Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Autorizar tráfico entrante para las instancias de Linux
Los grupos de seguridad le permiten controlar el tráfico dirigido a su instancia, incluido el tipo de tráfico que puede llegar a su instancia. Por ejemplo, puede permitir que solo los equipos de su red doméstica obtengan acceso a su instancia utilizando SSH. Si su instancia es un servidor web, puede permitir que todas las direcciones IP obtengan acceso a su instancia mediante HTTP o HTTPS, de modo que los usuarios externos puedan explorar el contenido de su servidor web.
Los grupos de seguridad predeterminados y los grupos de seguridad recién creados incluyen reglas predeterminadas que no le permiten obtener acceso a su instancia desde Internet. Para obtener más información, consulte Grupos de seguridad predeterminados y Custom security groups (Grupos de seguridad personalizados). Para habilitar el acceso de red a su instancia, debe permitir el tráfico de entrada a la instancia. Para abrir un puerto para el tráfico de entrada, añada una regla al grupo de seguridad que asoció a la instancia cuando la lanzó.
Para establecer conexión con su instancia, debe configurar una regla para autorizar el tráfico SSH desde la dirección IPv4 pública de su equipo. Para permitir el tráfico SSH de intervalos de direcciones IP adicionales, añada otra regla por cada intervalo que necesite autorizar.
Si ha habilitado su VPC para IPv6 y ha lanzado su instancia con una dirección IPv6, puede conectar su instancia utilizando la dirección IPv6 en vez de la dirección IPv4 pública. El equipo local debe tener una dirección IPv6 y estar configurado para usar IPv6.
Si necesita habilitar el acceso de red a una instancia de Windows, consulte Autorización del tráfico de entrada para sus instancias en la Guía del usuario de Amazon EC2 para instancias de Windows.
Antes de comenzar
Establezca quién necesita obtener acceso a su instancia; por ejemplo, un único host
o una red concreta en la que confíe como, por ejemplo, la dirección IPv4 pública de
su equipo local. El editor de grupos de seguridad de la consola de Amazon EC2 puede
detectar automáticamente la dirección IPv4 pública de su equipo local en su lugar.
También puede buscar la frase "cuál es mi dirección IP" en un navegador de Internet
o utilizar el siguiente servicio: Check IP
Si utiliza 0.0.0.0/0
, permitirá que todas las direcciones IPv4 tengan acceso a su instancia mediante SSH. Si utiliza ::/0
, permitirá que todas las direcciones IPv6 obtengan acceso a su instancia. Esto es
aceptable para un periodo de tiempo corto en un entorno de prueba, pero no es seguro
en entornos de producción. En entornos de producción, solo se autoriza el acceso a
la instancia a una dirección IP o a un rango de direcciones IP específicas.
Decida si admitirá el acceso SSH a sus instancias utilizando EC2 Instance Connect.
Si no utilizará EC2 Instance Connect, plantéese desinstalarlo o denegar la siguiente
acción en sus políticas de IAM: ec2-instance-connect:SendSSHPublicKey
. Para obtener más información, consulte Desinstalación de EC2 Instance Connect y Configurar permisos de IAM para EC2 Instance Connect.
Agregar una regla para el tráfico entrante de SSH a una instancia de Linux
Los grupos de seguridad actúan como firewall para las instancias asociadas al controlar el tráfico entrante y saliente en el ámbito de la instancia. Debe agregar reglas a un grupo de seguridad que permita conectarse a la instancia de Linux desde la dirección IP mediante SSH.
Si ha lanzado una instancia con una dirección IPv6 y quiere conectar a la instancia utilizando su la dirección IPv6, debe añadir reglas que permitan el tráfico entrante IPv6 a través de SSH.
Asegúrese de ejecutar los siguientes comandos en su sistema local y no en la propia instancia. Para obtener más información acerca de estas interfaces de línea de comandos, consulte Acceder a Amazon EC2.
Para añadir una regla a un grupo de seguridad con la línea de comandos
-
Utilice uno de los comandos siguientes para encontrar el grupo de seguridad que está asociado a la instancia:
-
describe-instance-attribute (AWS CLI)
aws ec2 describe-instance-attribute --instance-id
instance_id
--attribute groupSet -
Get-EC2InstanceAttribute (Herramientas de AWS para Windows PowerShell)
PS C:\>
(Get-EC2InstanceAttribute -InstanceIdinstance_id
-Attribute groupSet).Groups
Ambos comandos devuelven un ID de grupo de seguridad, que utilizará en el siguiente paso.
-
-
Añada la regla al grupo de seguridad mediante uno de los siguientes comandos:
-
authorize-security-group-ingress (AWS CLI)
aws ec2 authorize-security-group-ingress --group-id
security_group_id
--protocol tcp --port 22 --cidrcidr_ip_range
-
Grant-EC2SecurityGroupIngress (Herramientas de AWS para Windows PowerShell)
El comando
Grant-EC2SecurityGroupIngress
necesita un parámetroIpPermission
, que describe el protocolo, el rango de puertos y el rango de direcciones IP que se va a utilizar para la regla del grupo de seguridad. El siguiente comando crea el parámetroIpPermission
:PS C:\>
$ip1 = @{ IpProtocol="tcp"; FromPort="22"; ToPort="22"; IpRanges="cidr_ip_range
" }PS C:\>
Grant-EC2SecurityGroupIngress -GroupIdsecurity_group_id
-IpPermission @($ip1)
-
Asignar un grupo de seguridad a una instancia
Puede asignar un grupo de seguridad a una instancia al lanzar la instancia. Al añadir o quitar reglas, esos cambios se aplican automáticamente a todas las instancias a las que ha asignado el grupo de seguridad.
Una vez lanzada la instancia, puede cambiar sus grupos de seguridad. Para obtener más información, consulte Cambio de los grupos de seguridad de una instancia en la Guía del usuario de Amazon VPC.