Python 2.7, 3.4 und 3.5 wird für den nicht mehr AWS CLI Version 1unterstützt. Weitere Informationen finden Sie im AWS CLI Version 1 Abschnitt von Über die AWS CLI Versionen.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellen, Konfigurieren und Löschen von Sicherheitsgruppen für Amazon EC2
Sie können eine Sicherheitsgruppe, die im Wesentlichen als Firewall fungiert, für Ihre Amazon Elastic Compute Cloud (Amazon EC2)-Instances mit Regeln erstellen, die den ein- und ausgehenden Netzwerkverkehr bestimmen.
Sie können Sicherheitsgruppen für die Verwendung in einer Virtual Private Cloud (VPC) oder einem geteilten, flachen EC2-Classic-Netzwerk erstellen. Weitere Informationen zu den Unterschieden zwischen EC2-Classic und EC2-VPC finden Sie unter Unterstützte Plattformen im Amazon EC2-Benutzerhandbuch für Linux-Instances.
Mit der AWS Command Line Interface (AWS CLI) erstellen Sie eine neue Sicherheitsgruppe, fügen Regeln zu vorhandenen Sicherheitsgruppen hinzu und löschen Sicherheitsgruppen.
Themen
Prerequisites
So führen Sie die aus ec2
müssen Sie:
-
Installieren und konfigurieren Sie die AWS CLI. Weitere Informationen finden Sie unter Installieren, Aktualisieren und Deinstallieren der AWS CLI und Konfigurationsgrundlagen.
-
Stellen Sie Ihre IAM Berechtigungen, um Amazon EC2 auf zugreifen. Weitere Informationen über IAM Berechtigungen für Amazon EC2, siehe IAM-Richtlinien für Amazon EC2 in der Amazon EC2-Benutzerhandbuch für Linux-Instances.
Erstellen einer Sicherheitsgruppe
Sie können Sicherheitsgruppen erstellen, die VPCs oder für EC2-Classic.
EC2-VPC
Im folgenden Beispiel wird gezeigt, wie Sie eine Sicherheitsgruppe für eine bestimmte VPC erstellen.
$
aws ec2 create-security-group --group-name
my-sg
--description "My security group
" --vpc-idvpc-1a2b3c4d
{ "GroupId": "sg-903004f8" }
Zum Anzeigen der Anfangsinformationen für eine Sicherheitsgruppe führen Sie den Befehl
describe-security-groups aus. Sie können auf eine EC2-VPC-Sicherheitsgruppe nur mit der vpc-id
und nicht mit ihrem Namen verweisen.
$
aws ec2 describe-security-groups --group-ids
sg-903004f8
{ "SecurityGroups": [ { "IpPermissionsEgress": [ { "IpProtocol": "-1", "IpRanges": [ { "CidrIp": "0.0.0.0/0" } ], "UserIdGroupPairs": [] } ], "Description": "My security group" "IpPermissions": [], "GroupName": "my-sg", "VpcId": "vpc-1a2b3c4d", "OwnerId": "123456789012", "GroupId": "sg-903004f8" } ] }
EC2-Classic
Im folgenden Beispiel wird gezeigt, wie Sie eine Sicherheitsgruppe für EC2-Classic erstellen.
$
aws ec2 create-security-group --group-name
my-sg
--description "My security group
"{ "GroupId": "sg-903004f8" }
Zum Anzeigen der Anfangsinformationen für my-sg
führen Sie den Befehl describe-security-groups aus. Auf eine EC2-Classic-Sicherheitsgruppe können Sie mit deren Namen verweisen.
$
aws ec2 describe-security-groups --group-names
my-sg
{ "SecurityGroups": [ { "IpPermissionsEgress": [], "Description": "My security group" "IpPermissions": [], "GroupName": "my-sg", "OwnerId": "123456789012", "GroupId": "sg-903004f8" } ] }
Hinzufügen von Regeln zu Ihrer Sicherheitsgruppe
Wenn Sie eine Amazon EC2-Instance ausführen, müssen Sie Regeln in der Sicherheitsgruppe aktivieren, um eingehenden Netzwerkverkehr für Ihre Art der Verbindung zum Abbild zu aktivieren.
Wenn Sie beispielsweise eine Windows-Instance starten, fügen Sie im Allgemeinen eine Regel hinzu, um eingehenden Datenverkehr über TCP-Port 3389 zu erlauben, um das Remote Desktop Protocol (RDP) zu unterstützen. Beim Starten einer Linux-Instance fügen Sie im Allgemeinen eine Regel hinzu, um eingehenden Datenverkehr über TCP-Port 22 zu erlauben, um SSH-Verbindungen zu unterstützen.
Fügen Sie mit dem Befehl authorize-security-group-ingress
eine Regel zu Ihrer Sicherheitsgruppe hinzu. Ein erforderlicher Parameter dieses
Befehls ist die öffentliche IP-Adresse Ihres Computers oder das Netzwerk (in Form
eines Adressbereichs), das mit Ihrem Computer verbunden ist. Dabei wird die CIDR
Mit unserem Service https://checkip.amazonaws.com/
EC2-VPC
Das folgende Beispiel zeigt, wie Sie einer EC2-VPC-Sicherheitsgruppe mit der ID eine
Regel für RDP (TCP-Port 3389) hinzufügen sg-903004f8
. (z. B.. In diesem Beispiel wird davon ausgegangen, dass der Client-Computer eine
Adresse irgendwo im CIDR-Bereich 203.0.113.0 / 24 hat.
Sie können zunächst bestätigen, dass Ihre öffentliche Adresse in den CIDR-Bereich 203.0.113.0/24 fällt.
$
curl https://checkip.amazonaws.com
203.0.113.57
Mit diesen Informationen können Sie den Bereich zur Sicherheitsgruppe hinzufügen,
indem Sie den Befehl authorize-security-group-ingress
ausführen.
$
aws ec2 authorize-security-group-ingress --group-id
sg-903004f8
--protocol tcp --port 3389 --cidr203.0.113.0/24
Der folgende Befehl fügt eine weitere Regel hinzu, um SSH-Instances in derselben Sicherheitsgruppe zu aktivieren.
$
aws ec2 authorize-security-group-ingress --group-id
sg-903004f8
--protocol tcp --port 22 --cidr203.0.113.0/24
Zum Anzeigen der Änderungen der Sicherheitsgruppe führen Sie den Befehl describe-security-groups aus.
$
aws ec2 describe-security-groups --group-ids
sg-903004f8
{ "SecurityGroups": [ { "IpPermissionsEgress": [ { "IpProtocol": "-1", "IpRanges": [ { "CidrIp": "0.0.0.0/0" } ], "UserIdGroupPairs": [] } ], "Description": "My security group" "IpPermissions": [ { "ToPort": 22, "IpProtocol": "tcp", "IpRanges": [ { "CidrIp": "203.0.113.0/24" } ] "UserIdGroupPairs": [], "FromPort": 22 } ], "GroupName": "my-sg", "OwnerId": "123456789012", "GroupId": "sg-903004f8" } ] }
EC2-Classic
Der folgende Befehl fügt der EC2-Classic-Sicherheitsgruppe eine Regel für RDP hinzu:
.
Meine-Sg
$
aws ec2 authorize-security-group-ingress --group-name
my-sg
--protocol tcp --port 3389 --cidr203.0.113.0/24
Mit diesem Befehl fügen Sie eine weitere Regel für SSH zur selben Sicherheitsgruppe hinzu.
$
aws ec2 authorize-security-group-ingress --group-name
my-sg
--protocol tcp --port 22 --cidr203.0.113.0/24
Zum Anzeigen der Änderungen der Sicherheitsgruppe führen Sie den Befehl describe-security-groups aus.
$
aws ec2 describe-security-groups --group-names
my-sg
{ "SecurityGroups": [ { "IpPermissionsEgress": [], "Description": "My security group" "IpPermissions": [ { "ToPort": 22, "IpProtocol": "tcp", "IpRanges": [ { "CidrIp": "203.0.113.0/24" } ] "UserIdGroupPairs": [], "FromPort": 22 } ], "GroupName": "my-sg", "OwnerId": "123456789012", "GroupId": "sg-903004f8" } ] }
Löschen Ihrer Sicherheitsgruppe
Zum Löschen einer Sicherheitsgruppe führen Sie den Befehl delete-security-group aus.
Sie können eine Sicherheitsgruppe nicht löschen, wenn sie aktuell an eine Umgebung angefügt ist.
EC2-VPC
Der folgende Befehl löscht die EC2-VPC-Sicherheitsgruppe.
$
aws ec2 delete-security-group --group-id
sg-903004f8
EC2-Classic
Der folgende Befehl löscht die EC2-Classic-Sicherheitsgruppe mit Namen my-sg
:
$
aws ec2 delete-security-group --group-name
my-sg