Amazon Elastic Compute Cloud
Guía del usuario de instancias de Linux

Autorización del tráfico de entrada para sus instancias de Linux

Los grupos de seguridad le permiten controlar el tráfico dirigido a su instancia, incluido el tipo de tráfico que puede llegar a su instancia. Por ejemplo, puede permitir que solo los equipos de su red doméstica obtengan acceso a su instancia utilizando SSH. Si su instancia es un servidor web, puede permitir que todas las direcciones IP obtengan acceso a su instancia mediante HTTP o HTTPS, de modo que los usuarios externos puedan explorar el contenido de su servidor web.

Los grupos de seguridad predeterminados y los grupos de seguridad recién creados incluyen reglas predeterminadas que no le permiten obtener acceso a su instancia desde Internet. Para obtener más información, consulte Grupos de seguridad predeterminados y Grupos de seguridad personalizados. Para habilitar el acceso de red a su instancia, debe permitir el tráfico de entrada a la instancia. Para abrir un puerto para el tráfico de entrada, añada una regla al grupo de seguridad que asoció a la instancia cuando la lanzó.

Para establecer conexión con su instancia, debe configurar una regla para autorizar el tráfico SSH desde la dirección IPv4 pública de su equipo. Para permitir el tráfico SSH de intervalos de direcciones IP adicionales, añada otra regla por cada intervalo que necesite autorizar.

Si ha habilitado su VPC para IPv6 y ha lanzado su instancia con una dirección IPv6, puede conectar su instancia utilizando la dirección IPv6 en vez de la dirección IPv4 pública. El equipo local debe tener una dirección IPv6 y estar configurado para usar IPv6.

Si necesita habilitar el acceso de red a una instancia de Windows, consulte Autorización del tráfico de entrada para sus instancias en la Guía del usuario de Amazon EC2 para instancias de Windows.

Antes de comenzar

Establezca quién necesita obtener acceso a su instancia; por ejemplo, un único host o una red concreta en la que confíe como, por ejemplo, la dirección IPv4 pública de su equipo local. El editor de grupos de seguridad de la consola de Amazon EC2 puede detectar automáticamente la dirección IPv4 pública de su equipo local en su lugar. También puede buscar la frase "cuál es mi dirección IP" en un navegador de Internet o utilizar el siguiente servicio: Check IP. Si se conecta a través de un ISP o protegido por su firewall sin una dirección IP estática, deberá encontrar el rango de direcciones IP utilizadas por los equipos cliente.

aviso

Si utiliza 0.0.0.0/0, permitirá que todas las direcciones IPv4 tengan acceso a su instancia mediante SSH. Si utiliza ::/0, permitirá que todas las direcciones IPv6 obtengan acceso a su instancia. Esto es aceptable para un periodo de tiempo corto en un entorno de prueba, pero no es seguro en entornos de producción. En entornos de producción, solo se autoriza el acceso a la instancia a una dirección IP o a un rango de direcciones IP específicas.

Decida si admitirá el acceso SSH a sus instancias utilizando EC2 Instance Connect. Si no utilizará EC2 Instance Connect, plantéese desinstalarlo o denegar la siguiente acción en sus políticas de IAM: ec2-instance-connect:SendSSHPublicKey. Para obtener más información, consulte Desinstalación de EC2 Instance Connect y Configurar permisos de IAM para EC2 Instance Connect.

Adición de una regla para el tráfico SSH de entrada hacia una instancia de Linux

Los grupos de seguridad actúan como firewall para las instancias asociadas al controlar el tráfico entrante y saliente en el ámbito de la instancia. Debe añadir reglas a un grupo de seguridad que le permita conectarse a la instancia de Linux desde su dirección IP mediante SSH.

Para añadir una regla a un grupo de seguridad para el tráfico SSH de entrada a través de la IPv4 (consola)

  1. En el panel de navegación de la consola de Amazon EC2, elija Instances (Instancias). Seleccione la instancia y consulte la pestaña Description (Descripción); Security groups (Grupos de seguridad) muestra una lista de los grupos de seguridad que están asociados a la instancia. Seleccione view inbound rules (ver reglas de entrada) para ver una lista de las reglas que se aplican en la instancia.

  2. En el panel de navegación, elija Security Groups. Seleccione uno de los grupos de seguridad asociados a su instancia.

  3. En el panel de detalles, en la pestaña Inbound (Entrante), elija Edit (Editar). En el cuadro de diálogo, elija Add Rule (Añadir regla) y, a continuación, seleccione SSH en la lista Type (Tipo).

  4. En el campo Source (Origen), elija My IP (Mi IP) para rellenar automáticamente el campo con la dirección IPv4 pública de su equipo local. También puede elegir Custom (Personalizada) y especificar la dirección IPv4 pública de su equipo o red en notación CIDR. Por ejemplo, si su dirección IPv4 es 203.0.113.25, especifique 203.0.113.25/32 para mostrar la dirección IPv4 única en notación CIDR. Si su empresa asigna direcciones de un rango, especifíquelo; por ejemplo, 203.0.113.0/24.

    Para obtener información acerca de su dirección IP, consulte Antes de comenzar.

  5. Seleccione Save.

Si ha lanzado una instancia con una dirección IPv6 y quiere conectar a la instancia utilizando su la dirección IPv6, debe añadir reglas que permitan el tráfico entrante IPv6 a través de SSH.

Para añadir una regla a un grupo de seguridad para el tráfico SSH de entrada a través de la IPv6 (consola)

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Security Groups. Seleccione el grupo de seguridad de su instancia.

  3. Elija Inbound (Entrada), Edit (Editar), Add Rule (Añadir regla).

  4. En Type (Tipo), elija SSH.

  5. En el campo Source (Origen), especifique la dirección IPv6 de su equipo en notación CIDR. Por ejemplo, si su dirección IPv6 es 2001:db8:1234:1a00:9691:9503:25ad:1761, especifique 2001:db8:1234:1a00:9691:9503:25ad:1761/128 para mostrar la dirección IP única en notación CIDR. Si su empresa asigna direcciones de un rango, especifíquelo; por ejemplo, 2001:db8:1234:1a00::/64.

  6. Seleccione Save.

nota

Asegúrese de ejecutar los siguientes comandos en su sistema local y no en la propia instancia. Para obtener más información acerca de estas interfaces de línea de comandos, consulte Acceso a Amazon EC2.

Para añadir una regla a un grupo de seguridad con la línea de comandos

  1. Utilice uno de los comandos siguientes para encontrar el grupo de seguridad que está asociado a la instancia:

    • describe-instance-attribute (AWS CLI)

      aws ec2 describe-instance-attribute --instance-id instance_id --attribute groupSet
    • Get-EC2InstanceAttribute (Herramientas de AWS para Windows PowerShell)

      PS C:\> (Get-EC2InstanceAttribute -InstanceId instance_id -Attribute groupSet).Groups

    Ambos comandos devuelven un ID de grupo de seguridad, que utilizará en el siguiente paso.

  2. Añada la regla al grupo de seguridad mediante uno de los siguientes comandos:

    • authorize-security-group-ingress (AWS CLI)

      aws ec2 authorize-security-group-ingress --group-id security_group_id --protocol tcp --port 22 --cidr cidr_ip_range
    • Grant-EC2SecurityGroupIngress (Herramientas de AWS para Windows PowerShell)

      El comando Grant-EC2SecurityGroupIngress necesita un parámetro IpPermission, que describe el protocolo, el rango de puertos y el rango de direcciones IP que se va a utilizar para la regla del grupo de seguridad. El siguiente comando crea el parámetro IpPermission:

      PS C:\> $ip1 = @{ IpProtocol="tcp"; FromPort="22"; ToPort="22"; IpRanges="cidr_ip_range" }
      PS C:\> Grant-EC2SecurityGroupIngress -GroupId security_group_id -IpPermission @($ip1)

Asignación de un grupo de seguridad a una instancia

Puede asignar un grupo de seguridad a una instancia al lanzar la instancia. Al añadir o quitar reglas, esos cambios se aplican automáticamente a todas las instancias a las que ha asignado el grupo de seguridad.

Una vez lanzada la instancia, puede cambiar sus grupos de seguridad. Para obtener más información, consulte Cambio de los grupos de seguridad de una instancia en la Guía del usuario de Amazon VPC.