternativ können Sie den Suchausdruck „wie ist meine IP-Adresse“ in einem Internet-Browser eingeben oder den folgenden Service verwenden: Check IP
Warnung
Wenn Sie 0.0.0.0/0
verwenden, lassen Sie für alle IPv4-Adressen den Zugriff auf Ihre Instance per SSH zu. Wenn Sie ::/0
verwenden, ermöglichen Sie allen IPv6-Adressen den Zugriff auf Ihre Instance. Sie sollten nur eine bestimmte IP-Adresse bzw. einen bestimmten Adressbereich für den Zugriff auf Ihre Instance autorisieren.
Legen Sie fest, ob Sie den SSH-Zugriff über EC2 Instance Connect auf Ihre Instances unterstützen. Wenn Sie EC2 Instance Connect nicht verwenden werden, sollten Sie eine Deinstallation in Betracht ziehen oder in Ihren IAM-Richtlinien die folgende Aktion ablehnen: ec2-instance-connect:SendSSHPublicKey
Weitere Informationen finden Sie unter Deinstallieren von EC2 Instance Connect und Konfigurieren von IAM-Berechtigungen für EC2 Instance Connect.
Hinzufügen einer Regel für eingehenden SSH-Datenverkehr zu einer Linux-Instance
Sicherheitsgruppen fungieren als Firewall für zugeordnet Instances. Sie steuern den ein- und ausgehenden Datenverkehr auf der Instance-Ebene. Sie müssen einer Sicherheitsgruppe Regeln hinzufügen, damit Sie von Ihrer IP-Adresse über SSH eine Verbindung zu Ihrer Linux-Instance herstellen können.
Hinzufügen einer Regel für eingehenden SSH-Datenverkehr über IPv4 (Konsole) zu einer Sicherheitsgruppe
Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/
. -
Wählen Sie in der Navigationsleiste oben eine Region für die Sicherheitsgruppe aus. Sicherheitsgruppen gelten spezifisch für eine Region, daher müssen Sie die gleiche Region auswählen, in der Sie Ihre Instance erstellt haben.
-
Wählen Sie im Navigationsbereich Instances aus.
-
Wählen Sie Ihre Instance aus und wählen Sie in der unteren Hälfte des Bildschirms die Registerkarte Security (Sicherheit). Security groups (Sicherheitsgruppen) listet die Sicherheitsgruppen auf, die mit der Instance verknüpft sind. Inbound rules (Regeln für eingehenden Datenverkehr) zeigt eine Liste der Regeln für eingehenden Datenverkehr an, die für die Instance gültig sind.
-
Wählen Sie für die Sicherheitsgruppe, der Sie die neue Regel hinzufügen, den Link der Sicherheitsgruppen-ID aus, um die Sicherheitsgruppe zu öffnen.
-
Wählen Sie auf der Registerkarte Inbound rules (Regeln für eingehenden Datenverkehr) die Option Edt inbound rules (Regeln für eingehenden Datenverkehr bearbeiten) aus.
-
Führen Sie im Dialogfeld Edt inbound rules (Regeln für eingehenden Datenverkehr bearbeiten) die folgenden Schritte aus:
-
Wählen Sie Add rule.
-
Wählen Sie bei Type die Option SSH aus.
-
Wählen Sie unter Source (Quelle) My IP (Meine IP) aus, um das Feld automatisch mit der öffentlichen IPv4-Adresse Ihres lokalen Computers aufzufüllen.
Alternativ können Sie für Source (Quelle) Custom (benutzerdefiniert) auswählen und die öffentliche IPv4-Adresse Ihres Computers oder Netzwerks in CIDR-Notation angeben. Wenn zum Beispiel Ihre IPv4-Adresse
203.0.113.25
lautet, geben Sie203.0.113.25/32
ein, um diese einzelne IPv4-Adresse in CIDR-Notation aufzuführen. Wenn Ihr Unternehmen Adressen aus einem Bereich zuweist, geben Sie den gesamten Bereich an, z. B.203.0.113.0/24
.Weitere Informationen zur Ermittlung Ihrer IP-Adresse finden Sie unter Bevor Sie beginnen.
-
Wählen Sie Save rules (Regeln speichern) aus.
-
Wenn Sie eine Instance mit einer IPv6-Adresse gestartet haben und eine Verbindung über diese IPv6-Adresse herstellen möchten, müssen Sie Regeln hinzufügen, die eingehenden IPv6-Datenverkehr über SSH zulassen.
Hinzufügen einer Regel für eingehenden SSH-Datenverkehr über IPv6 (Konsole) zu einer Sicherheitsgruppe
Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/
. -
Wählen Sie in der Navigationsleiste oben eine Region für die Sicherheitsgruppe aus. Sicherheitsgruppen gelten spezifisch für eine Region, daher müssen Sie die gleiche Region auswählen, in der Sie Ihre Instance erstellt haben.
-
Wählen Sie im Navigationsbereich Instances aus.
-
Wählen Sie Ihre Instance aus und wählen Sie in der unteren Hälfte des Bildschirms die Registerkarte Security (Sicherheit). Security groups (Sicherheitsgruppen) listet die Sicherheitsgruppen auf, die mit der Instance verknüpft sind. Inbound rules (Regeln für eingehenden Datenverkehr) zeigt eine Liste der Regeln für eingehenden Datenverkehr an, die für die Instance gültig sind.
-
Wählen Sie für die Sicherheitsgruppe, der Sie die neue Regel hinzufügen, den Link der Sicherheitsgruppen-ID aus, um die Sicherheitsgruppe zu öffnen.
-
Wählen Sie auf der Registerkarte Inbound rules (Regeln für eingehenden Datenverkehr) die Option Edt inbound rules (Regeln für eingehenden Datenverkehr bearbeiten) aus.
-
Führen Sie im Dialogfeld Edt inbound rules (Regeln für eingehenden Datenverkehr bearbeiten) die folgenden Schritte aus:
-
Wählen Sie Add rule.
-
Wählen Sie bei Type die Option SSH aus.
-
Wählen Sie für Source (Quelle) Custom (benutzerdefiniert) und geben Sie die IPv6-Adresse Ihres Computers in CIDR-Notation ein. Wenn beispielsweise Ihre IPv6-Adresse
2001:db8:1234:1a00:9691:9503:25ad:1761
ist, geben Sie2001:db8:1234:1a00:9691:9503:25ad:1761/128
ein, um die einzelne IP-Adresse in CIDR-Notation aufzuführen. Wenn Ihr Unternehmen Adressen aus einem Bereich zuweist, geben Sie den gesamten Bereich an, z. B.2001:db8:1234:1a00::/64
. -
Wählen Sie Save rules (Regeln speichern) aus.
-
Anmerkung
Führen Sie die folgenden Befehle unbedingt auf Ihrem lokalen System aus, nicht auf der Instance selbst. Weitere Informationen zu diesen Befehlszeilenschnittstellen erhalten Sie unter Zugriff auf Amazon EC2.
Hinzufügen einer Regel zu einer Sicherheitsgruppe mithilfe der Befehlszeile
-
Suchen Sie mit einem der folgenden Befehle die Sicherheitsgruppe ab, die Ihrer Instance zugeordnet ist:
-
describe-instance-attribute (AWS CLI)
aws ec2 describe-instance-attribute --region
region
--instance-idinstance_id
--attribute groupSet -
Get-EC2InstanceAttribute (AWS Tools for Windows PowerShell)
PS C:\>
(Get-EC2InstanceAttribute -Regionregion
-InstanceIdinstance_id
-Attribute groupSet).Groups
Beide Befehle geben eine Sicherheitsgruppen-ID zurück, die Sie im nächsten Schritt verwenden.
-
-
Fügen Sie die Regel unter Verwendung eines der folgenden Befehle der Sicherheitsgruppe hinzu:
-
authorize-security-group-ingress (AWS CLI)
aws ec2 authorize-security-group-ingress --region
region
--group-idsecurity_group_id
--protocol tcp --port 22 --cidrcidr_ip_range
-
Grant-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)
Der Befehl
Grant-EC2SecurityGroupIngress
benötigt den ParameterIpPermission
, der das Protokoll, den Port-Bereich und den IP-Adress-Bereich beschreibt, die für die Sicherheitsgruppenregel verwendet werden sollen. Der folgende Befehl erstellt den ParameterIpPermission
:PS C:\>
$ip1 = @{ IpProtocol="tcp"; FromPort="22"; ToPort="22"; IpRanges="cidr_ip_range
" }PS C:\>
Grant-EC2SecurityGroupIngress -Regionregion
-GroupIdsecurity_group_id
-IpPermission @($ip1)
-
Zuordnen einer Sicherheitsgruppe zu einer Instance
Sie können eine Sicherheitsgruppe einer Instance zuweisen, wenn Sie die Instance starten. Wenn Sie Regeln hinzufügen oder entfernen, gelten diese Änderungen automatisch für alle Instances, denen Sie die Sicherheitsgruppe zugewiesen haben.
Nach dem Start einer Instance können Sie deren Sicherheitsgruppen nicht mehr ändern. Weitere Informationen finden Sie unter Ändern der Sicherheitsgruppe einer Instance.