Zugriffskontrolle mit Sicherheitsgruppen - Amazon Relational Database Service
Überblick über VPC-SicherheitsgruppenSicherheitsgruppenszenarioErstellen einer VPC-SicherheitsgruppeVerknüpfen mit einer DB-Instance

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriffskontrolle mit Sicherheitsgruppen

VPC-Sicherheitsgruppen steuern den Zugriff, den der Datenverkehr innerhalb und außerhalb eines hat. Standardmäßig ist der Netzwerkzugriff für einen deaktiviert. Sie können Regeln in einer Sicherheitsgruppe angeben, die den Zugriff aus einem IP-Adressbereich, über einen Port oder für eine Sicherheitsgruppe zulassen. Nach der Konfiguration der Eingangsregeln gelten dieselben Regeln für alle , die dieser Sicherheitsgruppe zugeordnet sind. Sie können bis zu 20 Regeln in einer Sicherheitsgruppe angeben.

Überblick über VPC-Sicherheitsgruppen

Jede VPC-Sicherheitsgruppenregel ermöglicht es einer bestimmten Quelle, auf einen in einer VPC zuzugreifen, der dieser VPC-Sicherheitsgruppe zugeordnet ist. Die Quelle kann ein Adressenbereich (zum Beispiel: 203.0.113.0/24) oder eine andere VPC-Sicherheitsgruppe sein. Wenn Sie eine VPC-Sicherheitsgruppe als Quelle festlegen, erlauben Sie eingehenden Datenverkehr von allen Instances (typischerweise Anwendungsserver), die Quell-VPC-Sicherheitsgruppe verwenden. VPC-Sicherheitsgruppen können über Regeln verfügen, die den eingehenden und ausgehenden Datenverkehr regulieren. Die Regeln für ausgehenden Verkehr gelten nur, wenn der als Client fungiert. Zum Beispiel gelten Regeln für ausgehenden Datenverkehr für eine Oracle DB-Instance mit ausgehenden Datenbankverknüpfungen. Sie müssen die EC2Amazon-API oder die Sicherheitsgruppenoption auf der VPC-Konsole verwenden, um VPC-Sicherheitsgruppen zu erstellen.

Wenn Sie Regeln für Ihre VPC-Sicherheitsgruppe erstellen, die den Zugriff auf die in Ihrer VPC ermöglichen, müssen Sie einen Port für jeden Adressbereich angeben, für den die Regel Zugriff gewährt. Wenn Sie beispielsweise SSH-Zugriff auf Instances in der VPC aktivieren möchten, dann erstellen Sie eine Regel, die Zugriff auf TCP-Port 22 für den bestimmten Adressbereich zulässt.

Sie können mehrere VPC-Sicherheitsgruppen konfigurieren, die Zugriff auf verschiedenen Ports für verschiedenen Instances in Ihrer VPC zulassen. Beispielsweise können Sie eine VPC-Sicherheitsgruppe erstellen, die den Zugriff auf TCP-Port 80 für Webserver in Ihrer VPC ermöglicht. Anschließend können Sie eine weitere VPC-Sicherheitsgruppe erstellen, die den Zugriff auf den TCP-Port 3306 für RDS für MySQL-DB-Instances in Ihrer VPC ermöglicht.

Weitere Informationen zu VPC-Sicherheitsgruppen finden Sie unter Sicherheitsgruppen im Amazon Virtual Private Cloud-Benutzerhandbuch.

Anmerkung

Wenn sich Ihr in einer VPC befindet, aber nicht öffentlich zugänglich ist, können Sie auch eine AWS Site-to-Site VPN-Verbindung oder eine AWS Direct Connect Verbindung verwenden, um von einem privaten Netzwerk aus darauf zuzugreifen. Weitere Informationen finden Sie unter Richtlinie für den Datenverkehr zwischen Netzwerken.

Sicherheitsgruppenszenario

Ein in einer VPC wird häufig verwendet, um Daten mit einem Anwendungsserver gemeinsam zu nutzen, der in einer EC2 Amazon-Instance in derselben VPC ausgeführt wird, auf die von einer Client-Anwendung außerhalb der VPC zugegriffen wird. In diesem Szenario verwenden Sie die RDS- und VPC-Seiten der AWS Management Console oder die RDS- und EC2 API-Operationen, um die erforderlichen Instances und Sicherheitsgruppen zu erstellen:

  1. Erstellen einer VPC-Sicherheitsgruppe (zum Beispiel sg-0123ec2example) und Definieren von eingehenden Regeln, welche die IP-Adressen der Client-Anwendung als Quelle verwenden. Diese Sicherheitsgruppe ermöglicht es Ihrer Client-Anwendung, eine Verbindung zu EC2 Instances in einer VPC herzustellen, die diese Sicherheitsgruppe verwendet.

  2. Erstellen Sie eine EC2 Instanz für die Anwendung und fügen Sie die EC2 Instanz der VPC-Sicherheitsgruppe (sg-0123ec2example) hinzu, die Sie im vorherigen Schritt erstellt haben.

  3. Erstellen Sie eine zweite VPC-Sicherheitsgruppe (zum Beispiel sg-6789rdsexample) und erstellen Sie eine neue Regel durch Festlegen der VPC-Sicherheitsregel, die Sie in Schritt 1 (sg-0123ec2example) als Quelle erstellt haben.

  4. Erstellen Sie einen neuen und fügen Sie den der VPC-Sicherheitsgruppe (sg-6789rdsexample) hinzu, die Sie im vorherigen Schritt erstellt haben. Wenn Sie den erstellen, verwenden Sie dieselbe Portnummer wie die, die Sie für die VPC-Sicherheitsgruppe (sg-6789rdsexample) -Regel angegeben haben, die Sie in Schritt 3 erstellt haben.

Im folgenden Diagramm wird dieses Szenario veranschaulicht.

und EC2 Instance in einer VPC

Ausführliche Anweisungen zur Konfiguration einer VPC für dieses Szenario finden Sie unterTutorial: Eine VPC zur Verwendung mit einem erstellen (IPv4 nur). Weitere Hinweise zur Verwendung einer VPC finden Sie unterAmazon VPC und Amazon RDS.

Erstellen einer VPC-Sicherheitsgruppe

Sie können unter Verwendung der VPC-Konsole eine VPC-Sicherheitsgruppe für eine DB-Instance erstellen. Weitere Informationen zum Erstellen einer Sicherheitsgruppe finden Sie unter Ermöglichen Sie Zugriff auf Ihre DB-Instance in Ihrem, VPC indem Sie eine Sicherheitsgruppe erstellen und Sicherheitsgruppen im Amazon Virtual Private Cloud-Benutzerhandbuch.

Verknüpfen einer Sicherheitsgruppe mit einer DB-Instance

Sie können einer DB-Instance eine Sicherheitsgruppe zuordnen, indem Sie Modify auf der RDS-Konsole, die ModifyDBInstance Amazon RDS-API oder den modify-db-instance AWS CLI Befehl verwenden.

Das folgende CLI-Beispiel ordnet eine bestimmte VPC-Sicherheitsgruppe zu und entfernt DB-Sicherheitsgruppen aus der DB-Instance

aws rds modify-db-instance --db-instance-identifier dbName --vpc-security-group-ids sg-ID

Hinweise zum Ändern einer DB-Instance finden Sie unterÄndern einer Amazon RDS DB-Instance. Hinweise zu Sicherheitsgruppen bei der Wiederherstellung einer DB-Instance aus einem DB-Snapshot finden Sie unterÜberlegungen zu Sicherheitsgruppen.

Anmerkung

Die RDS-Konsole zeigt verschiedene Sicherheitsgruppenregelnamen für Ihre Datenbank an, wenn der Portwert auf einen anderen Wert als den Standardwert konfiguriert ist.

Für RDS for Oracle DB-Instances können zusätzliche Sicherheitsgruppen zugeordnet werden, indem die Einstellungen für die Sicherheitsgruppenoptionen für die Optionen Oracle Enterprise Manager Database Express (OEM), Oracle Management Agent for Enterprise Manager Cloud Control (OEM Agent) und Oracle Secure Sockets Layer aufgefüllt werden. In diesem Fall gelten sowohl die der DB-Instance zugewiesenen Sicherheitsgruppen als auch die Optionseinstellungen für die DB-Instance. Weitere Informationen zu diesen Optionsgruppen finden Sie unter Oracle Enterprise ManagerOracle Management Agent für Enterprise Cloud Control, undOracle Secure Sockets Layer.