Antes de comenzar Agregar una regla para tráfico RDP entrante a una instancia de Windows Asignar un grupo de seguridad a una instancia

Autorizar tráfico entrante para las instancias de Windows

Los grupos de seguridad le permiten controlar el tráfico dirigido a su instancia, incluido el tipo de tráfico que puede llegar a su instancia. Por ejemplo, puede permitir que solo las computadoras de su red doméstica accedan a su instancia por medio de RDP. Si su instancia es un servidor web, puede permitir que todas las direcciones IP obtengan acceso a su instancia mediante HTTP o HTTPS, de modo que los usuarios externos puedan explorar el contenido de su servidor web.

Los grupos de seguridad predeterminados y los grupos de seguridad recién creados incluyen reglas predeterminadas que no le permiten obtener acceso a su instancia desde Internet. Para obtener más información, consulte Grupos de seguridad predeterminados y Custom security groups (Grupos de seguridad personalizados). Para habilitar el acceso de red a su instancia, debe permitir el tráfico de entrada a la instancia. Para abrir un puerto para el tráfico de entrada, añada una regla al grupo de seguridad que asoció a la instancia cuando la lanzó.

Para establecer conexión con su instancia, debe configurar una regla que autorice el tráfico de RDP desde la dirección IPv4 pública de su computadora. Para permitir el tráfico RDP desde rangos de direcciones IP adicionales, agregue una regla por cada rango que deba autorizar.

Si ha habilitado su VPC para IPv6 y ha lanzado su instancia con una dirección IPv6, puede conectar su instancia utilizando la dirección IPv6 en vez de la dirección IPv4 pública. El equipo local debe tener una dirección IPv6 y estar configurado para usar IPv6.

Si necesita habilitar el acceso de red a una instancia de Linux, consulte Autorización del tráfico de entrada para sus instancias de Linux en la Guía del usuario de Amazon EC2 para instancias de Linux.

Antes de comenzar

Establezca quién necesita obtener acceso a su instancia; por ejemplo, un único host o una red concreta en la que confíe como, por ejemplo, la dirección IPv4 pública de su equipo local. El editor de grupos de seguridad de la consola de Amazon EC2 puede detectar automáticamente la dirección IPv4 pública de su equipo local en su lugar. También puede buscar la frase "cuál es mi dirección IP" en un navegador de Internet o utilizar el siguiente servicio: Check IP. Si se conecta a través de un ISP o protegido por su firewall sin una dirección IP estática, deberá encontrar el rango de direcciones IP utilizadas por los equipos cliente.

aviso

Si utiliza 0.0.0.0/0, permitirá que todas las direcciones IPv4 tengan acceso a su instancia mediante RDP. Si utiliza ::/0, permitirá que todas las direcciones IPv6 accedan a su instancia. Debe autorizar el acceso a su instancia únicamente a una dirección IP o a un rango de direcciones IP específico.

Puede que Windows Firewall bloquee el tráfico de entrada. Si tiene problemas para configurar el acceso a su instancia, puede que tenga que deshabilitar Windows Firewall. Para obtener más información, consulte El escritorio remoto no puede conectarse al equipo remoto.

Agregar una regla para tráfico RDP entrante a una instancia de Windows

Los grupos de seguridad actúan como firewall para las instancias asociadas al controlar el tráfico entrante y saliente en el ámbito de la instancia. Debe agregar reglas a un grupo de seguridad para que le permita conectarse a la instancia de Windows desde su dirección IP mediante RDP.

Para agregar una regla a un grupo de seguridad para el tráfico entrante de RDP a través de la IPv4 (consola)

Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.
En la barra de navegación superior, seleccione una región para el grupo de seguridad. Los grupos de seguridad son específicos de cada región, de modo que se debe seleccionar la misma región en la que se haya creado la instancia.
En el panel de navegación, seleccione Instances (Instancia[s]).
Seleccione la instancia y, en la mitad inferior de la pantalla, elija la pestaña Security (Seguridad). Security groups (Grupos de seguridad) enumera los grupos de seguridad asociados a la instancia. Inbound rules (Reglas de entrada) muestra una lista de las reglas de trafico de entrada que se aplican en la instancia.
Para el grupo de seguridad al que va a agregar la nueva regla, elija el vínculo ID del grupo de seguridad para abrir el grupo de seguridad.
En la pestaña Inbound rules (Reglas de entrada), seleccione Edit inbound rules (Editar reglas de entrada).
En la página Editar reglas de entrada, haga lo siguiente:
1. Seleccione Add rule (Agregar regla).
2. En Type (Tipo), elija RDP.
3. En Source (Origen), elija My IP (Mi IP) para rellenar automáticamente el campo con la dirección IPv4 pública de su equipo local.
  
  También, en Source (Origen), puede elegir Custom (Personalizada) e introducir la dirección IPv4 pública de su equipo o red en notación CIDR. Por ejemplo, si su dirección IPv4 es 203.0.113.25, introduzca 203.0.113.25/32 para mostrar esta dirección IPv4 única en notación CIDR. Si su empresa asigna direcciones de un rango, introduzca todo el rango, por ejemplo, 203.0.113.0/24.
  
  Para obtener información acerca de su dirección IP, consulte Antes de comenzar.
4. Seleccione Save rules (Guardar reglas).

Si lanzó una instancia con una dirección IPv6 y quiere conectarse a la instancia utilizando su dirección IPv6, debe agregar reglas que permitan el tráfico entrante IPv6 a través de RDP.

Para agregar una regla a un grupo de seguridad para el tráfico entrante de RDP a través de la IPv6 (consola)

Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.
En la barra de navegación superior, seleccione una región para el grupo de seguridad. Los grupos de seguridad son específicos de cada región, de modo que se debe seleccionar la misma región en la que se haya creado la instancia.
En el panel de navegación, seleccione Instances (Instancia[s]).
Seleccione la instancia y, en la mitad inferior de la pantalla, elija la pestaña Security (Seguridad). Security groups (Grupos de seguridad) enumera los grupos de seguridad asociados a la instancia. Inbound rules (Reglas de entrada) muestra una lista de las reglas de trafico de entrada que se aplican en la instancia.
Para el grupo de seguridad al que va a agregar la nueva regla, elija el vínculo ID del grupo de seguridad para abrir el grupo de seguridad.
En la pestaña Inbound rules (Reglas de entrada), seleccione Edit inbound rules (Editar reglas de entrada).
En la página Editar reglas de entrada, haga lo siguiente:
1. Seleccione Add rule (Agregar regla).
2. En Type (Tipo), elija RDP.
3. En Source (Origen), elija Custom (Personalizado) e introduzca la dirección IPv6 de su equipo en notación CIDR. Por ejemplo, si su dirección IPv6 es 2001:db8:1234:1a00:9691:9503:25ad:1761, introduzca 2001:db8:1234:1a00:9691:9503:25ad:1761/128 para mostrar la dirección IP única en notación CIDR. Si su empresa asigna direcciones de un rango, introduzca todo el rango, por ejemplo, 2001:db8:1234:1a00::/64.
4. Seleccione Save rules (Guardar reglas).

nota

Asegúrese de ejecutar los siguientes comandos en su sistema local y no en la propia instancia. Para obtener más información acerca de estas interfaces de línea de comandos, consulte Acceder a Amazon EC2.

Para añadir una regla a un grupo de seguridad con la línea de comandos

Utilice uno de los comandos siguientes para encontrar el grupo de seguridad que está asociado a la instancia:
- describe-instance-attribute (AWS CLI)
```
aws ec2 describe-instance-attribute --region region --instance-id instance_id --attribute groupSet
```
- Get-EC2InstanceAttribute (AWS Tools for Windows PowerShell)
```
PS C:\> (Get-EC2InstanceAttribute -Region region -InstanceId instance_id -Attribute groupSet).Groups
```
Ambos comandos devuelven un ID de grupo de seguridad, que utilizará en el siguiente paso.
Añada la regla al grupo de seguridad mediante uno de los siguientes comandos:
- authorize-security-group-ingress (AWS CLI)
```
aws ec2 authorize-security-group-ingress --region region --group-id security_group_id --protocol tcp --port 3389 --cidr cidr_ip_range
```
- Grant-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)
  
  El comando Grant-EC2SecurityGroupIngress necesita un parámetro IpPermission, que describe el protocolo, el rango de puertos y el rango de direcciones IP que se va a utilizar para la regla del grupo de seguridad. El siguiente comando crea el parámetro IpPermission:
```
PS C:\> $ip1 = @{ IpProtocol="tcp"; FromPort="3389"; ToPort="3389"; IpRanges="cidr_ip_range" }
```
```
PS C:\> Grant-EC2SecurityGroupIngress -Region region -GroupId security_group_id -IpPermission @($ip1)
```

Asignar un grupo de seguridad a una instancia

Puede asignar un grupo de seguridad a una instancia al lanzar la instancia. Al añadir o quitar reglas, esos cambios se aplican automáticamente a todas las instancias a las que ha asignado el grupo de seguridad.

Una vez lanzada la instancia, puede cambiar sus grupos de seguridad. Para obtener más información, consulte Cambiar el grupo de seguridad de una instancia.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

IAM roles

Pares de claves