Reglas del grupo de seguridad - Amazon Elastic Compute Cloud

Reglas del grupo de seguridad

Las reglas de un grupo de seguridad controlan el tráfico entrante que puede llegar a las instancias asociadas al grupo de seguridad. Las reglas también controlan el tráfico saliente que puede salir de ellos.

A continuación, se describen las características de las reglas de los grupos de seguridad:

  • Los grupos de seguridad incluyen de forma predeterminada reglas de salida que permiten todo el tráfico saliente. Puede eliminar estas reglas. Tenga en cuenta que Amazon EC2 bloquea el tráfico en el puerto 25 de forma predeterminada. Para obtener más información, consulte Restricción en el correo electrónico enviado a través del puerto 25.

  • Las reglas del grupo de seguridad son siempre permisivas; no puede crear reglas que denieguen el acceso.

  • Las reglas de grupo de seguridad le permiten filtrar el tráfico en función de los protocolos y números de puerto.

  • Los grupos de seguridad tienen estado: si envía una solicitud desde su instancia, se permite el flujo del tráfico de respuesta para dicha solicitud independientemente de las reglas de entrada del grupo de seguridad. En los grupos de seguridad de VPC, esto significa también que el flujo de salida de las respuestas al tráfico de entrada está permitido, independientemente de las reglas de salida. Para obtener más información, consulte Seguimiento de conexiones de grupos de seguridad.

  • Puede agregar y eliminar reglas en cualquier momento. Los cambios se aplican automáticamente a las instancias que están asociadas al grupo de seguridad.

    El efecto de algunos cambios en las reglas puede depender de cómo se realiza el seguimiento del tráfico. Para obtener más información, consulte Seguimiento de conexiones de grupos de seguridad.

  • Al asociar varios grupos de seguridad a una instancia, las reglas de cada grupo de seguridad se agregan de manera eficiente para crear un conjunto de reglas. Amazon EC2 utiliza este conjunto de reglas para determinar si permite o no el acceso.

    Puede asignar varios grupos de seguridad a una instancia. Por lo tanto, una instancia puede tener cientos de reglas que se aplican. Esto puede causar problemas al obtener acceso a la instancia. Le recomendamos que condense las reglas en la medida de lo posible.

Especifique lo siguiente para cada regla:

  • Nombre: el nombre del grupo de seguridad (por ejemplo, “my-security-group”).

    Un nombre puede tener hasta 255 caracteres como máximo. Los caracteres permitidos incluyen a-z, A-Z, 0-9, espacios y ._-:/()#,@[]+=;{}!$*. Si el nombre contiene espacios finales, se eliminan al guardarlo. Por ejemplo, si introduce el nombre "Grupo de seguridad de prueba ", se guardará como "Grupo de seguridad de prueba".

  • Protocolo: el protocolo que se permite. Los protocolos más habituales son 6 (TCP), 17 (UDP) y 1 (ICMP).

  • Rango de puertos: para TCP, UDP o un protocolo personalizado, el rango de puertos que se permite. Puede especificar un solo número de puerto (por ejemplo, 22), o bien un rango de números de puertos (por ejemplo, 7000-8000).

  • Tipo y código ICMP: para ICMP, el tipo y el código ICMP. Por ejemplo, utilice el tipo 8 para la Echo Request de ICMP o el tipo 128 para la Echo Request de ICMPv6.

  • Origen o destino: el origen (reglas de entrada) o el destino (reglas de salida) del tráfico que se va a permitir. Especifique uno de los siguientes valores:

    • Una única dirección IPv4. Debe utilizar la longitud de prefijo /32. Por ejemplo, 203.0.113.1/32.

    • Una única dirección IPv6. Debe utilizar la longitud de prefijo /128. Por ejemplo, 2001:db8:1234:1a00::123/128.

    • Un rango de direcciones IPv4 en notación de bloque de CIDR. Por ejemplo, 203.0.113.0/24.

    • Un rango de direcciones IPv6 en notación de bloque de CIDR. Por ejemplo, 2001:db8:1234:1a00::/64.

    • El ID de una lista de prefijos. Por ejemplo, pl-1234abc1234abc123. Para obtener más información, consulte Listas de prefijos en la Guía del usuario de Amazon VPC.

    • El ID de un grupo de seguridad (al que se hace referencia aquí como el grupo de seguridad especificado). Por ejemplo, el grupo de seguridad actual, un grupo de seguridad de la misma VPC o un grupo de seguridad para una VPC interconectada. Esto permite el tráfico en función de las direcciones IP privadas de los recursos asociados al grupo de seguridad especificado. Esto no agrega reglas del grupo de seguridad especificado al grupo de seguridad actual.

  • (Opcional) Descripción: puede añadir una descripción a la regla, que puede ayudarle a identificarla más adelante. Una descripción puede tener una longitud máxima de 255 caracteres. Los caracteres permitidos incluyen a-z, A-Z, 0-9, espacios y ._-:/()#,@[]+=;{}!$*.

Cuando usted crea una regla de grupo de seguridad, AWS le asigna un ID único. Puede utilizar el ID de una regla cuando utilice la API o la CLI para modificarla o eliminarla.

Al especificar un grupo de seguridad como origen o destino de una regla, la regla afecta a todas las instancias que están asociadas al grupo de seguridad. Se permite el tráfico entrante según las direcciones IP privadas de las instancias asociadas al grupo de seguridad de origen (y no la dirección IP pública o las direcciones IP elásticas). Para obtener más información acerca de las direcciones IP, consulte Direccionamiento IP de instancias Amazon EC2. Si la regla de su grupo de seguridad hace referencia a un grupo de seguridad eliminado en la misma VPC o en una VPC del mismo nivel, o que hace referencia a un grupo de seguridad en una VPC del mismo nivel para la que se ha eliminado la conexión de emparejamiento de VPC, la regla se marca como obsoleta. Para obtener más información, consulte Uso de reglas de grupo de seguridad obsoletas en la Amazon VPC Peering Guide.

Si hay más de una regla para un puerto específico, Amazon EC2 aplica la regla más permisiva. Por ejemplo, si cuenta con una regla que permite el acceso al Puerto TCP 3389 (RDP) desde la dirección IP 203.0.113.1 y otra regla que permite el acceso al Puerto TCP 3389 desde todas las direcciones, todos tienen acceso al Puerto TCP 3389.

Si se agregan, actualizan o eliminan reglas, los cambios se aplican automáticamente a todas las instancias asociadas al grupo de seguridad.