Erstellen Sie eine Sicherheitsgruppe für Ihre EC2 Amazon-Instance - Amazon Elastic Compute Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie eine Sicherheitsgruppe für Ihre EC2 Amazon-Instance

Sicherheitsgruppen fungieren als Firewall für zugeordnet Instances. Sie steuern den ein- und ausgehenden Datenverkehr auf der Instance-Ebene. Sie können einer Sicherheitsgruppe Regeln hinzufügen, die es Ihnen ermöglichen, mithilfe von SSH (Linux-Instances) oder RDP (Windows-Instances) eine Verbindung zu Ihrer Instance herzustellen. Sie können auch Regeln hinzufügen, die beispielsweise Client-Verkehr HTTP und HTTPS Datenverkehr für einen Webserver zulassen.

Sie können einer Instance eine Sicherheitsgruppe zuordnen, wenn Sie die Instance starten. Wenn Sie Regeln zu verknüpften Sicherheitsgruppen hinzufügen oder daraus entfernen, werden diese Änderungen automatisch auf alle Instances angewendet, denen Sie die Sicherheitsgruppe zugeordnet haben.

Nachdem Sie eine Instance gestartet haben, können Sie zusätzliche Sicherheitsgruppen zuordnen. Weitere Informationen finden Sie unter Ändern Sie die Sicherheitsgruppen für Ihre EC2 Amazon-Instance.

Sie können Sicherheitsgruppenregeln für eingehenden und ausgehenden Datenverkehr hinzufügen, wenn Sie eine Sicherheitsgruppe erstellen, oder Sie können sie später hinzufügen. Weitere Informationen finden Sie unter Sicherheitsgruppenregeln konfigurieren. Beispiele für Regeln, die Sie einer Sicherheitsgruppe hinzufügen können, finden Sie unter. Sicherheitsgruppenregeln für verschiedene Anwendungsfälle

Überlegungen

  • Standardmäßig enthält jede Sicherheitsgruppe am Anfang nur eine Regel für ausgehenden Datenverkehr, die sämtlichen von der Ressource ausgehenden Datenverkehr zulässt. Sie müssen Regeln hinzufügen, um eingehenden Datenverkehr zuzulassen oder den ausgehenden Datenverkehr einzuschränken.

  • Wenn Sie eine Quelle für eine Regel konfigurieren, die den RDP Zugriff auf Ihre Instances erlaubt, sollten Sie keinen Zugriff von irgendwoher zulassen, da dieser Zugriff auf Ihre Instance von allen IP-Adressen im Internet aus möglich wäre. SSH Dies ist zwar für kurze Zeit in einer Testumgebung akzeptabel, aber für Produktionsumgebungen sehr unsicher.

  • Wenn es mehr als eine Regel für einen bestimmten Port gibt, EC2 wendet Amazon die toleranteste Regel an. Wenn Sie beispielsweise eine Regel haben, die den Zugriff auf TCP Port 22 (SSH) von der IP-Adresse 203.0.113.1 aus ermöglicht, und eine weitere Regel, die den Zugriff auf TCP Port 22 von überall aus ermöglicht, dann hat jeder Zugriff auf Port 22. TCP

  • Sie können einer Instanz mehrere Sicherheitsgruppen zuordnen. Daher kann eine Instance Hunderte von Regeln haben, die angewendet werden. Dies kann beim Zugriff auf die Instance zu Problemen führen. Wir empfehlen, dass Sie Ihre Regeln so weit wie möglich verdichten.

  • Wenn Sie eine Sicherheitsgruppe als Quelle oder Ziel für eine Regel angeben, wirkt sich die Regel auf alle Instances aus, die der Sicherheitsgruppe zugeordnet sind. Eingehender Verkehr ist basierend auf den privaten IP-Adressen der Instances erlaubt, die der Quellsicherheitsgruppe zugeordnet sind (und nicht auf den öffentlichen IP- oder Elastic IP-Adressen). Weitere Informationen über IP-Adressen finden Sie unter IP-Adressierung der EC2 Amazon-Instanz.

  • Amazon EC2 blockiert standardmäßig den Verkehr auf Port 25. Weitere Informationen finden Sie unter Einschränkung für E-Mails, die über Port 25 gesendet werden.

Erstellen einer Sicherheitsgruppe mithilfe der Konsole

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

  3. Wählen Sie Create security group (Sicherheitsgruppe erstellen) aus.

  4. Geben Sie einen beschreibenden Namen und eine kurze Beschreibung für die Sicherheitsgruppe ein. Sie können den Namen und die Beschreibung einer Sicherheitsgruppe nicht mehr ändern, nachdem sie erstellt wurde.

  5. Wählen Sie für die aus VPC, VPC in der Sie Ihre EC2 Amazon-Instances ausführen möchten.

  6. (Optional) Um Regeln für eingehenden Datenverkehr hinzuzufügen, wählen Sie Eingehende Regeln aus. Wählen Sie für jede Regel Regel hinzufügen aus und geben Sie das Protokoll, den Port und die Quelle an. Um beispielsweise SSH Datenverkehr zuzulassen, wählen Sie SSHTyp und geben Sie die öffentliche IPv4 Adresse Ihres Computers oder Netzwerks als Quelle an.

  7. (Optional) Um Regeln für ausgehenden Datenverkehr hinzuzufügen, wählen Sie Regeln für ausgehenden Datenverkehr aus. Wählen Sie für jede Regel Regel hinzufügen aus und geben Sie das Protokoll, den Port und das Ziel an. Andernfalls können Sie die Standardregel beibehalten, die den gesamten ausgehenden Datenverkehr zulässt.

  8. (Optional) Um ein Tag hinzuzufügen, wählen Sie Add new tag (Neuen Tag hinzufügen) aus und geben Sie den Schlüssel und den Wert für den Tag ein.

  9. Wählen Sie Sicherheitsgruppe erstellen aus.

Erstellen einer Sicherheitsgruppe mithilfe der Befehlszeile