Control de acceso con grupos de seguridad - Amazon Relational Database Service

Control de acceso con grupos de seguridad

Los grupos de seguridad de VPC controlan el acceso del tráfico entrante y saliente a una instancia de base de datos. De forma predeterminada, el acceso de red está deshabilitado para una instancia de base de datos. Puede especificar reglas en un grupo de seguridad que permitan el acceso desde un rango de direcciones IP, un puerto o un grupo de seguridad. Una vez configuradas las reglas de entrada, se aplican las mismas reglas a todas las instancias de base de datos que se asocien a ese grupo de seguridad. Puede especificar hasta 20 reglas en un grupo de seguridad.

Información general de los grupos de seguridad de VPC

Cada regla de grupo de seguridad de VPC permite a un origen específico acceder a una instancia de base de datos de una VPC asociada a ese grupo de seguridad de VPC. El origen puede ser un rango de direcciones (por ejemplo, 203.0.113.0/24), u otro grupo de seguridad de VPC. Cuando se especifica un grupo de seguridad de VPC como origen, se permite el tráfico entrante procedente de todas las instancias, normalmente servidores de aplicaciones, que utilizan el grupo de seguridad de VPC. Los grupos de seguridad de VPC pueden tener reglas que rijan el tráfico entrante y saliente. Sin embargo, las reglas de tráfico saliente normalmente no se aplican a instancias de bases de datos. Las reglas de tráfico saliente solo se aplican si la instancia de base de datos actúa como cliente. Por ejemplo, las reglas de tráfico saliente se aplican a una base de datos Oracle con enlaces a la base de datos saliente. Debe utilizar la API de Amazon EC2 o la opción Security Group (Grupo de seguridad) de la consola de VPC para crear grupos de seguridad de VPC.

Cuando cree reglas para un grupo de seguridad de VPC que permitan el acceso a las instancias de una VPC, debe especificar un puerto para cada rango de direcciones a las que la regla permite el acceso. Por ejemplo, si desea habilitar el acceso Secure Shell (SSH) a las instancias de la VPC, puede crear una regla que permita el acceso al puerto TCP 22 para el rango de direcciones especificado.

Puede configurar varios grupos de seguridad de VPC que permitan el acceso a puertos distintos para las distintas instancias de la VPC. Por ejemplo, puede crear un grupo de seguridad de VPC que permita el acceso al puerto TCP 80 para los servidores web de la VPC. A continuación, puede crear otro grupo de seguridad de VPC que permita el acceso al puerto TCP 3306 para las instancias de base de datos de Aurora MySQL de RDS for MySQL en la VPC.

Para obtener más información sobre los grupos de seguridad de VPC, consulte Grupos de seguridad en la Guía del usuario de Amazon Virtual Private Cloud.

nota

Si su instancia se encuentra en una VPC pero no es accesible públicamente, también puede usar una conexión AWS Site-to-Site VPN o una conexión de AWS Direct Connect para acceder al mismo desde una red privada. Para obtener más información, consulte Privacidad del tráfico entre redes.

Escenario de grupos de seguridad

Un uso común de una instancia de base de datos en una VPC es compartir datos con un servidor de aplicaciones que se ejecuta en una instancia Amazon EC2 de la misma VPC, al que obtiene acceso desde una aplicación cliente situada fuera de la VPC. Para este escenario, se utilizan las páginas de RDS y VPC de la AWS Management Console o las operaciones de la API de RDS y EC2 para crear las instancias y los grupos de seguridad necesarios:

  1. Cree un grupo de seguridad de VPC (por ejemplo, sg-0123ec2example) y defina reglas de entrada que utilicen las direcciones IP de la aplicación cliente como origen. Este grupo de seguridad permite que la aplicación cliente se conecte a las instancias EC2 de una VPC que utilice este grupo de seguridad.

  2. Cree una instancia EC2 para la aplicación y añada la instancia EC2 al grupo de seguridad de VPC (sg-0123ec2example) que creó en el paso anterior.

  3. Cree un segundo grupo de seguridad de VPC (por ejemplo, sg-6789rdsexample) y cree una regla nueva especificando el grupo de seguridad de VPC que creó en el paso 1 (sg-0123ec2example) como origen.

  4. Cree una instancia de base de datos y añada la instancia de base de datos al grupo de seguridad de VPC (sg-6789rdsexample) que creó en el paso anterior. Cuando cree la instancia de base de datos, utilice el mismo número de puerto que especificó para la regla de grupo de seguridad de VPC (sg-6789rdsexample) que creó en el paso 3.

En el siguiente diagrama se muestra este escenario.


                    Instancia de base de datos e instancia EC2 en una VPC

Para obtener instrucciones detalladas acerca de la configuración de una VPC para este escenario, consulte Tutorial: Creación de una VPC para utilizarla con una instancia de base de datos (solo IPv4). Para obtener más información acerca del uso de una VPC, consulte VPC de Amazon y Amazon RDS.

Creación de un grupo de seguridad de VPC

Puede crear un grupo de seguridad de VPC para una instancia de base de datos mediante la consola de VPC. Para obtener información sobre la creación de un grupo de seguridad, consulte Proporcionar acceso a la instancia de base de datos en la VPC mediante la creación de un grupo de seguridad y Grupos de seguridad en la Guía del usuario de Amazon Virtual Private Cloud.

Asociación de un grupo de seguridad con una instancia de base de datos

Puede asociar un grupo de seguridad con una instancia de base de datos mediante la opción Modify (Modificar) de la consola de RDS, la API de Amazon RDS ModifyDBInstance o el comando modify-db-instance de AWS CLI.

Para obtener más información acerca de la modificación de una instancia de base de datos , consulte Modificación de una instancia de base de datos de Amazon RDS. Para consideraciones relativas al grupo de seguridad al restaurar una instancia de base de datos a partir de una instantánea de base de datos, consulte Consideraciones relativas al grupo de seguridad.