Trabajar con grupos de seguridad - Amazon Elastic Compute Cloud

Trabajar con grupos de seguridad

Puede asignar un grupo de seguridad a una instancia al lanzar la instancia. Al añadir o quitar reglas, esos cambios se aplican automáticamente a todas las instancias a las que ha asignado el grupo de seguridad. Para obtener más información, consulte Asignar un grupo de seguridad a una instancia.

Una vez lanzada la instancia, puede cambiar sus grupos de seguridad. Para obtener más información, consulte Cambiar el grupo de seguridad de una instancia.

Puede crear, ver, actualizar y eliminar grupos de seguridad y las reglas de los grupos de seguridad mediante la consola de Amazon EC2 y las herramientas de la línea de comandos.

Crear un grupo de seguridad

Aunque puede utilizar el grupo de seguridad predeterminado para sus instancias, puede que desee crear sus propios grupos para reflejar las distintas funciones de desempeñan que juegan las instancias en su sistema.

De forma predeterminada, los grupos de seguridad nuevos comienzan con una única regla de salida que permite que todo el tráfico salga de las instancias. Debe añadir reglas para permitir el tráfico entrante o restringir el tráfico saliente.

El grupo de seguridad solo se puede utilizar en la VPC para la que se creó.

New console

Para crear un grupo de seguridad

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Security Groups.

  3. Elija Create Security Group (Crear grupo de seguridad).

  4. En la sección Basic details (Detalles básicos) haga lo siguiente.

    1. Introduzca un nombre descriptivo y una breve descripción para el grupo de seguridad. No se pueden editar después de crear el grupo de seguridad. El nombre y la descripción puede tener una longitud máxima de 255 caracteres. Los caracteres permitidos son a-z, A-Z, 0-9, espacios y ._-:/()#,@[]+=&;{}!$*.

    2. En VPC, elija la VPC.

  5. Puede agregar reglas de grupo de seguridad ahora o más adelante. Para obtener más información, consulte Agregar reglas a un grupo de seguridad.

  6. Puede agregar etiquetas ahora o más adelante. Para agregar una etiqueta, elija Add new tag (Agregar nueva etiqueta) y, a continuación, ingrese la clave y el valor de la etiqueta.

  7. Elija Create Security Group (Crear grupo de seguridad).

Old console

Para crear un grupo de seguridad

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Security Groups.

  3. Elija Create Security Group (Crear grupo de seguridad).

  4. Especifique un nombre y una descripción para el grupo de seguridad.

  5. En VPC, elija el ID de la VPC.

  6. Puede comenzar agregando reglas o puede elegir Create (Crear) para crear ahora el grupo de seguridad (siempre puede agregar reglas después). Para obtener más información acerca de cómo agregar reglas, consulte Agregar reglas a un grupo de seguridad.

Command line

Para crear un grupo de seguridad

Utilice uno de los siguientes comandos:

Copiar un grupo de seguridad

Puede crear un nuevo grupo de seguridad creando una copia de uno existente. Al copiar un grupo de seguridad, la copia se crea con las mismas reglas de entrada y salida que el grupo de seguridad original. Si el grupo de seguridad original está en una VPC, la copia se crea en la misma VPC a menos que especifique otra.

La copia recibe un nuevo ID de grupo de seguridad único y debe asignarle un nombre. También puede agregar una descripción.

No se puede copiar un grupo de seguridad de una región a otra.

Puede crear una copia de un grupo de seguridad mediante uno de los métodos siguientes.

New console

Para copiar un grupo de seguridad

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Security Groups.

  3. Seleccione el grupo de seguridad que desea copiar y elija Actions (Acciones), Copy to new security group (Copiar en nuevo grupo de seguridad).

  4. Especifique un nombre y una descripción opcional, y cambie las reglas de VPC y grupo de seguridad si es necesario.

  5. Seleccione Create (Crear).

Old console

Para copiar un grupo de seguridad

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Security Groups.

  3. Seleccione el grupo de seguridad que desee copiar y elija Actions (Acciones), Copy to new (Copiar en uno nuevo).

  4. Se abre el cuadro de diálogo Create Security Group (Crear grupo de seguridad) y se rellena con las reglas del grupo de seguridad existente. Especifique un nombre y una descripción para el nuevo grupo de seguridad. En VPC, elija el ID de la VPC. Cuando haya terminado, elija Create (Crear).

Ver los grupos de seguridad

Puede ver información sobre los grupos de seguridad mediante uno de los métodos siguientes.

New console

Para ver los grupos de seguridad

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Security Groups.

  3. Los grupos de seguridad aparecen en la lista. Para ver los detalles de un grupo de seguridad específico, incluidas sus reglas de entrada y salida, elija su ID en la columna Security group ID (ID de grupo de seguridad).

Old console

Para ver los grupos de seguridad

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Security Groups.

  3. (Opcional) Seleccione VPC ID (ID de la VPC) en la lista de filtros y, a continuación, elija el ID de la VPC.

  4. Seleccione un grupo de seguridad. En la pestaña Description (Descripción), se muestra información general; en la pestaña Inbound (Entrada), las reglas de entrada; en la pestaña Outbound (Salida), las de salida, y en la pestaña Tags (Etiquetas), etiquetas.

Command line

Para ver los grupos de seguridad

Utilice uno de los siguientes comandos.

Amazon EC2 Global View

Puede utilizar Amazon EC2 Global View a fin de ver los grupos de seguridad de todas las regiones para las que su cuenta de AWS se encuentra habilitada. Para obtener más información, consulte Enumerar y filtrar recursos entre regiones mediante Amazon EC2 Global View .

Agregar reglas a un grupo de seguridad

Al agregar una regla a un grupo de seguridad, la nueva regla se aplica automáticamente a cualquier instancia que está asociada al grupo de seguridad. Es posible que haya un breve retraso antes de que se aplique la regla. Para obtener más información, consulte Reglas de grupo de seguridad para diferentes casos de uso y Reglas del grupo de seguridad.

New console

Para añadir una regla de entrada a un grupo de seguridad.

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Seleccione el grupo de seguridad y elija Actions (Acciones), Edit inbound rules (Editar reglas de entrada).

  4. Para cada regla, elija Add Rule (Agregar regla) y realice lo siguiente.

    1. En Type (Tipo), elija el tipo de protocolo que desea permitir.

      • Para TCP o UDP personalizados, debe ingresar el rango de puertos que va a permitir.

      • Para el protocolo ICMP personalizado, debe elegir el tipo de ICMP en Protocol (Protocolo) y, si aplica, el código en Port Range (Rango de puertos). Por ejemplo, para permitir comandos ping, elija Echo Request desde Protocol (Protocolo).

      • Si elige cualquier otro tipo, el protocolo y el rango de puertos se configurarán en su nombre.

    2. Para Source (Fuente), realice una de las siguientes acciones para permitir el tráfico.

      • Elija Custom (Personalizado) y, a continuación, ingrese una dirección IP en notación CIDR, un bloque de CIDR, otro grupo de seguridad o una lista de prefijos.

      • Elija Anywhere (En cualquier lugar) para permitir que todo el tráfico del protocolo especificado llegue a su instancia. Esta opción agrega automáticamente el bloque IPv4 0.0.0.0/0 de CIDR como fuente. Si el grupo de seguridad está en una VPC habilitada para IPv6, esta opción agregará automáticamente una regla para el bloque de CIDR IPv6 ::/0.

        aviso

        Si elige Anywhere (Cualquier lugar), permite que todas las direcciones IPv4 e IPv6 tengan acceso a su instancia mediante el protocolo especificado. Si agrega reglas para los puertos 22 (SSH) o 3389 (RDP), debe autorizar solo a una dirección IP específica o a un rango de direcciones específico para acceder a su instancia.

      • Elija My IP (Mi IP) para permitir el tráfico entrante solo desde la dirección IPv4 pública de su equipo local.

    3. En Description (Descripción), especifique si lo desea una breve descripción de la regla.

  5. Elija Vista previa de cambios, Guardar reglas.

Para agregar una regla de salida a un grupo de seguridad

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Seleccione el grupo de seguridad y elija Actions (Acciones), Edit outboud rules (Editar reglas de salida).

  4. Para cada regla, elija Add Rule (Agregar regla) y realice lo siguiente.

    1. En Type (Tipo), elija el tipo de protocolo que desea permitir.

      • Para TCP o UDP personalizados, debe ingresar el rango de puertos que va a permitir.

      • Para el protocolo ICMP personalizado, debe elegir el tipo de ICMP en Protocol (Protocolo) y, si aplica, el código en Port Range (Rango de puertos).

      • Si elige cualquier otro tipo, el protocolo y el rango de puertos se configurarán de forma automática.

    2. En Destination (Destino), siga uno de estos procedimientos.

      • Elija Personalizado y, a continuación, escriba una dirección IP en notación CIDR, un bloque de CIDR, otro grupo de seguridad o una lista de prefijos para la que permitir el tráfico saliente.

      • Elija Anywhere (En cualquier lugar) para permitir el tráfico saliente en todas las direcciones IP. Esta opción agrega automáticamente el bloque de CIDR IPv4 0.0.0.0/0 como destino.

        Si el grupo de seguridad está en una VPC habilitada para IPv6, esta opción agregará automáticamente una regla para el bloque de CIDR IPv6 ::/0.

      • Elija My IP (Mi IP) para permitir el tráfico saliente solo a la dirección IPv4 pública del equipo local.

    3. En Description (Descripción), especifique una breve descripción de la regla.

  5. Seleccione Preview changes (Vista previa de cambios), Confirm (Confirmar).

Old console

Para agregar reglas a un grupo de seguridad

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad) y seleccione el grupo de seguridad.

  3. En la pestaña Inbound (Entrada), seleccione Edit (Editar).

  4. En el cuadro de diálogo, elija Add Rule (Añadir regla) y haga lo siguiente:

    • Para Type (Tipo), seleccione el protocolo.

    • Si selecciona un protocolo TCP o UDP personalizado, especifique el rango de puertos en Port Range (Rango de puertos).

    • Si selecciona un protocolo ICMP personalizado, elija el nombre del tipo de ICMP en Protocol (Protocolo) y, si se aplica, el nombre de código en Port Range (Rango de puertos). Por ejemplo, para permitir comandos ping, elija Echo Request desde Protocol (Protocolo).

    • En Source (Origen), elija una de las siguientes opciones:

      • Custom (Personalizado): en el campo proporcionado, debe especificar una dirección IP en notación CIDR, un bloque de CIDR u otro grupo de seguridad.

      • Elija Anywhere (En cualquier lugar) para permitir que todo el tráfico del protocolo especificado llegue a su instancia. Esta opción agrega automáticamente el bloque IPv4 0.0.0.0/0 de CIDR como fuente. Si el grupo de seguridad está en una VPC habilitada para IPv6, esta opción agregará automáticamente una regla para el bloque de CIDR IPv6 ::/0.

        aviso

        Si elige Anywhere (Cualquier lugar), permite que todas las direcciones IPv4 e IPv6 tengan acceso a su instancia mediante el protocolo especificado. Si agrega reglas para los puertos 22 (SSH) o 3389 (RDP), debe autorizar solo a una dirección IP específica o a un rango de direcciones específico para acceder a su instancia.

      • My IP (Mi IP): agrega automáticamente la dirección IPv4 pública de su equipo local.

    • En Description (Descripción), puede especificar si lo desea una descripción de la regla.

    Para obtener más información sobre los tipos de reglas que puede agregar, consulte Reglas de grupo de seguridad para diferentes casos de uso.

  5. Seleccione Save.

  6. También puede especificar reglas de salida. En la pestaña Outbound (Salida), elija Edit (Editar), Add Rule (Añadir regla) y, a continuación, haga lo siguiente:

    • Para Type (Tipo), seleccione el protocolo.

    • Si selecciona un protocolo TCP o UDP personalizado, especifique el rango de puertos en Port Range (Rango de puertos).

    • Si selecciona un protocolo ICMP personalizado, elija el nombre del tipo de ICMP en Protocol (Protocolo) y, si se aplica, el nombre de código en Port Range (Rango de puertos).

    • En Destination (Destino), elija una de las siguientes opciones:

      • Custom (Personalizado): en el campo proporcionado, debe especificar una dirección IP en notación CIDR, un bloque de CIDR u otro grupo de seguridad.

      • Anywhere (Cualquier lugar): agrega el bloque de CIDR de IPv4 0.0.0.0/0 de forma automática. Esta opción permite el tráfico de salida a todas las direcciones IP.

        Si el grupo de seguridad se encuentra en una VPC preparada para IPv6, la opción Anywhere (Cualquier lugar) crea dos reglas: una para el tráfico IPv4 (0.0.0.0/0) y otra para el tráfico IPv6 (::/0).

      • My IP (Mi IP): agrega automáticamente la dirección IP de su equipo local.

    • En Description (Descripción), puede especificar si lo desea una descripción de la regla.

  7. Seleccione Save.

Command line

Para agregar reglas a un grupo de seguridad

Utilice uno de los siguientes comandos.

Para agregar una o más reglas de salida a un grupo de seguridad

Utilice uno de los siguientes comandos.

Actualizar reglas de los grupos de seguridad

Puede actualizar una regla de grupo de seguridad mediante uno de los métodos siguientes. La regla actualizada se aplica automáticamente a todas las instancias asociadas al grupo de seguridad.

New console

Al modificar el protocolo, el intervalo de puertos o el origen o destino de una regla de grupo de seguridad existente mediante la consola, esta elimina la regla existente y agrega una nueva automáticamente.

Para actualizar una regla de un grupo de seguridad

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Seleccione el grupo de seguridad.

  4. Elija Actions (Acciones) y Edit inbound rules (Editar reglas de entrada) para actualizar una regla de tráfico de entrada, o bien Actions (Acciones) y Edit outbound rules (Editar reglas de salida) para actualizar una regla de tráfico de salida.

  5. Actualice la regla según sea necesario.

  6. Seleccione Preview changes (Vista previa de cambios), Confirm (Confirmar).

Para etiquetar una regla de grupo de seguridad

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Seleccione el grupo de seguridad.

  4. En la pestaña Inbound rules (Reglas de entrada) o Outbound rules (Reglas de salida), seleccione la casilla de verificación correspondiente a la regla y, luego, elija Manage tags (Administrar etiquetas).

  5. La página Manage tags (Administrar etiquetas) muestra las etiquetas asignadas a la regla. Para agregar una etiqueta, elija Add tag (Agregar etiqueta) e ingrese la clave y el valor de la etiqueta. Para eliminar una etiqueta, elija Remove (Eliminar) junto a la etiqueta que desee eliminar.

  6. Elija Save changes.

Old console

Al modificar el protocolo, el intervalo de puertos o el origen o destino de una regla de grupo de seguridad existente mediante la consola, esta elimina la regla existente y agrega una nueva automáticamente.

Para actualizar una regla de un grupo de seguridad

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Security Groups.

  3. Seleccione el grupo de seguridad que desea actualizar y elija la pestaña Reglas de entrada para actualizar una regla de tráfico entrante o la pestaña Reglas de salida para actualizar una regla de tráfico saliente.

  4. Elija Edit (Editar).

  5. Modifique la entrada la regla según sea necesario y elija Save (Guardar).

Command line

No puede modificar el protocolo, el rango de puertos o el origen o destino de una regla existente mediante la API de Amazon EC2 o una herramienta de línea de comandos. En su lugar, debe eliminar la regla existente y añadir una nueva. Sin embargo, puede actualizar la descripción de una regla existente.

Para actualizar una regla

Utilice uno de los siguientes comandos.

Para actualizar la descripción de una regla de entrada existente

Utilice uno de los siguientes comandos.

Para actualizar la descripción de una regla de salida existente

Utilice uno de los siguientes comandos.

Para etiquetar una regla de grupo de seguridad

Utilice uno de los siguientes comandos.

Eliminar reglas de un grupo de seguridad

Al eliminar una regla de un grupo de seguridad, el cambio se aplica automáticamente a cualquier instancia asociada al grupo de seguridad.

Puede eliminar reglas de un grupo de seguridad mediante uno de los métodos siguientes.

New console

Para eliminar una regla de grupo de seguridad

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Security Groups.

  3. Seleccione el grupo de seguridad que desea actualizar, elija Actions (Acciones), y, a continuación, elija Edit inbound rules (Editar reglas de entrada) para eliminar una regla de entrada o Edit outbound rules (Editar reglas de salida) para eliminar una regla de salida.

  4. Seleccione el botón Delete (Eliminar) situado a la derecha de la regla que desea eliminar.

  5. Seleccione Preview changes (Vista previa de cambios), Confirm (Confirmar).

Old console

Para eliminar una regla de grupo de seguridad

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Security Groups.

  3. Seleccione un grupo de seguridad.

  4. En la pestaña Inbound (Entrada) o en la pestaña Outbound (Salida), elija Edit (Editar). Elija Delete (Eliminar) (el icono con forma de equis) junto a cada regla que desee eliminar.

  5. Seleccione Save.

Command line

Para eliminar una o más reglas de entrada de un grupo de seguridad

Utilice uno de los siguientes comandos.

Para eliminar una o más reglas de salida de un grupo de seguridad

Utilice uno de los siguientes comandos.

Eliminación de un grupo de seguridad

Un grupo de seguridad asociado a una instancia no se puede eliminar. El grupo de seguridad predeterminado no se puede eliminar. No se puede eliminar un grupo de seguridad al que hace referencia una regla en otro grupo de seguridad en la misma VPC. Si hace referencia al grupo de seguridad una de sus propias reglas, debe eliminar la regla antes de poder eliminar el grupo de seguridad.

New console

Para eliminar un grupo de seguridad

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Security Groups.

  3. Seleccione el grupo de seguridad que desea eliminar y elija Actions (Acciones), Delete security group (Eliminar grupo de seguridad), Delete (Eliminar).

Old console

Para eliminar un grupo de seguridad

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Security Groups.

  3. Seleccione un grupo de seguridad y elija Actions (Acciones), Delete Security Group (Eliminar grupo de seguridad).

  4. Elija Yes, Delete (Sí, eliminar).

Command line

Para eliminar un grupo de seguridad

Utilice uno de los siguientes comandos.

Asignar un grupo de seguridad a una instancia

Puede asignar uno o más grupos de seguridad a una instancia cuando lance dicha instancia. También puede especificar uno o más grupos de seguridad en una plantilla de lanzamiento. Los grupos de seguridad se asignarán a todas las instancias que se lancen mediante la plantilla de lanzamiento.

Cambiar el grupo de seguridad de una instancia

Después de lanzar una instancia, puede cambiar sus grupos de seguridad mediante su agregado o eliminación. Es posible cambiar los grupos de seguridad cuando la instancia tiene el estado running o stopped.

New console

Para cambiar los grupos de seguridad para una instancia con la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Instances (Instancias).

  3. Seleccione la instancia y, a continuación, elija Actions (Acciones), Security (Seguridad), Change security groups (Cambiar grupos de seguridad).

  4. En Associated security groups (Grupos de seguridad asociados), seleccione un grupo de seguridad de la lista y elija Add security group (Agregar grupo de seguridad).

    Para quitar un grupo de seguridad ya asociado, elija Remove (Quitar) para ese grupo de seguridad.

  5. Seleccione Save.

Old console

Para cambiar los grupos de seguridad para una instancia con la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Instances (Instancias).

  3. Seleccione la instancia y, a continuación, elija Actions (Acciones), Networking (Redes), Change Security Groups (Cambiar grupos de seguridad).

  4. Para agregar uno o más grupos de seguridad, active la casilla de verificación correspondiente.

    Para eliminar un grupo de seguridad ya asociado, desmarque su casilla de verificación.

  5. Seleccione Assign Security Groups (Asignar grupos de seguridad).

Command line

Para cambiar los grupos de seguridad para una instancia con la línea de comandos

Utilice uno de los siguientes comandos.