Trabajar con grupos de seguridad

Puede asignar un grupo de seguridad a una instancia al lanzar la instancia. Al añadir o quitar reglas, esos cambios se aplican automáticamente a todas las instancias a las que ha asignado el grupo de seguridad. Para obtener más información, consulte Asignar un grupo de seguridad a una instancia.

Una vez lanzada la instancia, puede cambiar sus grupos de seguridad. Para obtener más información, consulte Cambiar el grupo de seguridad de una instancia.

Puede crear, ver, actualizar y eliminar grupos de seguridad y las reglas de los grupos de seguridad mediante la consola de Amazon EC2 y las herramientas de la línea de comandos.

Crear un grupo de seguridad

Aunque puede utilizar el grupo de seguridad predeterminado para sus instancias, puede que desee crear sus propios grupos para reflejar las distintas funciones de desempeñan que juegan las instancias en su sistema.

De forma predeterminada, los grupos de seguridad nuevos comienzan con una única regla de salida que permite que todo el tráfico salga de las instancias. Debe añadir reglas para permitir el tráfico entrante o restringir el tráfico saliente.

El grupo de seguridad solo se puede utilizar en la VPC para la que se creó.

Console

Para crear un grupo de seguridad

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

2. En el panel de navegación, elija Grupos de seguridad.

3. Elija Create Security Group (Crear grupo de seguridad).

4. En la sección Detalles básicos haga lo siguiente.

   1. Introduzca un nombre descriptivo y una breve descripción para el grupo de seguridad. No se pueden editar después de crear el grupo de seguridad. El nombre y la descripción puede tener una longitud máxima de 255 caracteres. Los caracteres permitidos son a-z, A-Z, 0-9, espacios y ._-:/()#,@[]+=&;{}!$*.

   2. En VPC, elija la VPC.

5. Puede agregar reglas de grupo de seguridad ahora o más adelante. Para obtener más información, consulte Agregar reglas a un grupo de seguridad.

6. Puede agregar etiquetas ahora o más adelante. Para agregar una etiqueta, elija Agregar nueva etiqueta y, a continuación, ingrese la clave y el valor de la etiqueta.

7. Elija Crear grupo de seguridad.

Command line

Para crear un grupo de seguridad

Utilice uno de los siguientes comandos:

• create-security-group (AWS CLI)

• New-EC2SecurityGroup (AWS Tools for Windows PowerShell)

Copiar un grupo de seguridad

Puede crear un nuevo grupo de seguridad creando una copia de uno existente. Al copiar un grupo de seguridad, la copia se crea con las mismas reglas de entrada y salida que el grupo de seguridad original. Si el grupo de seguridad original está en una VPC, la copia se crea en la misma VPC a menos que especifique otra.

La copia recibe un nuevo ID de grupo de seguridad único y debe asignarle un nombre. También puede agregar una descripción.

No se puede copiar un grupo de seguridad de una región a otra.

Puede crear su grupo de seguridad mediante la consola de Amazon EC2.

Para copiar un grupo de seguridad

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

2. En el panel de navegación, elija Security Groups.

3. Seleccione el grupo de seguridad que desea copiar y elija Acciones, Copiar en nuevo grupo de seguridad.

4. Especifique un nombre y una descripción opcional, y cambie las reglas de VPC y grupo de seguridad si es necesario.

5. Seleccione Create (Crear).

Ver los grupos de seguridad

Puede ver información sobre los grupos de seguridad mediante uno de los métodos siguientes.

Console

Para ver los grupos de seguridad

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

2. En el panel de navegación, elija Security Groups.

3. Los grupos de seguridad aparecen en la lista. Para ver los detalles de un grupo de seguridad específico, incluidas sus reglas de entrada y salida, elija su ID en la columna ID de grupo de seguridad.

Command line

Para ver los grupos de seguridad

Utilice uno de los siguientes comandos.

• describe-security-groups (AWS CLI)

• describe-security-group-rules (AWS CLI)

• Get-EC2SecurityGroup (AWS Tools for Windows PowerShell)

Amazon EC2 Global View

Puede utilizar Amazon EC2 Global View a fin de ver los grupos de seguridad de todas las regiones para las que su cuenta de AWS se encuentra habilitada. Para obtener más información, consulte Amazon EC2 Global View.

Agregar reglas a un grupo de seguridad

Al agregar una regla a un grupo de seguridad, la nueva regla se aplica automáticamente a cualquier instancia que está asociada al grupo de seguridad. Es posible que haya un breve retraso antes de que se aplique la regla. Para obtener más información, consulte Reglas de grupo de seguridad para diferentes casos de uso y Reglas del grupo de seguridad.

Console

Para añadir una regla de entrada a un grupo de seguridad.

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

2. En el panel de navegación, elija Security Groups.

3. Seleccione el grupo de seguridad y elija Acciones, Editar reglas de entrada.

4. Para cada regla, elija Agregar regla y realice lo siguiente.

   1. En Tipo, elija el tipo de protocolo que desea permitir.

      • En TCP personalizado o UDP personalizado, debe ingresar el intervalo de puertos que va a permitir. Por ejemplo, 0-99.

      • En ICMP personalizado, debe elegir el tipo de ICMP en Protocolo. El intervalo de puertos está configurado para usted. Por ejemplo, para permitir comandos ping, elija Echo Request desde Protocolo.

      • Si elige cualquier otro tipo, el protocolo y el rango de puertos se configurarán en su nombre.

   2. Para Fuente, realice una de las siguientes acciones para permitir el tráfico.

      • Elija Personalizado y, a continuación, ingrese una dirección IP en notación CIDR, un bloque de CIDR, otro grupo de seguridad o una lista de prefijos.

      • Elija Cualquier lugar para permitir que todo el tráfico del protocolo especificado llegue a su instancia. Esta opción agrega automáticamente el bloque IPv4 0.0.0.0/0 de CIDR como fuente. Si el grupo de seguridad está en una VPC habilitada para IPv6, esta opción agregará automáticamente una regla para el bloque de CIDR IPv6 ::/0.

        aviso

        Si elige Cualquier lugar, permite que todas las direcciones IPv4 e IPv6 tengan acceso a su instancia mediante el protocolo especificado. Si agrega reglas para los puertos 22 (SSH) o 3389 (RDP), debe autorizar solo a una dirección IP específica o a un rango de direcciones específico para acceder a su instancia.

      • Elija Mi IP para permitir el tráfico entrante solo desde la dirección IPv4 pública de su equipo local.

   3. En Descripción, especifique si lo desea una breve descripción de la regla.

5. Elija Vista previa de cambios, Guardar reglas.

Para agregar una regla de salida a un grupo de seguridad

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

2. En el panel de navegación, elija Security Groups.

3. Seleccione el grupo de seguridad y elija Acciones, Editar reglas de salida.

4. Para cada regla, elija Agregar regla y realice lo siguiente.

   1. En Tipo, elija el tipo de protocolo que desea permitir.

      • En TCP personalizado o UDP personalizado, debe ingresar el intervalo de puertos que va a permitir. Por ejemplo, 0-99.

      • En ICMP personalizado, debe elegir el tipo de ICMP en Protocolo. El intervalo de puertos está configurado para usted.

      • Si elige cualquier otro tipo, el protocolo y el rango de puertos se configurarán de forma automática.

   2. En Destino, siga uno de estos procedimientos.

      • Elija Personalizado y, a continuación, escriba una dirección IP en notación CIDR, un bloque de CIDR, otro grupo de seguridad o una lista de prefijos para la que permitir el tráfico saliente.

      • Elija En cualquier lugar para permitir el tráfico saliente en todas las direcciones IP. Esta opción agrega automáticamente el bloque de CIDR IPv4 0.0.0.0/0 como destino.

        Si el grupo de seguridad está en una VPC habilitada para IPv6, esta opción agregará automáticamente una regla para el bloque de CIDR IPv6 ::/0.

      • Elija Mi IP para permitir el tráfico saliente solo a la dirección IPv4 pública del equipo local.

   3. En Descripción, especifique una breve descripción de la regla.

5. Seleccione Vista previa de cambios, Confirmar.

Command line

Para agregar reglas a un grupo de seguridad

Utilice uno de los siguientes comandos.

• authorize-security-group-ingress (AWS CLI)

• Grant-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)

Para agregar una o más reglas de salida a un grupo de seguridad

Utilice uno de los siguientes comandos.

• authorize-security-group-egress (AWS CLI)

• Grant-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)

Actualizar reglas de los grupos de seguridad

Puede actualizar una regla de grupo de seguridad mediante uno de los métodos siguientes. La regla actualizada se aplica automáticamente a todas las instancias asociadas al grupo de seguridad.

Console

Al modificar el protocolo, el intervalo de puertos o el origen o destino de una regla de grupo de seguridad existente mediante la consola, esta elimina la regla existente y agrega una nueva automáticamente.

Para actualizar una regla de un grupo de seguridad

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

2. En el panel de navegación, elija Security Groups.

3. Seleccione el grupo de seguridad.

4. Elija Acciones y Editar reglas de entrada para actualizar una regla de tráfico de entrada, o bien Acciones y Editar reglas de salida para actualizar una regla de tráfico de salida.

5. Actualice la regla según sea necesario.

6. Seleccione Vista previa de cambios, Confirmar.

Para etiquetar una regla de grupo de seguridad

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

2. En el panel de navegación, elija Security Groups.

3. Seleccione el grupo de seguridad.

4. En la pestaña Reglas de entrada o Reglas de salida, seleccione la casilla de verificación correspondiente a la regla y, luego, elija Administrar etiquetas.

5. La página Administrar etiquetas muestra las etiquetas asignadas a la regla. Para agregar una etiqueta, elija Agregar etiqueta e ingrese la clave y el valor de la etiqueta. Para eliminar una etiqueta, elija Remove (Eliminar) junto a la etiqueta que desee eliminar.

6. Elija Guardar cambios.

Command line

No puede modificar el protocolo, el rango de puertos o el origen o destino de una regla existente mediante la API de Amazon EC2 o una herramienta de línea de comandos. En su lugar, debe eliminar la regla existente y añadir una nueva. Sin embargo, puede actualizar la descripción de una regla existente.

Para actualizar una regla

Utilice uno de los siguientes comandos.

• modify-security-group-rules (AWS CLI)

Para actualizar la descripción de una regla de entrada existente

Utilice uno de los siguientes comandos.

• update-security-group-rule-descriptions-ingress (AWS CLI)

• Update-EC2SecurityGroupRuleIngressDescription (AWS Tools for Windows PowerShell)

Para actualizar la descripción de una regla de salida existente

Utilice uno de los siguientes comandos.

• update-security-group-rule-descriptions-egress (AWS CLI)

• Update-EC2SecurityGroupRuleEgressDescription (AWS Tools for Windows PowerShell)

Para etiquetar una regla de grupo de seguridad

Utilice uno de los siguientes comandos.

• create-tags (AWS CLI)

• New-EC2Tag (AWS Tools for Windows PowerShell)

Eliminar reglas de un grupo de seguridad

Al eliminar una regla de un grupo de seguridad, el cambio se aplica automáticamente a cualquier instancia asociada al grupo de seguridad.

Puede eliminar reglas de un grupo de seguridad mediante uno de los métodos siguientes.

Console

Para eliminar una regla de grupo de seguridad

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

2. En el panel de navegación, elija Security Groups.

3. Seleccione el grupo de seguridad que desea actualizar, elija Acciones, y, a continuación, elija Editar reglas de entrada para eliminar una regla de entrada o Editar reglas de salida para eliminar una regla de salida.

4. Seleccione el botón Eliminar situado a la derecha de la regla que desea eliminar.

5. Seleccione Guardar reglas. También puede seleccionar Vista previa de los cambios, revisar los cambios y elegir Confirmar.

Command line

Para eliminar una o más reglas de entrada de un grupo de seguridad

Utilice uno de los siguientes comandos.

• revoke-security-group-ingress (AWS CLI)

• Revoke-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)

Para eliminar una o más reglas de salida de un grupo de seguridad

Utilice uno de los siguientes comandos.

• revoke-security-group-egress (AWS CLI)

• Revoke-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)

Eliminación de un grupo de seguridad

Un grupo de seguridad asociado a una instancia no se puede eliminar. El grupo de seguridad predeterminado no se puede eliminar. No se puede eliminar un grupo de seguridad al que hace referencia una regla en otro grupo de seguridad en la misma VPC. Si hace referencia al grupo de seguridad una de sus propias reglas, debe eliminar la regla antes de poder eliminar el grupo de seguridad.

Console

Para eliminar un grupo de seguridad

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

2. En el panel de navegación, elija Security Groups.

3. Seleccione un grupo de seguridad y elija Acciones, Eliminar grupo de seguridad.

4. Cuando se le pida confirmación, seleccione Eliminar.

Command line

Para eliminar un grupo de seguridad

Utilice uno de los siguientes comandos.

• delete-security-group (AWS CLI)

• Remove-EC2SecurityGroup (AWS Tools for Windows PowerShell)

Asignar un grupo de seguridad a una instancia

Puede asignar uno o más grupos de seguridad a una instancia cuando lance dicha instancia. También puede especificar uno o más grupos de seguridad en una plantilla de lanzamiento. Los grupos de seguridad se asignan a todas las instancias que se lancen mediante la plantilla de lanzamiento.

• Para asignar un grupo de seguridad a una instancia en el momento en que se lanza, consulte Network settings (Configuración de red) de iniciar una instancia mediante parámetros definidos (nueva consola) o Paso 6: Configurar un grupo de seguridad (consola antigua).

• Para especificar un grupo de seguridad en una plantilla de lanzamiento, consulte Network settings (Configuración de red) de Creación de una plantilla de inicialización a partir de parámetros.

Cambiar el grupo de seguridad de una instancia

Después de iniciar una instancia, puede cambiar sus grupos de seguridad mediante su agregado o eliminación.

Requisitos

• El estado de la instancia debe ser running o stopped.

• Un grupo de seguridad es específico de una VPC. Puede asignar un grupo de seguridad a una o más instancias lanzadas en la VPC para la que creó el grupo de seguridad.

Console

Para cambiar los grupos de seguridad de una instancia

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

2. En el panel de navegación, seleccione Instances (Instancias).

3. Seleccione la instancia y, a continuación, elija Acciones, Seguridad, Cambiar grupos de seguridad.

4. En Grupos de seguridad asociados, seleccione un grupo de seguridad de la lista y elija Agregar grupo de seguridad.

   Para quitar un grupo de seguridad ya asociado, elija Quitar para ese grupo de seguridad.

5. Elija Guardar.

Command line

Para cambiar los grupos de seguridad de una instancia

Utilice uno de los siguientes comandos.

• modify-instance-attribute (AWS CLI)

• Edit-EC2InstanceAttribute (AWS Tools for Windows PowerShell)