Control de acceso con grupos de seguridad
Los grupos de seguridad de VPC controlan el acceso del tráfico entrante y saliente a una instancia de base de datos. De forma predeterminada, el acceso de red está deshabilitado para una instancia de base de datos. Puede especificar reglas en un grupo de seguridad que permitan el acceso desde un rango de direcciones IP, un puerto o un grupo de seguridad. Una vez configuradas las reglas de entrada, se aplican las mismas reglas a todas las instancias de base de datos que están asociadas a ese grupo de seguridad. Puede especificar hasta 20 reglas en un grupo de seguridad.
Información general de los grupos de seguridad de VPC
Cada regla de grupo de seguridad de VPC permite a un origen específico acceder a una instancia de base de datos de una VPC asociada a ese grupo de seguridad de VPC. El origen puede ser un rango de direcciones (por ejemplo, 203.0.113.0/24), u otro grupo de seguridad de VPC. Cuando se especifica un grupo de seguridad de VPC como origen, se permite el tráfico entrante procedente de todas las instancias, normalmente servidores de aplicaciones, que utilizan el grupo de seguridad de VPC. Los grupos de seguridad de VPC pueden tener reglas que rijan el tráfico entrante y saliente. Sin embargo, las reglas de tráfico saliente normalmente no se aplican a instancias de bases de datos. Las reglas de tráfico saliente solo se aplican si la instancia de base de datos actúa como cliente. Por ejemplo, las reglas de tráfico saliente se aplican a una base de datos Oracle con enlaces a la base de datos saliente. Debe utilizar la API de Amazon EC2 o la opción Security Group (Grupo de seguridad) de la consola de VPC para crear grupos de seguridad de VPC.
Cuando cree reglas para un grupo de seguridad de VPC que permitan el acceso a las instancias de una VPC, debe especificar un puerto para cada rango de direcciones a las que la regla permite el acceso. Por ejemplo, si desea habilitar el acceso Secure Shell (SSH) a las instancias de la VPC, puede crear una regla que permita el acceso al puerto TCP 22 para el rango de direcciones especificado.
Puede configurar varios grupos de seguridad de VPC que permitan el acceso a puertos distintos para las distintas instancias de la VPC. Por ejemplo, puede crear un grupo de seguridad de VPC que permita el acceso al puerto TCP 80 para los servidores web de la VPC. A continuación, puede crear otro grupo de seguridad de VPC que permita el acceso al puerto TCP 3306 para las instancias de base de datos de Aurora MySQL de RDS for MySQL en la VPC.
Para obtener más información sobre los grupos de seguridad de VPC, consulte Grupos de seguridad en la Guía del usuario de Amazon Virtual Private Cloud.
nota
Si su instancia se encuentra en una VPC pero no es accesible públicamente, también puede usar una conexión AWS Site-to-Site VPN o una conexión de AWS Direct Connect para acceder al mismo desde una red privada. Para obtener más información, consulte Privacidad del tráfico entre redes.
Escenario de grupos de seguridad
Un uso común de una instancia de base de datos en una VPC es compartir datos con un servidor de aplicaciones que se ejecuta en una instancia Amazon EC2 de la misma VPC, al que obtiene acceso desde una aplicación cliente situada fuera de la VPC. Para este escenario, se utilizan las páginas de RDS y VPC de la AWS Management Console o las operaciones de la API de RDS y EC2 para crear las instancias y los grupos de seguridad necesarios:
Cree un grupo de seguridad de VPC (por ejemplo,
sg-0123ec2example) y defina reglas de entrada que utilicen las direcciones IP de la aplicación cliente como origen. Este grupo de seguridad permite que la aplicación cliente se conecte a las instancias EC2 de una VPC que utilice este grupo de seguridad.Cree una instancia EC2 para la aplicación y añada la instancia EC2 al grupo de seguridad de VPC (
sg-0123ec2example) que creó en el paso anterior.Cree un segundo grupo de seguridad de VPC (por ejemplo,
sg-6789rdsexample) y cree una regla nueva especificando el grupo de seguridad de VPC que creó en el paso 1 (sg-0123ec2example) como origen.Cree una instancia de base de datos y añada la instancia de base de datos al grupo de seguridad de VPC (
sg-6789rdsexample) que creó en el paso anterior. Cuando cree la instancia de base de datos, utilice el mismo número de puerto que especificó para la regla de grupo de seguridad de VPC (sg-6789rdsexample) que creó en el paso 3.
En el siguiente diagrama se muestra este escenario.
Para obtener instrucciones detalladas acerca de la configuración de una VPC para este escenario, consulte Tutorial: Creación de una VPC para utilizarla con una instancia de base de datos (solo IPv4). Para obtener más información acerca del uso de una VPC, consulte VPC de Amazon y Amazon RDS.
Creación de un grupo de seguridad de VPC
Puede crear un grupo de seguridad de VPC para una instancia de base de datos mediante la consola de VPC. Para obtener información sobre la creación de un grupo de seguridad, consulte Proporcionar acceso a la instancia de base de datos en la VPC mediante la creación de un grupo de seguridad y Grupos de seguridad en la Guía del usuario de Amazon Virtual Private Cloud.
Asociación de un grupo de seguridad con una instancia de base de datos
Puede asociar un grupo de seguridad con una instancia de base de datos mediante la opción Modify (Modificar) de la consola de RDS, la API de Amazon RDS ModifyDBInstance o el comando modify-db-instance de AWS CLI.
El siguiente ejemplo de la CLI asocia un grupo de seguridad de VPC específico y elimina los grupos de seguridad de base de datos de la instancia de base de datos.
aws rds modify-db-instance --db-instance-identifierdbName--vpc-security-group-idssg-ID
Para obtener más información acerca de la modificación de una instancia de base de datos , consulte Modificación de una instancia de base de datos de Amazon RDS. Para consideraciones relativas al grupo de seguridad al restaurar una instancia de base de datos a partir de una instantánea de base de datos, consulte Consideraciones relativas al grupo de seguridad.
nota
La consola de RDS muestra diferentes nombres de reglas de grupos de seguridad para la base de datos si el valor del puerto está configurado en un valor no predeterminado.
