WKLD.11 — Beschränken Sie den Netzwerkzugriff mithilfe von Sicherheitsgruppen

Verwenden Sie Sicherheitsgruppen, um den Datenverkehr zu EC2 Instances, RDS Datenbanken und anderen unterstützten Ressourcen zu kontrollieren. Sicherheitsgruppen fungieren als virtuelle Firewall, die auf jede Gruppe verwandter Ressourcen angewendet werden kann, um konsistente Regeln für die Zulassung von eingehendem und ausgehendem Datenverkehr zu definieren. Zusätzlich zu Regeln, die auf IP-Adressen und Ports basieren, unterstützen Sicherheitsgruppen Regeln, die den Datenverkehr von Ressourcen zulassen, die anderen Sicherheitsgruppen zugeordnet sind. Eine Datenbanksicherheitsgruppe kann beispielsweise Regeln enthalten, die nur den Datenverkehr einer Anwendungsserver-Sicherheitsgruppe zulassen.

Standardmäßig lassen Sicherheitsgruppen den gesamten ausgehenden Datenverkehr, aber keinen eingehenden Datenverkehr zu. Die Regel für ausgehenden Verkehr kann entfernt werden, oder Sie können zusätzliche Regeln konfigurieren, um ausgehenden Verkehr einzuschränken und eingehenden Verkehr zuzulassen. Wenn die Sicherheitsgruppe keine Regeln für den ausgehenden Verkehr hat, ist kein ausgehender Verkehr von Ihrer Instance erlaubt. Weitere Informationen finden Sie unter Steuern des Datenverkehrs zu Ressourcen mithilfe von Sicherheitsgruppen (VPCAmazon-Dokumentation).

Im folgenden Beispiel gibt es drei Sicherheitsgruppen, die den Datenverkehr von einem Application Load Balancer zu EC2 Instances steuern, die eine Verbindung zu einer Amazon RDS for SQL My-Datenbank herstellen.

Sicherheitsgruppe	Regeln für eingehenden Datenverkehr	Regeln für ausgehenden Datenverkehr
Sicherheitsgruppe für Application Load Balancer	Beschreibung: HTTPS Verkehr von überall zulassen Typ: HTTPS Quelle: Anywhere- IPv4 (0.0.0.0/0)	Beschreibung: Gesamten Datenverkehr überall hin zulassen Typ: Gesamter Datenverkehr Ziel: Anywhere- IPv4 (0.0.0.0/0)
EC2Instanz-Sicherheitsgruppe	Beschreibung: HTTP Datenverkehr vom Application Load Balancer zulassen Typ: HTTP Quelle: Sicherheitsgruppe für Application Load Balancer	Beschreibung: Gesamten Datenverkehr überall hin zulassen Typ: Gesamter Datenverkehr Ziel: Anywhere- IPv4 (0.0.0.0/0)
RDSDatenbank-Sicherheitsgruppe	Beschreibung: Meinen SQL Datenverkehr von der EC2 Instanz zulassen Typ: Mein SQL Quelle: EC2 Instanz-Sicherheitsgruppe	Keine Regeln für ausgehenden Datenverkehr

Sicherheitsgruppe

Regeln für eingehenden Datenverkehr

Regeln für ausgehenden Datenverkehr

Sicherheitsgruppe für Application Load Balancer

Beschreibung: HTTPS Verkehr von überall zulassen

Typ: HTTPS

Quelle: Anywhere- IPv4 (0.0.0.0/0)

Beschreibung: Gesamten Datenverkehr überall hin zulassen

Typ: Gesamter Datenverkehr

Ziel: Anywhere- IPv4 (0.0.0.0/0)

EC2Instanz-Sicherheitsgruppe

Beschreibung: HTTP Datenverkehr vom Application Load Balancer zulassen

Typ: HTTP

Quelle: Sicherheitsgruppe für Application Load Balancer

Beschreibung: Gesamten Datenverkehr überall hin zulassen

Typ: Gesamter Datenverkehr

Ziel: Anywhere- IPv4 (0.0.0.0/0)

RDSDatenbank-Sicherheitsgruppe

Beschreibung: Meinen SQL Datenverkehr von der EC2 Instanz zulassen

Typ: Mein SQL

Quelle: EC2 Instanz-Sicherheitsgruppe

Keine Regeln für ausgehenden Datenverkehr

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

WKLD.10 — Stellen Sie private Ressourcen in privaten Subnetzen bereit

WKLD.12 — Verwenden Sie VPC Endpunkte, um auf Dienste zuzugreifen