Identifizieren der referenzierten Sicherheitsgruppen Mit veralteten Sicherheitsgruppenregeln anzeigen und löschen

Aktualisieren Ihrer Sicherheitsgruppen, um auf Peer-Sicherheitsgruppen zu verweisen

Sie können die Regeln für eingehende oder ausgehende Nachrichten für Ihre VPC Sicherheitsgruppen so aktualisieren, dass sie auf Sicherheitsgruppen für Peering-Verbindungen verweisen. VPCs Auf diese Weise kann Datenverkehr zu und von Instances fließen, die der referenzierten Sicherheitsgruppe im Peering zugeordnet sind. VPC

Anmerkung

Sicherheitsgruppen in einem Peer VPC werden nicht in der Konsole angezeigt, sodass Sie sie auswählen können.

Voraussetzungen

Um auf eine Sicherheitsgruppe in einem Peer zu verweisenVPC, muss sich die VPC Peering-Verbindung im active Status befinden.
Der Peer VPC kann VPC in Ihrem Konto oder VPC in einem anderen AWS Konto sein. Wenn Sie auf eine Sicherheitsgruppe verweisen möchten, die sich in einem anderen AWS Konto, aber derselben Region befindet, geben Sie die Kontonummer mit der ID der Sicherheitsgruppe an. Beispiel, 123456789012/sg-1a2b3c4d.
Sie können nicht auf die Sicherheitsgruppe eines Peers verweisenVPC, der sich in einer anderen Region befindet. Verwenden Sie stattdessen den CIDR Block des PeersVPC.
Wenn Sie Routen konfigurieren, um den Datenverkehr zwischen zwei Instances in unterschiedlichen Subnetzen über eine Middlebox-Appliance weiterzuleiten, müssen Sie sicherstellen, dass die Sicherheitsgruppen für beide Instances den Datenverkehr zwischen den Instances zulassen. Die Sicherheitsgruppe für jede Instance muss die private IP-Adresse der anderen Instance oder den CIDR Bereich des Subnetzes, das die andere Instance enthält, als Quelle referenzieren. Wenn Sie die Sicherheitsgruppe der anderen Instance als Quelle referenzieren, wird dadurch kein Datenverkehr zwischen den Instances möglich.

So aktualisieren Sie Ihre Sicherheitsgruppenregeln mithilfe der Konsole

Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.
Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.
Wählen Sie die Sicherheitsgruppe aus und führen Sie einen der folgenden Schritte aus:
- Um die Regeln für eingehenden Datenverkehr zu ändern, wählen Sie Aktionen, Regeln für eingehenden Datenverkehr bearbeiten.
- Um die Regeln für ausgehenden Datenverkehr zu ändern, wählen Sie Aktionen, Regeln für ausgehenden Datenverkehr bearbeiten.
Um eine Regel hinzuzufügen, wählen Sie Regel hinzufügen und geben Sie bei Bedarf den Typ, das Protokoll und den Portbereich an. Führen Sie für Quelle (eingehende Regel) oder Ziel (ausgehende Regel) einen der folgenden Schritte aus:
- Geben Sie für einen Peer VPC mit demselben Konto und derselben Region die ID der Sicherheitsgruppe ein.
- Geben Sie für einen Peer VPC in einem anderen Konto, aber derselben Region die Konto-ID und die Sicherheitsgruppen-ID ein, getrennt durch einen Schrägstrich (z. B.123456789012/sg-1a2b3c4d).
- Geben Sie für einen Peer VPC in einer anderen Region den CIDR Block des Peers VPC ein.
Um eine bestehende Regel zu bearbeiten, ändern Sie ihre Werte (z. B. die Quelle oder die Beschreibung).
Um eine Regel zu löschen, wählen Sie die Schaltfläche ‭Löschen neben der Regel.
Wählen Sie Save rules (Regeln speichern) aus.

So aktualisieren Sie Regeln für eingehenden Datenverkehr über die Befehlszeile

authorize-security-group-ingress (AWS CLI)
Grant-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)
Revoke-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)
revoke-security-group-ingress (AWS CLI)

Verwenden Sie beispielsweise den folgenden Befehl, sg-aaaa1111 um Ihre Sicherheitsgruppe so zu aktualisierenVPC, dass sie eingehenden Zugriff HTTP von sg-bbbb2222 einem Peer aus ermöglicht. Wenn sich der Peer in derselben Region, aber in einem anderen Konto VPC befindet, fügen Sie hinzu --group-owner aws-account-id.


aws ec2 authorize-security-group-ingress --group-id sg-aaaa1111 --protocol tcp --port 80 --source-group sg-bbbb2222

So aktualisieren Sie Regeln für ausgehenden Datenverkehr über die Befehlszeile

authorize-security-group-egress (AWS CLI)
Grant-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)
Revoke-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)
revoke-security-group-egress (AWS CLI)

Nachdem Sie die Sicherheitsgruppenregeln aktualisiert haben, verwenden Sie den describe-security-groupsBefehl, um die Sicherheitsgruppe anzuzeigen, auf die in Ihren Sicherheitsgruppenregeln verwiesen wird.

Identifizieren der referenzierten Sicherheitsgruppen

Um festzustellen, ob in den Regeln einer Sicherheitsgruppe in einem Peer auf Ihre Sicherheitsgruppe verwiesen wirdVPC, verwenden Sie einen der folgenden Befehle für eine oder mehrere Sicherheitsgruppen in Ihrem Konto.

describe-security-group-references (AWS CLI)
Get-EC2SecurityGroupReference (AWS Tools for Windows PowerShell)
DescribeSecurityGroupReferences(EC2Amazon-AbfrageAPI)

Im folgenden Beispiel gibt die Antwort an, dass eine Sicherheitsgruppe von einer Sicherheitsgruppe in referenziert sg-bbbb2222 wird VPCvpc-aaaaaaaa:


aws ec2 describe-security-group-references --group-id sg-bbbb2222


{    
  "SecurityGroupsReferenceSet": [
    {
      "ReferencingVpcId": "vpc-aaaaaaaa",
      "GroupId": "sg-bbbb2222",
      "VpcPeeringConnectionId": "pcx-b04deed9"       
    }   
  ]
}

Wenn die VPC Peering-Verbindung gelöscht wird oder wenn der Besitzer des Peers die Sicherheitsgruppe VPC löscht, auf die verwiesen wird, ist die Sicherheitsgruppenregel veraltet.

Mit veralteten Sicherheitsgruppenregeln anzeigen und löschen

Eine veraltete Sicherheitsgruppenregel ist eine Regel, die auf eine gelöschte Sicherheitsgruppe in derselben VPC oder in einem Peer verweistVPC, oder die auf eine Sicherheitsgruppe in einem Peer verweist, VPC für den die VPC Peering-Verbindung gelöscht wurde. Wenn eine Sicherheitsgruppenregel veraltet ist, wird sie nicht automatisch aus der Sicherheitsgruppe entfernt – Sie müssen Sie manuell entfernen. Wenn eine Sicherheitsgruppenregel veraltet ist, weil die VPC Peering-Verbindung gelöscht wurde, wird die Regel nicht mehr als veraltet markiert, wenn Sie mit derselben eine neue VPC Peering-Verbindung erstellen. VPCs

Sie können die veralteten Sicherheitsgruppenregeln für a VPC mithilfe der VPC Amazon-Konsole anzeigen und löschen.

So zeigen Sie veraltete Sicherheitsgruppenregeln an und löschen sie

Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.
Wählen Sie im Navigationsbereich Security groups (Sicherheitsgruppen) aus.
Klicken Sie auf Actions (Aktionen), Manage stale rules (Verwalten veraltter Regeln).
Wählen Sie für VPCdie VPC mit den veralteten Regeln.
Wählen Sie Edit (Bearbeiten) aus.
Wählen Sie die Schaltfläche Löschen neben der Regel, die Sie löschen möchten. Wählen Sie Preview changes (Änderungen überprüfen), Save rules (Regeln speichern).

Um Ihre veralteten Sicherheitsgruppenregeln mit der Befehlszeile oder einem API

describe-stale-security-groups (AWS CLI)
Get-EC2StaleSecurityGroup (AWS Tools for Windows PowerShell)
DescribeStaleSecurityGroups(EC2Amazon-AbfrageAPI)

Im folgenden Beispiel wurden VPC A(vpc-aaaaaaaa) und VPC B miteinander verbunden und die VPC Peering-Verbindung wurde gelöscht. Ihre Sicherheitsgruppe sg-aaaa1111 in VPC A verweist auf sg-bbbb2222 VPC B. Wenn Sie den describe-stale-security-groups Befehl für Ihre ausführen, weist die Antwort darauf hinVPC, dass die Sicherheitsgruppe sg-aaaa1111 über eine veraltete SSH Regel verfügt, die verweist. sg-bbbb2222


aws ec2 describe-stale-security-groups --vpc-id vpc-aaaaaaaa


{
    "StaleSecurityGroupSet": [
        {
            "VpcId": "vpc-aaaaaaaa", 
            "StaleIpPermissionsEgress": [], 
            "GroupName": "Access1", 
            "StaleIpPermissions": [
                {
                    "ToPort": 22, 
                    "FromPort": 22, 
                    "UserIdGroupPairs": [
                        {
                            "VpcId": "vpc-bbbbbbbb", 
                            "PeeringStatus": "deleted", 
                            "UserId": "123456789101", 
                            "GroupName": "Prod1", 
                            "VpcPeeringConnectionId": "pcx-b04deed9", 
                            "GroupId": "sg-bbbb2222"
                        }
                    ], 
                    "IpProtocol": "tcp"
                }
            ], 
            "GroupId": "sg-aaaa1111", 
            "Description": "Reference remote SG"
        }
    ]
}

Nachdem Sie die veralteten Sicherheitsgruppenregeln identifiziert haben, können Sie sie mit den Befehlen revoke-security-group-ingressoder revoke-security-group-egresslöschen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Aktualisieren von Routing-Tabellen

Aktivieren Sie die DNS Auflösung für eine VPC Peering-Verbindung