Sicherheitsgruppenregeln - Amazon Elastic Compute Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheitsgruppenregeln

Die Regeln einer Sicherheitsgruppe steuern den eingehenden Datenverkehr, der die Instances erreichen darf, die der Sicherheitsgruppe zugeordnet sind. Die Regeln steuern auch den ausgehenden Datenverkehr, der sie verlassen darf.

Es folgen die grundlegenden Merkmale von Sicherheitsgruppenregeln:

  • Standardmäßig enthalten Sicherheitsgruppen ausgehende Regeln, die den gesamten ausgehenden Datenverkehr zulassen. Sie können diese Regeln löschen. Beachten Sie, dass Amazon EC2 standardmäßig Traffic auf Port 25 blockiert. Weitere Informationen finden Sie unter Einschränkung für E-Mails, die über Port 25 gesendet werden.

  • Sicherheitsgruppenregeln sind stets zulassend, Sie können keine Regeln erstellen, die den Zugriff verweigern.

  • Mithilfe von Sicherheitsgruppenregeln können Sie Datenverkehr basierend auf Protokollen und Portnummern filtern.

  • Sicherheitsgruppen sind zustandsbehaftet — wenn Sie von Ihrer Instance eine Anforderung senden, wird der Antwortdatenverkehr für diese Anforderung zugelassen, unabhängig der für diese Sicherheitsgruppe geltenden Regeln für eingehenden Datenverkehr. Für VPC-Sicherheitsgruppen bedeutet dies auch, dass Antworten auf zulässigen eingehenden Datenverkehr ausgehen können, unabhängig von ausgehenden Regeln. Weitere Informationen finden Sie unter Verbindungsverfolgung von Sicherheitsgruppen.

  • Sie können Regeln jederzeit hinzufügen oder entfernen. Ihre Änderungen werden automatisch auf die Instances angewendet, die der Sicherheitsgruppe zugeordnet sind.

    Die Auswirkung einiger Regeländerungen kann davon abhängen, wie der Datenverkehr nachverfolgt wird. Weitere Informationen finden Sie unter Verbindungsverfolgung von Sicherheitsgruppen.

  • Wenn Sie mehrere Sicherheitsgruppen mit einer Instance verbinden, werden die Regeln jeder Sicherheitsgruppe effektiv zu einem einzigen Regelsatz zusammengeführt. Mit diesem Regelsatz bestimmt Amazon EC2, ob der Zugriff erlaubt ist.

    Sie können einer Instance mehrere Sicherheitsgruppen zuweisen. Daher kann eine Instance Hunderte von Regeln haben, die angewendet werden. Dies kann beim Zugriff auf die Instance zu Problemen führen. Wir empfehlen, dass Sie Ihre Regeln so weit wie möglich verdichten.

Anmerkung

Sicherheitsgruppen können DNS-Anfragen an oder vom Route 53 Resolver, der manchmal auch als „VPC+2-IP-Adresse“ bezeichnet wird, nicht blockieren (siehe Was ist Amazon Route 53 Resolver? im Amazon Route 53 Developer Guide) oder im 'AmazonProvidedDNS' (siehe Arbeiten mit DHCP-Optionssätzen im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch). Wenn Sie DNS-Anfragen über den Route 53 Resolver filtern möchten, können Sie die Route-53-Resolver-DNS-Firewall aktivieren (Informationen unter Route-53-Resolver-DNS-Firewall im Amazon-Route-53-Entwicklerhandbuch).

Für jede Regel geben Sie Folgendes an:

  • Name: Der Name für die Sicherheitsgruppe (z. B. "my-security-group„).

    Ein Name kann bis zu 255 Zeichen lang sein. Zulässige Zeichen sind a-z, A-Z, 0-9, , Leerzeichen und ._-:/()#,@[]+=;{}!$*. Wenn der Name nachgestellte Leerzeichen enthält, werden die Leerzeichen beim Speichern des Namens gekürzt. Wenn Sie beispielsweise „Sicherheitsgruppe testen“ als Namen eingeben, wird er als „Sicherheitsgruppe testen“ gespeichert.

  • Protokoll: Das zulässige Protokoll. Die üblichsten Protokolle sind 6 (TCP) 17 (UDP) und 1 (ICMP).

  • Portbereich: zulässiger Portbereich für TCP, UDP oder ein benutzerdefiniertes Protokoll. Sie können eine einzelne Portnummer (zum Beispiel 22) oder einen Bereich von Portnummern (zum Beispiel 7000-8000) angeben.

  • ICMP-Typ und -Code: Für ICMP der ICMP-Typ und -Code. Verwenden Sie beispielsweise Typ 8 für ICMP-Echo-Anfrage oder Typ 128 für ICMPv6-Echo-Anfrage.

  • Quelle oder Ziel: Die Quelle (eingehende Regeln) oder das Ziel (ausgehende Regeln), die für den Datenverkehr zugelassen sind. Geben Sie eines der folgenden Elemente an:

    • Eine einzelne IPv4-Adresse. Sie müssen die /32-Präfixlänge verwenden. z. B. 203.0.113.1/32.

    • Eine einzelne IPv6-Adresse. Sie müssen die /128-Präfixlänge verwenden. z. B. 2001:db8:1234:1a00::123/128.

    • Einen Bereich von IPv4-Adressen, in CIDR-Block-Notation. z. B. 203.0.113.0/24.

    • Einen Bereich von IPv6-Adressen, in CIDR-Block-Notation. z. B. 2001:db8:1234:1a00::/64.

    • Die ID einer Präfixliste. z. B. pl-1234abc1234abc123. Weitere Informationen finden Sie unter Präfixlisten im Amazon VPC Benutzerhandbuch.

    • Die ID einer Sicherheitsgruppe (hier als angegebene Sicherheitsgruppe bezeichnet). Zum Beispiel die aktuelle Sicherheitsgruppe, eine Sicherheitsgruppe aus derselben VPC oder eine Sicherheitsgruppe für eine Peered-VPC. Dies ermöglicht Datenverkehr basierend auf den privaten IP-Adressen der Ressourcen, die der angegebenen Sicherheitsgruppe zugeordnet sind. Hierdurch werden der aktuellen Sicherheitsgruppe keine Regeln von der angegebenen Sicherheitsgruppe hinzugefügt.

  • (Optional) Beschreibung: Sie können eine Beschreibung für die Regel hinzufügen, die Ihnen helfen kann, sie später zu identifizieren. Eine Beschreibung kann bis zu 255 Zeichen lang sein. Zulässige Zeichen sind a-z, A-Z, 0-9, , Leerzeichen und ._-:/()#,@[]+=;{}!$*.

Wenn Sie eine Sicherheitsgruppenregel erstellen, AWS weist Sie der Regel eine eindeutige ID zu. Sie können die ID einer Regel verwenden, wenn Sie die API oder CLI verwenden, um die Regel zu ändern oder zu löschen.

Wenn Sie eine Sicherheitsgruppe als Quelle oder Ziel für eine Regel angeben, wirkt sich die Regel auf alle Instances aus, die der Sicherheitsgruppe zugeordnet sind. Eingehender Verkehr ist basierend auf den privaten IP-Adressen der Instances erlaubt, die der Quellsicherheitsgruppe zugeordnet sind (und nicht auf den öffentlichen IP- oder Elastic IP-Adressen). Weitere Informationen über IP-Adressen finden Sie unter IP-Adressierung von Amazon EC2-Instances. Wenn Ihre Sicherheitsgruppenregel auf eine gelöschte Sicherheitsgruppe in derselben VPC oder in einer Peer-VPC verweist oder wenn sie auf eine Sicherheitsgruppe in einer Peer-VPC verweist, für die die VPC-Peering-Verbindung gelöscht wurde, wird die Regel als veraltet markiert. Weitere Informationen finden Sie unter Arbeiten mit veralteten Sicherheitsgruppenregeln im Amazon VPC Peering Guide.

Wenn mehr als eine Regel für einen bestimmten Port vorliegt, wendet Amazon EC2 die toleranteste Regel an. Wenn Sie beispielsweise über eine Regel verfügen, die den Zugriff auf TCP-Port 22 (SSH) von der IP-Adresse 203.0.113.1 aus ermöglicht, und eine weitere Regel, die allen den Zugriff auf TCP-Port 22 ermöglicht, dann hat jeder Zugriff auf TCP-Port 22.

Wenn Sie Regeln hinzufügen, aktualisieren oder entfernen, gelten diese Änderungen automatisch für die Instances, die der Sicherheitsgruppe zugewiesen sind.