Sicherheitsgruppenregeln - Amazon Elastic Compute Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheitsgruppenregeln

Die Regeln einer Sicherheitsgruppe steuern den eingehenden Datenverkehr, der die Instances erreichen darf, die der Sicherheitsgruppe zugeordnet sind. Die Regeln steuern auch den ausgehenden Datenverkehr, der sie verlassen darf.

Es folgen die grundlegenden Merkmale von Sicherheitsgruppenregeln:

  • Standardmäßig gestatten Sicherheitsgruppen allen ausgehenden Datenverkehr. Beachten Sie, dass Amazon EC2 standardmäßig Traffic auf Port 25 blockiert. Weitere Informationen finden Sie unter Einschränkung für E-Mails, die über Port 25 gesendet werden.

  • Sicherheitsgruppenregeln sind stets zulassend, Sie können keine Regeln erstellen, die den Zugriff verweigern.

  • Mithilfe von Sicherheitsgruppenregeln können Sie Datenverkehr basierend auf Protokollen und Portnummern filtern.

  • Sicherheitsgruppen sind zustandsbehaftet — wenn Sie von Ihrer Instance eine Anforderung senden, wird der Antwortdatenverkehr für diese Anforderung zugelassen, unabhängig der für diese Sicherheitsgruppe geltenden Regeln für eingehenden Datenverkehr. Für VPC-Sicherheitsgruppen bedeutet dies auch, dass Antworten auf zulässigen eingehenden Datenverkehr ausgehen können, unabhängig von ausgehenden Regeln. Weitere Informationen finden Sie unter Verfolgung von Verbindungen.

  • Sie können Regeln jederzeit hinzufügen oder entfernen. Ihre Änderungen werden automatisch auf die Instances angewendet, die der Sicherheitsgruppe zugeordnet sind.

    Die Auswirkung einiger Regeländerungen kann davon abhängen, wie der Datenverkehr nachverfolgt wird. Weitere Informationen finden Sie unter Verfolgung von Verbindungen.

  • Wenn Sie mehrere Sicherheitsgruppen mit einer Instance verbinden, werden die Regeln jeder Sicherheitsgruppe effektiv zu einem einzigen Regelsatz zusammengeführt. Amazon EC2 verwendet diesen Regelsatz, um zu bestimmen, ob der Zugriff zugelassen werden soll.

    Sie können einer Instance mehrere Sicherheitsgruppen zuweisen. Daher kann eine Instance Hunderte von Regeln haben, die angewendet werden. Dies kann beim Zugriff auf die Instance zu Problemen führen. Wir empfehlen, dass Sie Ihre Regeln so weit wie möglich verdichten.

Für jede Regel geben Sie Folgendes an:

  • Name: Der Name für die Sicherheitsgruppe (z. B. my-security-group).

    Ein Name kann bis zu 255 Zeichen lang sein. Zulässige Zeichen sind a-z, A-Z, 0-9, , Leerzeichen und ._-:/()#,@[]+=;{}!$*. Wenn der Name nachgestellte Leerzeichen enthält, werden die Leerzeichen beim Speichern des Namens gekürzt. Wenn Sie beispielsweise „Sicherheitsgruppe testen “ als Namen eingeben, wird er als „Sicherheitsgruppe testen“ gespeichert.

  • Protokoll: Das zulässige Protokoll. Die üblichsten Protokolle sind 6 (TCP) 17 (UDP) und 1 (ICMP).

  • Portbereich: zulässiger Portbereich für TCP, UDP oder ein benutzerdefiniertes Protokoll. Sie können eine einzelne Portnummer (zum Beispiel 22) oder einen Bereich von Portnummern (zum Beispiel 7000-8000) angeben.

  • ICMP-Typ und -Code: Für ICMP der ICMP-Typ und -Code.

  • Quelle oder Ziel: Die Quelle (eingehende Regeln) oder das Ziel (ausgehende Regeln) für den Datenverkehr. Geben Sie eine dieser Optionen an:

    • Eine individuelle IPv4-Adresse. Sie müssen die /32-Präfixlänge verwenden; zum Beispiel 203.0.113.1/32.

    • Eine individuelle IPv6-Adresse. Sie müssen die /128-Präfixlänge verwenden; zum Beispiel 2001:db8:1234:1a00::123/128.

    • Einen Bereich von IPv4-Adressen, in CIDR-Block-Notation, zum Beispiel 203.0.113.0/24.

    • Einen Bereich von IPv6-Adressen, in CIDR-Block-Notation, zum Beispiel 2001:db8:1234:1a00::/64.

    • Eine Präfixlisten-ID, z. B. pl-1234abc1234abc123. Weitere Informationen finden Sie unter Präfixlisten im Amazon VPC Benutzerhandbuch.

    • Eine weitere Sicherheitsgruppe. Dies ermöglicht Instances, die der angegebenen Sicherheitsgruppe zugeordnet sind, den Zugriff auf Instances, die dieser Sicherheitsgruppe zugeordnet sind. Wenn Sie diese Option wählen, werden Regeln aus der Quellsicherheitsgruppe nicht zu dieser Sicherheitsgruppe hinzugefügt. Sie können einen der folgenden Sicherheitsgruppen angeben:

      • Die aktuelle Sicherheitsgruppe

      • Eine andere Sicherheitsgruppe für dieselbe VPC

      • Eine andere Sicherheitsgruppe für eine Peer-VPC in einer VPC-Peering-Verbindung.

  • (Optional) Beschreibung: Sie können eine Beschreibung für die Regel hinzufügen, die Ihnen helfen kann, sie später zu identifizieren. Eine Beschreibung kann bis zu 255 Zeichen lang sein. Zulässige Zeichen sind a-z, A-Z, 0-9, , Leerzeichen und ._-:/()#,@[]+=;{}!$*.

Wenn Sie eine Sicherheitsgruppe als Quelle oder Ziel für eine Regel angeben, wirkt sich die Regel auf alle Instances aus, die der Sicherheitsgruppe zugeordnet sind. Eingehender Verkehr ist basierend auf den privaten IP-Adressen der Instances erlaubt, die der Quellsicherheitsgruppe zugeordnet sind (und nicht auf den öffentlichen IP- oder Elastic IP-Adressen). Weitere Informationen über IP-Adressen finden Sie unter IP-Adressierung von Amazon EC2-Instances. Wenn Ihre Sicherheitsgruppe auf eine Sicherheitsgruppe in einer Peer-VPC verweist und diese Sicherheitsgruppe oder die VPC-Peering-Verbindung gelöscht wird, wird die Regel als veraltet markiert. Weitere Informationen finden Sie unter Arbeiten mit veralteten Sicherheitsgruppenregeln im Amazon VPC Peering Guide.

Wenn mehr als eine Regel für einen bestimmten Port vorliegt, wendet Amazon EC2 die toleranteste Regel an. Zum Beispiel: Wenn Sie eine Regel haben, die den Zugriff auf TCP-Port 22 (SSH) von der IP-Adresse 203.0.113.1 erlaubt, und eine andere Regel den Zugriff auf TCP-Port 22 von überall aus gewährt, hat jeder Zugriff auf TCP-Port 22.