Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheitsgruppenregeln für verschiedene Anwendungsfälle
Sie können eine Sicherheitsgruppe erstellen und dieser Regeln hinzufügen, die die Rolle der Instance reflektieren, mit der die Sicherheitsgruppe verbunden ist. Eine Instance, die als Webserver konfiguriert ist, benötigt beispielsweise Sicherheitsgruppenregeln, die eingehenden HTTP- und HTTPS-Zugriff zulassen. Ebenso benötigt eine Datenbank-Instance Regeln, die den Zugriff für den Datenbanktyp zulassen, wie z.B. den Zugriff über Port 3306 für MySQL.
Es folgen einige Beispiele für die Arten von Regeln, die Sie für bestimmte Zugriffsarten zu Sicherheitsgruppen hinzufügen können.
Beispiele
Webserverregeln
Die folgenden eingehenden Regeln erlauben den HTTP- und HTTPS-Zugriff von jeder IP-Adresse aus. Wenn Ihre VPC für IPv6 aktiviert ist, können Sie Regeln zur Steuerung des eingehenden HTTP- und HTTPS-Datenverkehrs von IPv6-Adressen hinzufügen.
| Protokolltyp | Protokollnummer | Port | Quell-IP | Hinweise |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Lässt eingehenden HTTP-Zugriff von jeder IPv4-Adresse zu |
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Lässt eingehenden HTTPS-Zugriff von jeder IPv4-Adresse zu |
| TCP | 6 | 80 (HTTP) | ::/0 | Lässt eingehenden HTTP-Zugriff von jeder IPv6-Adresse zu |
| TCP | 6 | 443 (HTTPS) | ::/0 | Lässt eingehenden HTTPS-Zugriff von jeder IPv6-Adresse zu |
Datenbankserverregeln
Die folgenden eingehenden Regeln sind Beispiele für Regeln, die Sie für den Datenbankzugriff hinzufügen können, je nachdem, auf welcher Art von Datenbank Ihre Instance ausgeführt wird. Weitere Informationen zu Amazon RDS-Instances finden Sie im Amazon RDS-Benutzerhandbuch.
geben Sie für die Quell-IP eine der folgenden Optionen an:
-
Eine bestimmte IP-Adresse oder ein Bereich von IP-Adressen (in CIDR-Block-Notation) in Ihrem On-Premises-Netzwerk
-
Eine Sicherheitsgruppen-ID für eine Gruppe von Instances, die auf die Datenbank zugreifen.
| Protokolltyp | Protokollnummer | Port | Hinweise |
|---|---|---|---|
| TCP | 6 | 1433 (MS SQL) | Der Standardport für den Zugriff auf eine Microsoft SQL Server-Datenbank, beispielsweise, auf einer Amazon RDS-Instance |
| TCP | 6 | 3306 (MYSQL/Aurora) | Der Standardport für den Zugriff auf eine MySQL- oder Aurora-Datenbank, beispielsweise, auf einer Amazon RDS-Instance |
| TCP | 6 | 5439 (Redshift) | Der Standardport für den zugriff auf eine Amazon Redshift-Cluster-Datenbank |
| TCP | 6 | 5432 (PostgreSQL) | Der Standardport für den Zugriff auf eine PostgreSQL-Datenbank, beispielsweise, auf einer Amazon RDS-Instance |
| TCP | 6 | 1521 (Oracle) | Der Standardport für den Zugriff auf eine Oracle-Datenbank, beispielsweise, auf einer Amazon RDS-Instance |
Sie können optional den ausgehenden Verkehr von Ihren Datenbankservern einschränken. Sie könnten zum Beispiel den Zugriff auf das Internet für Softwareupdates erlauben, aber alle anderen Arten des Datenverkehrs einschränken. Sie müssen zuerst die standardmäßige ausgehende Regel entfernen, die allen ausgehenden Datenverkehr zulässt.
| Protokolltyp | Protokollnummer | Port | Ziel-IP | Hinweise |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Lässt ausgehenden HTTP-Zugriff auf jede IPv4-Adresse zu |
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Lässt ausgehenden HTTPS-Zugriff auf jede IPv4-Adresse zu |
| TCP | 6 | 80 (HTTP) | ::/0 | (Nur IPv6-fähige VPC) Lässt ausgehenden HTTP-Zugriff auf jede IPv6-Adresse zu |
| TCP | 6 | 443 (HTTPS) | ::/0 | (Nur IPv6-fähige VPC) Lässt ausgehenden HTTPS-Zugriff auf jede IPv6-Adresse zu |
Regeln für die Verbindung mit Instances von Ihrem Computer aus
Um Ihre Instance zu verbinden, muss Ihre Sicherheitsgruppe über eingehende Regeln verfügen, die den SSH-Zugriff (für Linux-Instances) oder den RDP-Zugriff (für Windows-Instances) erlauben.
| Protokolltyp | Protokollnummer | Port | Quell-IP |
|---|---|---|---|
| TCP | 6 | 22 (SSH) | Die öffentliche IPv4-Adresse Ihres Computers bzw. ein Bereich von IP-Adressen in Ihrem On-Premises-Netzwerk. Wenn Ihre VPC IPv6-fähig ist und Ihre Instance eine IPv6-Adresse hat, können Sie eine(n) IPv6-Adresse oder -Bereich eingeben. |
| TCP | 6 | 3389 (RDP) | Die öffentliche IPv4-Adresse Ihres Computers bzw. ein Bereich von IP-Adressen in Ihrem On-Premises-Netzwerk. Wenn Ihre VPC IPv6-fähig ist und Ihre Instance eine IPv6-Adresse hat, können Sie eine(n) IPv6-Adresse oder -Bereich eingeben. |
Regeln für die Verbindung mit Instances von einer Instance mit der gleichen Sicherheitsgruppe aus
Um zuzulassen, dass Instances, die mit derselben Sicherheitsgruppe verbunden sind, miteinander kommunizieren, müssen Sie eine ausdrückliche Regel dafür hinzufügen.
Anmerkung
Wenn Sie Routen konfigurieren, um den Datenverkehr zwischen zwei Instances in unterschiedlichen Subnetzen über eine Middlebox-Appliance weiterzuleiten, müssen Sie sicherstellen, dass die Sicherheitsgruppen für beide Instances den Datenverkehr zwischen den Instances zulassen. Die Sicherheitsgruppe für jede Instance muss die private IP-Adresse der anderen Instance oder den CIDR-Bereich des Subnetzes, das die andere Instance enthält, als Quelle referenzieren. Wenn Sie die Sicherheitsgruppe der anderen Instance als Quelle referenzieren, wird dadurch kein Datenverkehr zwischen den Instances möglich.
Die folgende Tabelle beschreibt die eingehende Regel für eine Sicherheitsgruppe, die zugehörigen Instances erlaubt, miteinander zu kommunizieren. Die Regel lässt alle Arten von Datenverkehr zu.
| Protokolltyp | Protokollnummer | Ports | Quell-IP |
|---|---|---|---|
| -1 (All) | -1 (All) | -1 (All) | Die ID der Sicherheitsgruppe oder der CIDR-Bereich des Subnetzes, das die andere Instance enthält (siehe Hinweis). |
Regeln für Ping/ICMP
Der ping-Befehl ist eine Art von ICMP-Datenverkehr. Um Ihre Instance anzupingen, müssen Sie eine der folgenden ICMP-Regeln für eingehenden Datenverkehr hinzufügen.
| Typ | Protokoll | Quelle |
|---|---|---|
| Benutzerdefiniertes ICMP – IPv4 | Echo-Anforderung | Die öffentliche IPv4-Adresse Ihres Computers, eine bestimmte IPv4-Adresse oder eine IPv4- oder IPv6-Adresse von einem beliebigen Ort. |
| Alle ICMP - IPv4 | IPv4 ICMP (1) | Die öffentliche IPv4-Adresse Ihres Computers, eine bestimmte IPv4-Adresse oder eine IPv4- oder IPv6-Adresse von einem beliebigen Ort. |
Zur Verwendung des ping6-Befehls zum Pinging der IPv6-Adresse für Ihre Instance müssen Sie die folgende eingehende ICMPv6-Regel hinzufügen.
| Typ | Protokoll | Quelle |
|---|---|---|
| Alle ICMP – IPv6 | IPv6 ICMP (58) | Die IPv6-Adresse Ihres Computers, eine bestimmte IPv4-Adresse oder eine IPv4- oder IPv6-Adresse von einem beliebigen Ort. |
DNS-Server-Regeln
Wenn Sie Ihre EC2-Instance als DNS-Server eingerichtet haben, müssen Sie sicherstellen, dass TCP- und UDP-Datenverkehr Ihren DNS-Server über Port 53 erreichen kann.
geben Sie für die Quell-IP eine der folgenden Optionen an:
-
Eine IP-Adresse oder ein Bereich von IP-Adressen (in CIDR-Block-Notation) in einem Netzwerk
-
Eine Sicherheitsgruppen-ID für eine Gruppe von Instances in Ihrem Netzwerk, die Zugriff auf den DNS-Server benötigen
| Protokolltyp | Protokollnummer | Port |
|---|---|---|
| TCP | 6 | 53 |
| UDP | 17 | 53 |
Amazon EFS-Regeln
Wenn Sie ein Amazon EFS-Dateisystem mit Ihren Amazon EC2-Instances verwenden, muss die Sicherheitsgruppe, die Sie mit Ihren Amazon EFS-Mountingzielen verbinden, den Datenverkehr über das NFS-Protokoll zulassen.
| Protokolltyp | Protokollnummer | Ports | Quell-IP | Hinweise |
|---|---|---|---|---|
| TCP | 6 | 2049 (NFS) | Die ID der Sicherheitsgruppe | Erlaubt den eingehenden NFS-Zugriff von Ressourcen (einschließlich des Mountingziels), die mit dieser Sicherheitsgruppe verbunden sind |
Zum Mounting eines Amazon EFS-Dateisystems auf Ihrer Amazon EC2-Instance müssen Sie eine Verbindung zu Ihrer Instance herstellen. Daher muss die mit Ihrer Instance verbundene Sicherheitsgruppe über Regeln verfügen, die den eingehenden SSH-Datenverkehr von ihrem lokalen Computer oder lokalen Netzwerk aus zulassen.
| Protokolltyp | Protokollnummer | Ports | Quell-IP | Hinweise |
|---|---|---|---|---|
| TCP | 6 | 22 (SSH) | Der IP-Adressbereich Ihres lokalen Computers bzw. der Bereich von IP-Adressen (in CIDR-Block-Notation) für Ihr Netzwerk. | Lässt eingehenden SSH-Zugriff von Ihrem lokalen Computer zu. |
Elastic Load Balancing-Regeln
Wenn Sie einen Load Balancer verwenden, muss die mit Ihrem Load Balancer verbundene Sicherheitsgruppe über Regeln verfügen, die die Kommunikation mit Ihren Instances oder Zielen erlauben. Weitere Informationen finden Sie unter Konfigurieren von Sicherheitsgruppen für Ihren Classic Load Balancer in Benutzerhandbuch für Classic Load Balancer und Sicherheitsgruppen für Ihren Application Load Balancer in Benutzerhandbuch für Application Load Balancer.
VPC-Peering-Regeln
Sie können die eingehenden oder ausgehenden Regeln für die VPC-Sicherheitsgruppen aktualisieren, um auf Sicherheitsgruppen in der über Peering verbundenen VPC zu verweisen. Danach kann der Datenverkehr von und zu den Instances fließen, die der referenzierten Sicherheitsgruppe in der über Peering verbundenen VPC zugewiesen sind. Weitere Informationen zum Konfigurieren von Sicherheitsgruppen für VPC-Peering finden Sie unter Aktualisieren der Sicherheitsgruppen, um auf Peer-VPC-Gruppen zu verweisen.
