Uso de grupos de seguridad de base de datos (plataforma EC2-Classic) - Amazon Relational Database Service

Uso de grupos de seguridad de base de datos (plataforma EC2-Classic)

De forma predeterminada, el acceso de red está deshabilitado para una instancia de base de datos. Puede especificar reglas en un grupo de seguridad que permitan el acceso desde un rango de direcciones IP, un puerto o un grupo de seguridad. Cuando se configuran las reglas de entrada, se aplican las mismas reglas a todas las instancias de base de datos que están asociadas a ese grupo de seguridad. Puede especificar hasta 20 reglas en un grupo de seguridad.

Amazon RDS admite dos tipos distintos de grupos de seguridad: El grupo que vaya a utilizar dependerá de la plataforma de Amazon RDS en la que esté:

  • Grupos de seguridad de VPC: para la plataforma EC2-VPC.

  • Grupos de seguridad de base de datos: para la plataforma EC2-Classic.

Está muy probablemente en la plataforma EC2-VPC (y debe usar los grupos de seguridad VPC) si se da alguna de las siguientes condiciones:

  • Si usted es un cliente nuevo de Amazon RDS.

  • Si nunca antes ha creado una instancia de base de datos.

  • Si va a crear una instancia de base de datos en una región de AWS que no ha utilizado antes.

De lo contrario, si está en la plataforma EC2-Classic, debe usar grupos de seguridad de base de datos para administrar el acceso a las instancias de base de datos de Amazon RDS. Para obtener más información acerca de las diferencias entre los grupos de seguridad de base de datos y los grupos de seguridad de VPC , consulte Control de acceso con grupos de seguridad.

nota

Para determinar en qué plataforma está, consulte Describe cómo determinar si se está utilizando la plataforma EC2-VPC o EC2-Classic..

Si está en la plataforma EC2-VPC, debe usar grupos de seguridad de VPC en lugar de grupos de seguridad de base de datos. Para obtener más información acerca del uso de una VPC, consulte VPC Amazon Virtual Private Cloud y Amazon RDS.

Creación de un grupo de seguridad de base de datos

Para crear un grupo de seguridad de base de datos, debe proporcionar un nombre y una descripción.

Para crear un grupo de seguridad de base de datos

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación, elija Security Groups.

    nota

    Si está en la plataforma EC2-VPC, la opción Security Groups (Grupos de seguridad) no aparece en el panel de navegación. En este caso, debe usar grupos de seguridad de VPC en lugar de grupos de seguridad de base de datos. Para obtener más información acerca del uso de una VPC, consulte VPC Amazon Virtual Private Cloud y Amazon RDS.

  3. Elija Create DB Security Group.

  4. Escriba el nombre y la descripción del nuevo grupo de seguridad de base de datos en los cuadros de texto Name y Description. El nombre del grupo de seguridad no puede contener espacios ni empezar por un número.

  5. Elija Yes, Create (Sí, crear).

    Se crea el grupo de seguridad de base de datos.

    Un grupo de seguridad de base de datos que se acaba de crear no proporciona acceso de manera predeterminada a una instancia de base de datos. Debe especificar un rango de direcciones IP o un grupo de seguridad EC2-Classic que pueda obtener acceso a la instancia de base de datos. Para especificar direcciones IP o un grupo de seguridad EC2-Classic para un grupo de seguridad de base de datos, consulte Autorización del acceso de red a un grupo de seguridad de base de datos desde un intervalo de direcciones IP.

Para crear un grupo de seguridad de base de datos, use el comando AWS CLI de la create-db-security-group.

Para Linux, macOS o Unix:

aws rds create-db-security-group \ --db-security-group-name mydbsecuritygroup \ --db-security-group-description "My new security group"

Para Windows:

aws rds create-db-security-group ^ --db-security-group-name mydbsecuritygroup ^ --db-security-group-description "My new security group"

Un grupo de seguridad de base de datos que se acaba de crear no proporciona acceso de manera predeterminada a una instancia de base de datos. Debe especificar un rango de direcciones IP o un grupo de seguridad EC2-Classic que pueda obtener acceso a la instancia de base de datos. Para especificar direcciones IP o un grupo de seguridad EC2-Classic para un grupo de seguridad de base de datos, consulte Autorización del acceso de red a un grupo de seguridad de base de datos desde un intervalo de direcciones IP.

Para crear un grupo de seguridad de base de datos, llame a la función CreateDBSecurityGroup de Amazon RDS con los siguientes parámetros:

  • DBSecurityGroupName = mydbsecuritygroup

  • Description = "My new security group"

ejemplo

https://rds.amazonaws.com/ ?Action=CreateDBSecurityGroup &DBSecurityGroupName=mydbsecuritygroup &Description=My%20new%20db%20security%20group &Version=2012-01-15 &SignatureVersion=2 &SignatureMethod=HmacSHA256 &Timestamp=2012-01-20T22%3A06%3A23.624Z &AWSAccessKeyId=<Access Key ID> &Signature=<Signature>

Un grupo de seguridad de base de datos que se acaba de crear no proporciona acceso de manera predeterminada a una instancia de base de datos. Debe especificar un rango de direcciones IP o un grupo de seguridad EC2-Classic que pueda obtener acceso a la instancia de base de datos. Para especificar direcciones IP o un grupo de seguridad EC2-Classic para un grupo de seguridad de base de datos, consulte Autorización del acceso de red a un grupo de seguridad de base de datos desde un intervalo de direcciones IP.

Descripción de grupos de seguridad de base de datos disponibles

Es posible obtener una lista de los grupos de seguridad de base de datos que se han creado para una cuenta de AWS.

Para obtener una lista de todos los grupos de seguridad de base de datos disponibles para una cuenta de AWS

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación, elija Security Groups.

    Los grupos de seguridad de base de datos disponibles aparecen en la lista DB Security Groups.

    nota

    Si está en la plataforma EC2-VPC, la opción Security Groups (Grupos de seguridad) no aparece en el panel de navegación. En este caso, debe usar grupos de seguridad de VPC en lugar de grupos de seguridad de base de datos. Para obtener más información acerca del uso de una VPC, consulte VPC Amazon Virtual Private Cloud y Amazon RDS.

A fin de mostrar todos los grupos de seguridad de base de datos disponibles para una cuenta de AWS, use el comando AWS CLI de la describe-db-security-groups sin parámetros.

aws rds describe-db-security-groups

A fin de mostrar todos los grupos de seguridad de base de datos disponibles para una cuenta de AWS, llame a DescribeDBSecurityGroups sin parámetros.

ejemplo

https://rds.amazonaws.com/ ?Action=DescribeDBSecurityGroups &MaxRecords=100 &Version=2009-10-16 &SignatureVersion=2 &SignatureMethod=HmacSHA256 &AWSAccessKeyId=<Access Key ID> &Signature=<Signature>

Visualización de un grupo de seguridad de base de datos

Puede ver información detallada acerca de su grupo de seguridad de base de datos para averiguar qué rangos de direcciones IP se han autorizado.

Para ver las propiedades de un grupo de seguridad de base de datos concreto

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación, elija Security Groups.

    nota

    Si está en la plataforma EC2-VPC, la opción Security Groups (Grupos de seguridad) no aparece en el panel de navegación. En este caso, debe usar grupos de seguridad de VPC en lugar de grupos de seguridad de base de datos. Para obtener más información acerca del uso de una VPC, consulte VPC Amazon Virtual Private Cloud y Amazon RDS.

  3. Seleccione el icono de detalles del grupo de seguridad de base de datos que desea ver. Se muestra la información detallada del grupo de seguridad de base de datos.

Para ver las propiedades de un grupo de seguridad de base de datos, use el comando de la AWS CLI describe-db-security-groups. Especifique el grupo de seguridad de base de datos que desea ver.

Para Linux, macOS o Unix:

aws rds describe-db-security-groups \ --db-security-group-name mydbsecuritygroup

Para Windows:

aws rds describe-db-security-groups ^ --db-security-group-name mydbsecuritygroup

Para ver las propiedades de un grupo de seguridad de base de datos, llame a DescribeDBSecurityGroups con los siguientes parámetros.

  • DBSecurityGroupName=mydbsecuritygroup

ejemplo

https://rds.amazonaws.com/ ?Action=DescribeDBSecurityGroups &DBSecurityGroupName=mydbsecuritygroup &Version=2009-10-16 &SignatureVersion=2 &SignatureMethod=HmacSHA256 &Timestamp=2009-10-16T22%3A23%3A07.107Z &AWSAccessKeyId=<Access Key ID> &Signature=<Signature>

Asociación de un grupo de seguridad de base de datos con una instancia de base de datos

Puede asociar un grupo de seguridad de base de datos con una instancia de base de datos mediante la opción Modify (Modificar) de la consola de RDS, la API de Amazon RDS ModifyDBInstance o el comando AWS CLI de modify-db-instance.

Para obtener más información acerca de la modificación de una instancia de base de datos , consulte Modificación de una instancia de base de datos de Amazon RDS.

Autorización del acceso de red a un grupo de seguridad de base de datos desde un intervalo de direcciones IP

De forma predeterminada, el acceso de red está deshabilitado para una instancia de base de datos. Si desea obtener acceso a una instancia de base de datos que no está en una VPC, debe definir reglas de acceso para un grupo de seguridad de base de datos con el fin de permitir el acceso desde grupos de seguridad de EC2-Classic o intervalos de direcciones IP de CIDR. A continuación, debe asociar esa instancia de base de datos a ese grupo de seguridad de base de datos. Este proceso se denomina entrada. Cuando se configura la entrada para un grupo de seguridad de base de datos, se aplican las mismas reglas de entrada a todas las instancias de base de datos que están asociadas a ese grupo de seguridad de base de datos.

aviso

Hable con el administrador de la red si desea obtener acceso a una instancia de base de datos que se encuentra detrás de un firewall para determinar las direcciones IP que debe usar.

En el siguiente ejemplo, se configura un grupo de seguridad de base de datos con una regla de entrada para un intervalo de direcciones IP de CIDR.

Para configurar un grupo de seguridad de base de datos con una regla de entrada para un intervalo de direcciones IP de CIDR.

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación, elija Security Groups.

    nota

    Si está en la plataforma EC2-VPC, la opción Security Groups (Grupos de seguridad) no aparece en el panel de navegación. En este caso, debe usar grupos de seguridad de VPC en lugar de grupos de seguridad de base de datos. Para obtener más información acerca del uso de una VPC, consulte VPC Amazon Virtual Private Cloud y Amazon RDS.

  3. Seleccione el icono de detalles del grupo de seguridad de base de datos que desea autorizar.

  4. En la página de detalles del grupo de seguridad, seleccione CIDR/IP en la lista desplegable Connection Type, escriba el intervalo de CIDR para la regla de entrada que desea añadir a este grupo de seguridad de base de datos en el cuadro de texto CIDR y elija Authorize.

    sugerencia

    La AWS Management Console muestra una dirección IP de CIDR basada en la conexión debajo del campo de texto CIDR. Si no va a obtener acceso a la instancia de base de datos desde detrás de un firewall, puede utilizar esta IP de CIDR.

  5. El estado de la regla de entrada es authorizing hasta que la nueva regla de entrada se haya aplicado a todas las instancias de base de datos que estén asociadas con el grupo de seguridad de base de datos que modificó. Una vez que la regla de entrada se haya aplicado correctamente, el estado cambia a authorized.

Para configurar un grupo de seguridad de base de datos con una regla de entrada para un intervalo de direcciones IP de CIDR, use el comando AWS CLI de la authorize-db-security-group-ingress.

Para Linux, macOS o Unix:

aws rds authorize-db-security-group-ingress \ --db-security-group-name mydbsecuritygroup \ --cidrip 192.168.1.10/27

Para Windows:

aws rds authorize-db-security-group-ingress ^ --db-security-group-name mydbsecuritygroup ^ --cidrip 192.168.1.10/27

El comando debería producir un resultado similar al siguiente.

SECGROUP mydbsecuritygroup My new DBSecurityGroup IP-RANGE 192.168.1.10/27 authorizing

Para configurar un grupo de seguridad de base de datos con una regla de entrada para un intervalo de direcciones IP de CIDR, llame a la API AuthorizeDBSecurityGroupIngress de Amazon RDS con los siguientes parámetros:

  • DBSecurityGroupName = mydbsecuritygroup

  • CIDRIP = 192.168.1.10/27

ejemplo

https://rds.amazonaws.com/ ?Action=AuthorizeDBSecurityGroupIngress &CIDRIP=192.168.1.10%2F27 &DBSecurityGroupName=mydbsecuritygroup &Version=2009-10-16 &Action=AuthorizeDBSecurityGroupIngress &SignatureVersion=2 &SignatureMethod=HmacSHA256 &Timestamp=2009-10-22T17%3A10%3A50.274Z &AWSAccessKeyId=<Access Key ID> &Signature=<Signature>

Autorización del acceso de red a una instancia de base de datos desde una instancia Amazon EC2

Si desea obtener acceso a la instancia de base de datos desde una instancia Amazon EC2, debe determinar primero si la instancia EC2 y la instancia de base de datos están en una VPC. Si va a usar una VPC predeterminada, puede asignar el mismo grupo de seguridad de EC2 o VPC que utilizó para la instancia EC2 al crear o modificar la instancia de base de datos a la que obtiene acceso la instancia EC2.

Si la instancia de base de datos y la instancia EC2 no están en una VPC, debe configurar el grupo de seguridad de la instancia de base de datos con una regla de entrada que permita el tráfico desde la instancia Amazon EC2. Para ello, agregue el grupo de seguridad de EC2-Classic de la instancia EC2 al grupo de seguridad de base de datos de la instancia de base de datos. En este ejemplo, se agrega una regla de entrada a un grupo de seguridad de base de datos para un grupo de seguridad de EC2-Classic.

importante
  • Al agregar una regla de entrada a un grupo de seguridad de base de datos para un grupo de seguridad de EC2-Classic, solo se da acceso a las instancias de base de datos desde las instancias Amazon EC2 asociadas con ese grupo de seguridad de EC2-Classic.

  • No puede autorizar un grupo de seguridad de EC2-Classic que esté en una región de AWS diferente de la de su instancia de base de datos. Puede autorizar un intervalo de direcciones IP o especificar un grupo de seguridad de EC2-Classic, en la misma región de AWS que haga referencia a una dirección IP en otra región de AWS. Si especifica un intervalo de direcciones IP, es recomendable que use la dirección IP privada de su instancia Amazon EC2, que proporciona una ruta de red más directa desde su instancia Amazon EC2 a su instancia de base de datos de Amazon RDS y no genera cargos de red para los datos que se envían fuera de la red de Amazon.

Para agregar un grupo de seguridad de EC2-Classic a su grupo de seguridad de base de datos

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación, elija Security Groups.

    nota

    Si está en la plataforma EC2-VPC, la opción Security Groups (Grupos de seguridad) no aparece en el panel de navegación. En este caso, debe usar grupos de seguridad de VPC en lugar de grupos de seguridad de base de datos. Para obtener más información acerca del uso de una VPC, consulte VPC Amazon Virtual Private Cloud y Amazon RDS.

  3. Seleccione el icono de detalles del grupo de seguridad de base de datos al que desea conceder acceso.

  4. En la página de detalles de su grupo de seguridad, elija EC2 Security Group (Grupo de seguridad de EC2) en Connection Type (Tipo de conexión) y, a continuación, seleccione el grupo de seguridad de EC2-Classic que desee usar. A continuación elija Authorize.

  5. El estado de la regla de entrada es authorizing hasta que la nueva regla de entrada se haya aplicado a todas las instancias de base de datos que estén asociadas con el grupo de seguridad de base de datos que modificó. Una vez que la regla de entrada se haya aplicado correctamente, el estado cambia a authorized.

Para conceder acceso a un grupo de seguridad de EC2-Classic, use el comando AWS CLI de la authorize-db-security-group-ingress.

Para Linux, macOS o Unix:

aws rds authorize-db-security-group-ingress \ --db-security-group-name default \ --ec2-security-group-name myec2group \ --ec2-security-group-owner-id 987654321021

Para Windows:

aws rds authorize-db-security-group-ingress ^ --db-security-group-name default ^ --ec2-security-group-name myec2group ^ --ec2-security-group-owner-id 987654321021

El comando debería producir un resultado similar al siguiente:

SECGROUP Name Description SECGROUP default default EC2-SECGROUP myec2group 987654321021 authorizing

Para autorizar el acceso de red a un grupo de seguridad de EC2-Classic, llame a la función de la API de Amazon RDS, https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_AuthorizeDBSecurityGroupIngress.htmlAuthorizeDBSecurityGroupIngress con los siguientes parámetros.

  • EC2Security­GroupName = myec2group

  • EC2SecurityGroupOwnerId = 987654321021

ejemplo

https://rds.amazonaws.com/ ?Action=AuthorizeDBSecurityGroupIngress &EC2SecurityGroupOwnerId=987654321021 &EC2Security­GroupName=myec2group &Version=2009-10-16 &SignatureVersion=2 &SignatureMethod=HmacSHA256 &Timestamp=2009-10-22T17%3A10%3A50.274Z &AWSAccessKeyId=<Access Key ID> &Signature=<Signature>

Revocación del acceso de red a una instancia de base de datos desde un intervalo de direcciones IP

Puede revocar fácilmente el acceso de red desde un intervalo de direcciones IP de CIDR a las instancias de base de datos que pertenecen a un grupo de seguridad de base de datos revocando la regla de entrada de direcciones IP de CIDR asociada.

En el siguiente ejemplo, se revoca una regla de entrada para un rango IP de CIDR en un grupo de seguridad de base de datos.

Para revocar una regla de entrada para un intervalo de direcciones IP de CIDR en un grupo de seguridad de base de datos

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación, elija Security Groups.

    nota

    Si está en la plataforma EC2-VPC, la opción Security Groups (Grupos de seguridad) no aparece en el panel de navegación. En este caso, debe usar grupos de seguridad de VPC en lugar de grupos de seguridad de base de datos. Para obtener más información acerca del uso de una VPC, consulte VPC Amazon Virtual Private Cloud y Amazon RDS.

  3. Seleccione el icono de detalles del grupo de seguridad de base de datos que tiene la regla de entrada que desea revocar.

  4. En la página de detalles de su grupo de seguridad, elija Remove junto a la regla de entrada que desea revocar.

  5. El estado de la regla de entrada es revoking hasta que la nueva regla de entrada se haya eliminado de todas las instancias de base de datos que estén asociadas con el grupo de seguridad de base de datos que modificó. Una vez que la regla de entrada se haya eliminado correctamente, se elimina del grupo de seguridad de base de datos.

Para revocar una regla de entrada para un intervalo de direcciones IP de CIDR en un grupo de seguridad de base de datos, use el comando AWS CLI de la revoke-db-security-group-ingress.

Para Linux, macOS o Unix:

aws rds revoke-db-security-group-ingress \ --db-security-group-name mydbsecuritygroup \ --cidrip 192.168.1.1/27

Para Windows:

aws rds revoke-db-security-group-ingress ^ --db-security-group-name mydbsecuritygroup ^ --cidrip 192.168.1.1/27

El comando debería producir un resultado similar al siguiente.

SECGROUP mydbsecuritygroup My new DBSecurityGroup IP-RANGE 192.168.1.1/27 revoking

Para revocar una regla de entrada de un intervalo de direcciones IP de CIDR en un grupo de seguridad de base de datos, llame a la operación de la API de Amazon RDS https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RevokeDBSecurityGroupIngress.htmlRevokeDBSecurityGroupIngress con los siguientes parámetros:

  • DBSecurityGroupName = mydbsecuritygroup

  • CIDRIP = 192.168.1.10/27

ejemplo

https://rds.amazonaws.com/ ?Action=RevokeDBSecurityGroupIngress &DBSecurityGroupName=mydbsecuritygroup &CIDRIP=192.168.1.10%2F27 &Version=2009-10-16 &SignatureVersion=2&SignatureMethod=HmacSHA256 &Timestamp=2009-10-22T22%3A32%3A12.515Z &AWSAccessKeyId=<Access Key ID> &Signature=<Signature>