Grupos de seguridad para el punto de conexión de EC2 Instance Connect
Un grupo de seguridad controla el tráfico al que se permite llegar y dejar los recursos a los que está asociado. Por ejemplo, denegamos el tráfico hacia y desde una instancia de Amazon EC2 a menos que los grupos de seguridad asociados a la instancia lo permitan específicamente.
En los siguientes ejemplos, se muestra cómo configurar las reglas del grupo de seguridad para el punto de conexión de EC2 Instance Connect y las instancias de destino.
Ejemplos
Reglas del grupo de seguridad del punto de conexión de EC2 Instance Connect
Las reglas del grupo de seguridad de un punto de conexión de EC2 Instance Connect deben permitir el tráfico saliente para que las instancias de destino abandonen el punto de conexión. Puede especificar el grupo de seguridad de la instancia o el rango de direcciones IPv4 de la VPC como destino.
El tráfico al punto de conexión se origina en el servicio del punto de conexión de EC2 Instance Connect y se permite independientemente de las reglas de entrada del grupo de seguridad del punto de conexión. Para controlar quién puede usar el punto de conexión de EC2 Instance Connect para conectarse a una instancia, utilice una política de IAM. Para obtener más información, consulte Permisos para usar el punto de conexión de EC2 Instance Connect para conectarse a instancias.
Ejemplo de regla de salida: referencia a grupos de seguridad
En el siguiente ejemplo, se utiliza la referencia a grupos de seguridad, lo que significa que el destino es un grupo de seguridad asociado a las instancias de destino. Esta regla permite el tráfico saliente desde el punto de conexión a todas las instancias que utilizan este grupo de seguridad.
| Protocolo | Destino | Intervalo de puertos | Comentario |
|---|---|---|---|
| TCP | ID del grupo de seguridad de la instancia |
22 | Permite el tráfico SSH saliente a todas las instancias asociadas al grupo de seguridad de la instancia |
Ejemplo de regla de salida: rango de direcciones IPv4
En el siguiente ejemplo, se permite el tráfico saliente al rango de direcciones IPv4 especificado. Las direcciones IPv4 de una instancia se asignan desde su subred, por lo que puede usar el rango de direcciones IPv4 de la VPC.
| Protocolo | Destino | Intervalo de puertos | Comentario |
|---|---|---|---|
| TCP | CIDR IPv4 de VPC |
22 | Permite el tráfico SSH saliente a la VPC |
Reglas del grupo de seguridad de instancias de destino
Las reglas del grupo de seguridad para instancias de destino deben permitir el tráfico entrante desde el punto de conexión de EC2 Instance Connect. Puede especificar el grupo de seguridad del punto de conexión o un rango de direcciones IPv4 como el origen. Si especifica un rango de direcciones IPv4, el origen depende de si la conservación de la IP del cliente está desactivada o activada. Para obtener más información, consulte Consideraciones.
Como los grupos de seguridad tienen estado, se permite que el tráfico de respuesta abandone la VPC independientemente de las reglas de salida del grupo de seguridad de la instancia.
Ejemplo de regla de entrada: referencia a grupos de seguridad
En el siguiente ejemplo, se utiliza la referencia a grupos de seguridad, lo que significa que el origen es un grupo de seguridad asociado al punto de conexión. Esta regla permite el tráfico SSH entrante desde el punto de conexión a todas las instancias que utilizan este grupo de seguridad, independientemente de que la conservación de la IP del cliente esté activada o desactivada. Si no hay otras reglas de grupos de seguridad entrantes para SSH, las instancias solo aceptan el tráfico SSH desde el punto de conexión.
| Protocolo | Origen | Intervalo de puertos | Comentario |
|---|---|---|---|
| TCP | ID del grupo de seguridad del punto de conexión |
22 | Permite el tráfico SSH entrante desde los recursos asociados al grupo de seguridad del punto de conexión |
Ejemplo de regla de entrada: conservación de la IP del cliente desactivada
En el siguiente ejemplo, se permite el tráfico SSH entrante procedente del rango de direcciones IPv4 especificado. Como la conservación de la IP del cliente está desactivada, la dirección IPv4 de origen es la dirección de la interfaz de red del punto de conexión. La dirección de la interfaz de red del punto de conexión se asigna desde su subred, por lo que puede usar el rango de direcciones IPv4 de la VPC para permitir las conexiones a todas las instancias de la VPC.
| Protocolo | Origen | Intervalo de puertos | Comentario |
|---|---|---|---|
| TCP | CIDR IPv4 de VPC |
22 | Se permite el tráfico SSH entrante procedente de la VPC |
Ejemplo de regla de entrada: conservación de la IP del cliente activada
En el siguiente ejemplo, se permite el tráfico SSH entrante procedente del rango de direcciones IPv4 especificado. Como la conservación de la IP del cliente está activada, la dirección IPv4 de origen es la dirección del cliente.
| Protocolo | Origen | Intervalo de puertos | Comentario |
|---|---|---|---|
| TCP | Rango de direcciones IPv4 públicas |
22 | Se permite el tráfico entrante procedente del rango de direcciones IPv4 del cliente especificado |
