Amazon Elastic Compute Cloud
Benutzerhandbuch für Linux-Instances

Referenz zu Sicherheitsgruppenregeln

Sie können eine Sicherheitsgruppe erstellen und dieser Regeln hinzufügen, die die Rolle der Instance reflektieren, mit der die Sicherheitsgruppe verbunden ist. Zum Beispiel benötigt eine als Webserver konfigurierte Instance Sicherheitsgruppenregeln, die eingehenden HTTP- und HTTPS-Zugriff erlauben, und eine Datenbank-Instance benötigt Regeln, die den Zugriff für den Typ der Datenbank zulassen, etwa den Zugriff über Port 3306 für MySQL.

Es folgen einige Beispiele für die Arten von Regeln, die Sie für bestimmte Zugriffsarten zu Sicherheitsgruppen hinzufügen können.

Webserverregeln

Die folgenden eingehenden Regeln erlauben den HTTP- und HTTPS-Zugriff von jeder IP-Adresse aus. Wenn Ihre VPC für IPv6 aktiviert ist, können Sie Regeln zur Steuerung des eingehenden HTTP- und HTTPS-Datenverkehrs von IPv6-Adressen hinzufügen.

Protokolltyp Protokollnummer Port Quell-IP Hinweise
TCP 6 80 (HTTP) 0.0.0.0/0 Lässt eingehenden HTTP-Zugriff von jeder IPv4-Adresse zu
TCP 6 443 (HTTPS) 0.0.0.0/0 Lässt eingehenden HTTPS-Zugriff von jeder IPv4-Adresse zu
TCP 6 80 (HTTP) ::/0 Lässt eingehenden HTTP-Zugriff von jeder IPv6-Adresse zu
TCP 6 443 (HTTPS) ::/0 Lässt eingehenden HTTPS-Zugriff von jeder IPv6-Adresse zu

Datenbankserverregeln

Die folgenden eingehenden Regeln sind Beispiele für Regeln, die Sie für den Datenbankzugriff hinzufügen können, je nachdem, auf welcher Art von Datenbank Ihre Instance ausgeführt wird. Weitere Informationen zu Amazon RDS-Instances finden Sie unter Amazon RDS-Benutzerhandbuch.

geben Sie für die Quell-IP eine der folgenden Optionen an:

  • Eine spezifische IP-Adresse oder einen Bereich von IP-Adressen in Ihrem lokalen Netzwerk.

  • Eine Sicherheitsgruppen-ID für eine Gruppe von Instances, die auf die Datenbank zugreifen.

Protokolltyp Protokollnummer Port Hinweise
TCP 6 1433 (MS SQL) Der Standardport für den Zugriff auf eine Microsoft SQL Server-Datenbank, beispielsweise, auf einer Amazon RDS-Instance
TCP 6 3306 (MYSQL/Aurora) Der Standardport für den Zugriff auf eine MySQL- oder Aurora-Datenbank, beispielsweise, auf einer Amazon RDS-Instance
TCP 6 5439 (Redshift) Der Standardport für den zugriff auf eine Amazon Redshift-Cluster-Datenbank
TCP 6 5432 (PostgreSQL) Der Standardport für den Zugriff auf eine PostgreSQL-Datenbank, beispielsweise, auf einer Amazon RDS-Instance
TCP 6 1521 (Oracle) Der Standardport für den Zugriff auf eine Oracle-Datenbank, beispielsweise, auf einer Amazon RDS-Instance

Sie können optional den ausgehenden Datenverkehr von ihren Datenbankservern einschränken, etwa wenn Sie den Zugriff auf das Internet für Softwareupdates zulassen, alle anderen Arten von Datenverkehr jedoch nicht zulassen möchten. Sie müssen zuerst die standardmäßige ausgehende Regel entfernen, die allen ausgehenden Datenverkehr zulässt.

Protokolltyp Protokollnummer Port Ziel-IP Hinweise
TCP 6 80 (HTTP) 0.0.0.0/0 Lässt ausgehenden HTTP-Zugriff auf jede IPv4-Adresse zu
TCP 6 443 (HTTPS) 0.0.0.0/0 Lässt ausgehenden HTTPS-Zugriff auf jede IPv4-Adresse zu
TCP 6 80 (HTTP) ::/0 (Nur IPv6-fähige VPC) Lässt ausgehenden HTTP-Zugriff auf jede IPv6-Adresse zu
TCP 6 443 (HTTPS) ::/0 (Nur IPv6-fähige VPC) Lässt ausgehenden HTTPS-Zugriff auf jede IPv6-Adresse zu

Regeln für die Verbindung mit Instances von Ihrem Computer aus

Um Ihre Instance zu verbinden, muss Ihre Sicherheitsgruppe über eingehende Regeln verfügen, die den SSH-Zugriff (für Linux-Instances) oder den RDP-Zugriff (für Windows-Instances) erlauben.

Protokolltyp Protokollnummer Port Quell-IP
TCP 6 22 (SSH) Die öffentliche IPv4-Adresse Ihres Computers bzw. ein Bereich von IP-Adressen in Ihrem lokalen Netzwerk. Wenn Ihre VPC IPv6-fähig ist und Ihre Instance eine IPv6-Adresse hat, können Sie eine(n) IPv6-Adresse oder -Bereich eingeben.
TCP 6 3389 (RDP) Die öffentliche IPv4-Adresse Ihres Computers bzw. ein Bereich von IP-Adressen in Ihrem lokalen Netzwerk. Wenn Ihre VPC IPv6-fähig ist und Ihre Instance eine IPv6-Adresse hat, können Sie eine(n) IPv6-Adresse oder -Bereich eingeben.

Regeln für die Verbindung mit Instances von einer Instance mit der gleichen Sicherheitsgruppe aus

Um zuzulassen, dass Instances, die mit derselben Sicherheitsgruppe verbunden sind, miteinander kommunizieren, müssen Sie eine ausdrückliche Regel dafür hinzufügen.

Die folgende Tabelle beschreibt die eingehende Regel für eine Sicherheitsgruppe, die zugehörigen Instances erlaubt, miteinander zu kommunizieren. Die Regel lässt alle Arten von Datenverkehr zu.

Protokolltyp Protokollnummer Ports Quell-IP
-1 (All) -1 (All) -1 (All) Die ID der Sicherheitsgruppe

Regeln für Path MTU Discovery

Die Pfad-MTU ist die maximale Paketgröße, die auf dem Pfad zwischen dem sendenden Host und dem empfangenden Host unterstützt wird. Wenn ein Host ein Paket sendet, das größer als die MTU des empfangenden Hosts ist bzw. das größer als die MTU eines Geräts auf dem Pfad ist, gibt der empfangende Host folgende ICMP-Meldung zurück: .

Destination Unreachable: Fragmentation Needed and Don't Fragment was Set

Um sicherzustellen, dass Ihre Instance diese Nachricht empfangen kann und dass das Paket nicht ignoriert wird, müssen Sie Ihren eingehenden Sicherheitsgruppenregeln eine benutzerdefinierte ICMP-Regel hinzufügen.

Protokolltyp Protokollnummer ICMP-Typ ICMP-Code Quell-IP
ICMP 1 3 (Destination Unreachable) 4 (Fragmentation Needed and Don't Fragment was Set) Die IP-Adressen der Hosts, die mit Ihrer Instance kommunizieren

Regeln für Ping/ICMP

Der ping-Befehl ist eine Art von ICMP-Datenverkehr. Zum Pinging Ihrer Instance müssen Sie die folgende eingehende ICMP-Regel hinzufügen.

Protokolltyp Protokollnummer ICMP-Typ ICMP-Code Quell-IP
ICMP 1 8 (Echo) Die öffentliche IPv4-Adresse Ihres Computers bzw. ein Bereich von IPv4-Adressen in Ihrem lokalen Netzwerk.

Zur Verwendung des ping6-Befehls zum Pinging der IPv6-Adresse für Ihre Instance müssen Sie die folgende eingehende ICMPv6-Regel hinzufügen.

Protokolltyp Protokollnummer ICMP-Typ ICMP-Code Quell-IP
ICMPv6 58 128 (Echo) 0 Die IPv6-Adresse Ihres Computers bzw. ein Bereich von IPv6-Adressen in Ihrem lokalen Netzwerk.

DNS-Server-Regeln

Wenn Sie Ihre EC2-Instance als DNS-Server eingerichtet haben, müssen Sie sicherstellen, dass TCP- und UDP-Datenverkehr Ihren DNS-Server über Port 53 erreichen kann.

geben Sie für die Quell-IP eine der folgenden Optionen an:

  • Eine IP-Adresse oder einen Bereich von IP-Adressen in einem Netzwerk

  • Eine Sicherheitsgruppen-ID für eine Gruppe von Instances in Ihrem Netzwerk, die Zugriff auf den DNS-Server benötigen

Protokolltyp Protokollnummer Port
TCP 6 53
UDP 17 53

Amazon EFS-Regeln

Wenn Sie ein Amazon EFS-Dateisystem mit Ihren Amazon EC2-Instances verwenden, muss die Sicherheitsgruppe, die Sie mit Ihren Amazon EFS-Mountingzielen verbinden, den Datenverkehr über das NFS-Protokoll zulassen.

Protokolltyp Protokollnummer Ports Quell-IP Hinweise
TCP 6 2049 (NFS) Die ID der Sicherheitsgruppe. Erlaubt den eingehenden NFS-Zugriff von Ressourcen (einschließlich des Mountingziels), die mit dieser Sicherheitsgruppe verbunden sind.

Zum Mounting eines Amazon EFS-Dateisystems auf Ihrer Amazon EC2-Instance müssen Sie eine Verbindung zu Ihrer Instance herstellen. Daher muss die mit Ihrer Instance verbundene Sicherheitsgruppe über Regeln verfügen, die den eingehenden SSH-Datenverkehr von ihrem lokalen Computer oder lokalen Netzwerk aus zulassen.

Protokolltyp Protokollnummer Ports Quell-IP Hinweise
TCP 6 22 (SSH) Der IP-Adressenbereich Ihres lokalen Computers bzw. der Bereich von IP-Adressen für Ihr lokales Netzwerk. Lässt eingehenden SSH-Zugriff von Ihrem lokalen Computer zu.

Elastic Load Balancing-Regeln

Wenn Sie einen Load Balancer verwenden, muss die mit Ihrem Load Balancer verbundene Sicherheitsgruppe über Regeln verfügen, die die Kommunikation mit Ihren Instances oder Zielen erlauben.

Eingehend
Protokolltyp Protokollnummer Port Quell-IP Hinweise
TCP 6 Der Listener-Port

Für einen dem Internet zugewandten Load Balancer: 0.0.0.0/0 (alle IPv4-Adressen)

Für einen internen Load Balancer: der IPv4 CIDR-Block der VPC

Allen eingehenden Datenverkehr auf dem Load Balancer Listener-Port erlauben.
Ausgehend
Protokolltyp Protokollnummer Port Ziel-IP Hinweise
TCP 6 Der Listener-Port für die Instance Die ID der Instance-Sicherheitsgruppe Ausgehenden Datenverkehr an Instances auf dem Instance-Listener-Port erlauben.
TCP 6 Der Zustandsprüfungsport Die ID der Instance-Sicherheitsgruppe Ausgehenden Datenverkehr an Instances auf dem Zustandsprüfungsport erlauben.

Die Sicherheitsgruppenregeln für Ihre Instances müssen dem Load Balancer die Kommunikation mit Ihren Instances sowohl auf dem Listener-Port als auch auf dem Zustandsprüfungsport erlauben.

Eingehend
Protokolltyp Protokollnummer Port Quell-IP Hinweise
TCP 6 Der Listener-Port für die Instance

Die ID der Load Balancer-Sicherheitsgruppe

Datenverkehr vom Load Balancer auf dem Listener-Port der Instance zulassen.
TCP 6 Der Zustandsprüfungsport Die ID der Load Balancer-Sicherheitsgruppe Datenverkehr vom Load Balancer auf dem Zustandsprüfungsport zulassen.

Weitere Informationen finden Sie unter Konfigurieren von Sicherheitsgruppen für Ihren Classic Load Balancer in Benutzerhandbuch für Classic Load Balancer und Sicherheitsgruppen für Ihren Application Load Balancer in Benutzerhandbuch für Application Load Balancer.

VPC-Peering-Regeln

Sie können die eingehenden oder ausgehenden Regeln für die VPC-Sicherheitsgruppen aktualisieren, um auf Sicherheitsgruppen in der über Peering verbundenen VPC zu verweisen. Danach kann der Datenverkehr von und zu den Instances fließen, die der referenzierten Sicherheitsgruppe in der über Peering verbundenen VPC zugewiesen sind. Weitere Informationen zum Konfigurieren von Sicherheitsgruppen für VPC-Peering finden Sie unter Aktualisieren der Sicherheitsgruppen, um auf Peer-VPC-Gruppen zuzugreifen.