Standard- und benutzerdefinierte Sicherheitsgruppen - Amazon Elastic Compute Cloud

Standard- und benutzerdefinierte Sicherheitsgruppen

Das AWS-Konto hat automatisch eine Standard-Sicherheitsgruppe für die Standard-VPC in jeder Region. Wenn Sie beim Starten einer Instance keine Sicherheitsgruppe festlegen, wird die Instance automatisch der Standardsicherheitsgruppe für die VPC zugeordnet. Wenn Sie nicht wünschen, dass Ihre Instances die Standardsicherheitsgruppe verwenden, können Sie Ihre eigenen benutzerdefinierten Sicherheitsgruppen erstellen und beim Start Ihrer Instances angeben.

Standardsicherheitsgruppen

Das AWS-Konto hat automatisch eine Standard-Sicherheitsgruppe für die Standard-VPC in jeder Region. Wenn Sie beim Starten einer Instance keine Sicherheitsgruppe festlegen, wird die Instance automatisch der Standardsicherheitsgruppe für die VPC zugeordnet.

Eine Standardsicherheitsgruppe hat die Bezeichnung „default“ und AWS weist ihr eine ID zu. Die folgende Tabelle beschreibt die Standardregeln für eine Standardsicherheitsgruppe.

Regel für eingehenden Datenverkehr
Source Protocol (Protokoll) Port-Bereich Beschreibung

Die Sicherheitsgruppen-ID (ihre eigene Ressourcen-ID)

Alle

Alle

Lässt eingehenden Datenverkehr von Netzwerkschnittstellen und Instances zu, die derselben Sicherheitsgruppe zugewiesen sind.

Regeln für ausgehenden Datenverkehr
Zielbereich Protocol (Protokoll) Port-Bereich Beschreibung

0.0.0.0/0

Alle

Alle

Lässt den gesamten ausgehenden IPv4-Datenverkehr zu.

::/0

Alle

Alle

Lässt den gesamten ausgehenden IPv6-Datenverkehr zu. Diese Regel wird nur hinzugefügt, wenn Ihrer VPC ein IPv6-CIDR-Block zugeordnet ist.

Sie können die ein- und ausgehenden Regeln für jede Standardsicherheitsgruppe hinzufügen oder entfernen.

Sie können eine Standardsicherheitsgruppe nicht löschen. Wenn Sie versuchen, eine Standardsicherheitsgruppe zu löschen, wird die folgende Fehlermeldung angezeigt: Client.CannotDelete: the specified group: "sg-51530134" name: "default" cannot be deleted by a user.

Benutzerdefinierte Sicherheitsgruppen

Wenn Sie nicht wünschen, dass Ihre Instances die Standardsicherheitsgruppe verwenden, können Sie Ihre eigenen Sicherheitsgruppen erstellen und beim Start Ihrer Instances angeben. Sie können mehrere Sicherheitsgruppen erstellen, um die unterschiedlichen Rollen zu berücksichtigen, die Ihre Instances einnehmen, etwa als Webserver oder als Datenbankserver.

Wenn Sie eine Sicherheitsgruppe erstellen, müssen Sie einen Namen und eine Beschreibung dafür angeben. Namen und Beschreibungen von Sicherheitsgruppen können bis zu 255 Zeichen lang sein und dürfen nur die folgenden Zeichen enthalten:

a-z, A-Z, 0-9, Leerzeichen und ._-:/()#,@[]+=&;{}!$*

Ein Sicherheitsgruppenname darf nicht mit folgendem beginnen: sg-. Der Name einer Sicherheitsgruppe muss für die VPC eindeutig sein.

Nachfolgend finden Sie die Standardregeln für eine von Ihnen erstellte Standardsicherheitsgruppe:

  • Erlaubt keinen eingehenden Datenverkehr

  • Erlaubt allen ausgehenden Datenverkehr

Nach der Erstellung einer Sicherheitsgruppe können Sie deren eingehende Regeln ändern, um die Art des eingehenden Datenverkehrs zu berücksichtigen, der die zugehörigen Instances erreichen soll. Sie können auch die ausgehenden Regeln ändern.

Für weitere Informationen zu den Regeln, die Sie einer Sicherheitsgruppe hinzufügen können, vgl. Sicherheitsgruppenregeln für verschiedene Anwendungsfälle.