Standard- und benutzerdefinierte Sicherheitsgruppen
Das AWS-Konto hat automatisch eine Standard-Sicherheitsgruppe für die Standard-VPC in jeder Region. Wenn Sie beim Starten einer Instance keine Sicherheitsgruppe festlegen, wird die Instance automatisch der Standardsicherheitsgruppe für die VPC zugeordnet. Wenn Sie nicht wünschen, dass Ihre Instances die Standardsicherheitsgruppe verwenden, können Sie Ihre eigenen benutzerdefinierten Sicherheitsgruppen erstellen und beim Start Ihrer Instances angeben.
Standardsicherheitsgruppen
Jede VPC verfügt über eine Standard-Sicherheitsgruppe. Es wird empfohlen, Sicherheitsgruppen für bestimmte Instances oder Gruppen von Instances zu erstellen, anstatt die Standardeinstellung zu verwenden. Wenn Sie jedoch beim Starten einer Instance keine Sicherheitsgruppe angeben, wird die Instance der Standardeinstellung für die VPC zugeordnet.
Der Namen der Standard-Sicherheitsgruppe lautet „default“. Nachfolgend finden Sie die Standardregeln für die Standardsicherheitsgruppe.
Eingehend | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Quelle | Protocol (Protokoll) | Port-Bereich | Beschreibung | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
sg-1234567890abcdef0 |
Alle | Alle | Lässt eingehenden Datenverkehr von allen Ressourcen zu, die dieser Sicherheitsgruppe zugewiesen sind. Die Quelle ist die ID dieser Sicherheitsgruppe. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Ausgehend | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Ziel | Protocol (Protokoll) | Port-Bereich | Beschreibung | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
0.0.0.0/0 |
Alle |
Alle |
Lässt den gesamten ausgehenden IPv4-Datenverkehr zu. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
::/0 |
Alle |
Alle |
Lässt den gesamten ausgehenden IPv6-Datenverkehr zu. Diese Regel wird nur hinzugefügt, wenn Ihrer VPC ein IPv6-CIDR-Block zugeordnet ist. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Grundlagen für Standard-Sicherheitsgruppen
-
Sie können die Regeln für eine Standardsicherheitsgruppe ändern.
-
Sie können eine Standardsicherheitsgruppe nicht löschen. Wenn Sie versuchen, eine Standard-Sicherheitsgruppe zu löschen, wird der folgende Fehlercode zurückgegeben:
Client.CannotDelete.
Benutzerdefinierte Sicherheitsgruppen
Sie können mehrere Sicherheitsgruppen erstellen, um die unterschiedlichen Rollen zu berücksichtigen, die Ihre Instances einnehmen, beispielsweise Webserver oder als Datenbankserver.
Wenn Sie eine Sicherheitsgruppe erstellen, müssen Sie einen Namen und eine Beschreibung dafür angeben. Namen und Beschreibungen von Sicherheitsgruppen können bis zu 255 Zeichen lang sein und dürfen nur die folgenden Zeichen enthalten:
a-z, A-Z, 0-9, Leerzeichen und ._-:/()#,@[]+=&;{}!$*
Der Name einer Sicherheitsgruppe darf nicht mit Folgendem beginnen: sg-. Der Name einer Sicherheitsgruppe muss für die VPC eindeutig sein.
Nachfolgend finden Sie die Standardregeln für eine von Ihnen erstellte Standardsicherheitsgruppe:
-
Erlaubt keinen eingehenden Datenverkehr
-
Erlaubt allen ausgehenden Datenverkehr
Nach der Erstellung einer Sicherheitsgruppe können Sie deren eingehende Regeln ändern, um die Art des eingehenden Datenverkehrs zu berücksichtigen, der die zugehörigen Instances erreichen soll. Sie können auch die ausgehenden Regeln ändern.
Für weitere Informationen zu den Regeln, die Sie einer Sicherheitsgruppe hinzufügen können, vgl. Sicherheitsgruppenregeln für verschiedene Anwendungsfälle.
