Reglas de grupo de seguridad para diferentes casos de uso - Amazon Elastic Compute Cloud

Reglas de grupo de seguridad para diferentes casos de uso

Puede crear un grupo de seguridad y agregar reglas que reflejen el rol de la instancia que está asociada al grupo de seguridad. Por ejemplo, una instancia configurada como servidor web necesita reglas de grupo de seguridad que permitan el acceso HTTP y HTTPS entrante. Del mismo modo, una instancia de base de datos necesita reglas que permitan el acceso para el tipo de base de datos, como el acceso a través del puerto 3306 para MySQL.

A continuación, se muestran ejemplos de los tipos de reglas que puede agregar a grupos de seguridad para tipos concretos de acceso.

Reglas del servidor web

Las siguientes reglas de entrada permiten el acceso HTTP y HTTPS de cualquier dirección IP. Si la VPC está habilitada para IPv6, puede agregar reglas para controlar el tráfico HTTP y HTTPS de entrada de direcciones IPv6.

Tipo de protocolo Número de protocolo Puerto IP de origen Notas
TCP 6 80 (HTTP) 0.0.0.0/0 Permite el acceso de HTTP entrante de cualquier dirección IPv4.
TCP 6 443 (HTTPS) 0.0.0.0/0 Permite el acceso HTTPS entrante de cualquier dirección IPv4.
TCP 6 80 (HTTP) ::/0 Permite el acceso HTTP entrante desde cualquier dirección IPv6
TCP 6 443 (HTTPS) ::/0 Permite el acceso HTTPS entrante desde cualquier dirección IPv6

Reglas del servidor de bases de datos

Las siguientes reglas de entrada son ejemplos de reglas que podría agregar para el acceso a bases de datos, según el tipo de base de datos que esté ejecutando en la instancia. Para obtener más información acerca de las instancias de Amazon RDS, consulte la Guía del usuario de Amazon RDS.

Para la IP de origen, especifique uno de los siguientes:

  • Una dirección IP específica o un rango de direcciones IP (con la notación de bloques de CIDR) de la red local

  • Un ID de grupo de seguridad para un grupo de instancias que obtengan acceso a la base de datos

Tipo de protocolo Número de protocolo Puerto Notas
TCP 6 1433 (MS SQL) El puerto predeterminado para obtener acceso a una base de datos Microsoft SQL Server, por ejemplo, en una instancia Amazon RDS.
TCP 6 3306 (MYSQL/Aurora) El puerto predeterminado para obtener acceso a una base de datos MySQL o Aurora, por ejemplo, en una instancia Amazon RDS.
TCP 6 5439 (Redshift) El puerto predeterminado para obtener acceso a una base de datos de clúster Amazon Redshift.
TCP 6 5432 (PostgreSQL) El puerto predeterminado para obtener acceso a una base de datos PostgreSQL, por ejemplo, en una instancia Amazon RDS.
TCP 6 1521 (Oracle) El puerto predeterminado para obtener acceso a una base de datos Oracle, por ejemplo, en una instancia Amazon RDS.

Opcionalmente, puede restringir el tráfico saliente desde los servidores de base de datos. Por ejemplo, es posible que desee permitir el acceso a Internet para actualizaciones de software y restringir todos los demás tipos de tráfico. Primero debe eliminar la regla de salida predeterminada que permite todo el tráfico de salida.

Tipo de protocolo Número de protocolo Puerto IP de destino Notas
TCP 6 80 (HTTP) 0.0.0.0/0 Permite el acceso HTTP saliente a cualquier dirección IPv4.
TCP 6 443 (HTTPS) 0.0.0.0/0 Permite el acceso HTTPS saliente a cualquier dirección IPv4.
TCP 6 80 (HTTP) ::/0 (Solo para VPC habilitada para IPv6) Permite el acceso HTTP saliente a cualquier dirección IPv6.
TCP 6 443 (HTTPS) ::/0 (Solo para VPC habilitada para IPv6) Permite el acceso HTTPS saliente a cualquier dirección IPv6.

Reglas para conectarse a las instancias desde un equipo

Para conectarse a una instancia, el grupo de seguridad debe tener reglas de entrada que permitan el acceso SSH (para instancias de Linux) o el acceso RDP (para instancias de Windows).

Tipo de protocolo Número de protocolo Puerto IP de origen
TCP 6 22 (SSH) La dirección IPv4 pública de su equipo o un rango de las direcciones IP en su red local. Si la VPC está habilitada para IPv6 y la instancia tiene una dirección IPv6, puede escribir una dirección IPv6 o un rango.
TCP 6 3389 (RDP) La dirección IPv4 pública de su equipo o un rango de las direcciones IP en su red local. Si la VPC está habilitada para IPv6 y la instancia tiene una dirección IPv6, puede escribir una dirección IPv6 o un rango.

Reglas para conectarse a las instancias desde una instancia con el mismo grupo de seguridad

Para permitir que las instancias asociadas al mismo grupo de seguridad se comuniquen unas con otras, debe agregar explícitamente reglas para ello.

nota

Si configura rutas para reenviar el tráfico entre dos instancias en subredes diferentes a través de un dispositivo de middlebox, debe asegurarse de que los grupos de seguridad de ambas instancias permiten que el tráfico fluya entre las instancias. El grupo de seguridad de cada instancia debe hacer referencia a la dirección IP privada de la otra instancia, o al rango CIDR de la subred que contiene la otra instancia, como fuente. Si hace referencia al grupo de seguridad de la otra instancia como fuente, esto no permite que el tráfico fluya entre las instancias.

La siguiente tabla describe la regla de entrada para un grupo de seguridad que permite que las instancias asociadas se comuniquen entre sí. La regla permite todo tipo de tráfico.

Tipo de protocolo Número de protocolo Puertos IP de origen
-1 (Todos) -1 (Todos) -1 (Todos) El ID del grupo de seguridad, o bien el rango CIDR de la subred que contiene la otra instancia (consulte la nota).

Reglas para hacer ping/ICMP

El comando ping es un tipo de tráfico de ICMP. Para hacer un ping a la instancia, debe agregar la siguiente regla de entrada de ICMP.

Tipo de protocolo Número de protocolo Tipo de ICMP Código de ICMP IP de origen
ICMP 1 8 (Echo Request) N/A La dirección IPv4 pública de su computadora o un rango de direcciones IPv4 en su red local.

Para utilizar el comando ping6 para hacer ping a la dirección IPv6 de su instancia, debe agregar la siguiente regla de entrada de ICMPv6.

Tipo de protocolo Número de protocolo Tipo de ICMP Código de ICMP IP de origen
ICMPv6 58 128 (Echo Request) 0 La dirección IPv6 de su computadora o un rango de direcciones IPv6 en su red local.

Reglas del servidor DNS

Si ha configurado su instancia EC2 como un servidor DNS, debe asegurarse de que el tráfico TCP y UDP pueden llegar al servidor DNS a través del puerto 53.

Para la IP de origen, especifique uno de los siguientes:

  • Una dirección IP o un rango de direcciones IP (con la notación de bloques de CIDR) de una local

  • El ID de un grupo de seguridad para el conjunto de instancias de la red que requieran acceso al servidor DNS

Tipo de protocolo Número de protocolo Puerto
TCP 6 53
UDP 17 53

Reglas de Amazon EFS

Si está utilizando un sistema de archivos de Amazon EFS con las instancias Amazon EC2, el grupo de seguridad que asocia a los destinos de montaje de Amazon EFS debe permitir el tráfico a través del protocolo NFS.

Tipo de protocolo Número de protocolo Puertos IP de origen Notas
TCP 6 2049 (NFS) El ID del grupo de seguridad Permite el acceso NFS de entrada desde los recursos (incluido el destino de montaje) asociados a este grupo de seguridad.

Para montar un sistema de archivos de Amazon EFS en la instancia Amazon EC2, debe conectarse a la instancia. Por consiguiente, el grupo de seguridad asociado a su instancia debe tener reglas que permitan el tráfico SSH entrante de su equipo local o red local.

Tipo de protocolo Número de protocolo Puertos IP de origen Notas
TCP 6 22 (SSH) El rango de direcciones IP del equipo local o el rango de direcciones IP (con la notación de bloques de CIDR) de la red. Permite el acceso SSH entrante desde el equipo local.

Reglas de Elastic Load Balancing

Si está utilizando un balanceador de carga, el grupo de seguridad asociado al balanceador debe tener reglas que permitan la comunicación con sus instancias o destinos.

Entrada
Tipo de protocolo Número de protocolo Puerto IP de origen Notas
TCP 6 The listener port

Para un balanceador de carga expuesto a Internet: 0.0.0.0/0 (todas las direcciones IPv4).

Para un balanceador de carga interno: el bloque de CIDR de IPv4 de la VPC.

Allow inbound traffic on the load balancer listener port.
Salida
Tipo de protocolo Número de protocolo Puerto IP de destino Notas
TCP 6 The instance listener port The ID of the instance security group Allow outbound traffic to instances on the instance listener port.
TCP 6 The health check port The ID of the instance security group Allow outbound traffic to instances on the health check port.

Las reglas del grupo de seguridad de sus instancias deben permitir que el balanceador de carga se comunique con las instancias tanto en el puerto del agente de escucha como en el puerto de comprobación de estado.

Entrada
Tipo de protocolo Número de protocolo Puerto IP de origen Notas
TCP 6 The instance listener port

El ID del grupo de seguridad del balanceador de carga

Allow traffic from the load balancer on the instance listener port.
TCP 6 The health check port The ID of the load balancer security group Allow traffic from the load balancer on the health check port.

Para obtener más información, consulte Configurar grupos de seguridad para Classic Load Balancer en la Guía del usuario de Classic Load Balancers y Grupos de seguridad para el Application Load Balancer en la Guía del usuario de Application Load Balancers.

Reglas de interconexión de VPC

Puede actualizar las reglas entrantes o salientes de los grupos de seguridad de su VPC para que hagan referencia a grupos de seguridad de la VPC del mismo nivel. De este modo, garantizará el tráfico entrante y saliente de las instancias asociadas al grupo de seguridad al que se hace referencia en la VPC del mismo nivel. Para obtener más información sobre cómo configurar los grupos de seguridad para interconexión de VPC, consulte Actualización de los grupos de seguridad para que hagan referencia a grupos de la VPC del mismo nivel.