Creación, configuración y eliminación de grupos de seguridad en Amazon EC2 - AWS Command Line Interface

Creación, configuración y eliminación de grupos de seguridad en Amazon EC2

aviso

En este tema se incluyen algunos ejemplos de cómo utilizar EC2-Classic. AWS retirará EC2-Classic el 15 de agosto de 2022. Si todavía no lo ha hecho, le recomendamos que migre de EC2-Classic a una VPC. Para obtener más información, consulte Migrar de EC2-Classic a una VPC en la Guía del usuario de Amazon EC2 y el blog EC2-Classic Networking is Retiring – Here’s How to Prepare (EC2-Classic Networking se retira: cómo prepararse).

Puede crear un grupo de seguridad para las instancias Amazon Elastic Compute Cloud (Amazon EC2) que básicamente funciona como un firewall, con reglas que determinan el tráfico de red que puede entrar y salir.

Puede crear grupos de seguridad para su uso en nube virtual privada (VPC) o en la red plana compartida EC2-Classic. Para obtener más información sobre las diferencias entre EC2-Classic y EC2-VPC, consulte Plataformas admitidas en la Guía del usuario de Amazon EC2 para instancias de Linux.

Utilice AWS Command Line Interface (AWS CLI) para crear un nuevo grupo de seguridad, añadir reglas a grupos de seguridad existentes y eliminar grupos de seguridad.

nota

Para ver ejemplos de comandos adicionales, consulte la guía de referencia de AWS CLI.

Requisitos previos

Para ejecutar los comandos de ec2, debe:

Crear un grupo de seguridad

Puede crear grupos de seguridad asociados a VPC o para EC2-Classic.

EC2-VPC

En el siguiente ejemplo de aws ec2 create-security-group se muestra cómo crear un grupo de seguridad para una VPC especificada.

$ aws ec2 create-security-group --group-name my-sg --description "My security group" --vpc-id vpc-1a2b3c4d { "GroupId": "sg-903004f8" }

Para ver la información inicial para un grupo de seguridad, ejecute el comando de aws ec2 describe-security-groups. Solo puede hacer referencia a un grupo de seguridad de EC2-VPC por su vpc-id, no por su nombre.

$ aws ec2 describe-security-groups --group-ids sg-903004f8 { "SecurityGroups": [ { "IpPermissionsEgress": [ { "IpProtocol": "-1", "IpRanges": [ { "CidrIp": "0.0.0.0/0" } ], "UserIdGroupPairs": [] } ], "Description": "My security group" "IpPermissions": [], "GroupName": "my-sg", "VpcId": "vpc-1a2b3c4d", "OwnerId": "123456789012", "GroupId": "sg-903004f8" } ] }

EC2-Classic

En el siguiente ejemplo de aws ec2 create-security-group se muestra cómo crear un grupo de seguridad para EC2-Classic.

$ aws ec2 create-security-group --group-name my-sg --description "My security group" { "GroupId": "sg-903004f8" }

Para ver la información inicial de my-sg, ejecute el comando aws ec2 describe-security-groups. Para un grupo de seguridad EC2-Classic, puede hacer referencia a él por su nombre.

$ aws ec2 describe-security-groups --group-names my-sg { "SecurityGroups": [ { "IpPermissionsEgress": [], "Description": "My security group" "IpPermissions": [], "GroupName": "my-sg", "OwnerId": "123456789012", "GroupId": "sg-903004f8" } ] }

Agregar reglas al grupo de seguridad

Cuando ejecute una instancia de Amazon EC2, debe habilitar reglas en el grupo de seguridad para permitir el tráfico de red entrante en el medio que utilice para conectarse a la imagen.

Por ejemplo, si lanza una instancia de Windows, normalmente debe añadir una regla para permitir el tráfico entrante en el puerto TCP 3389 (RDP) para dar soporte al protocolo de escritorio remoto (RDP). Si lanza una instancia de Linux, normalmente debe añadir una regla para permitir el tráfico entrante en el puerto TCP 22 (SSH) para dar soporte a las conexiones de SSH.

Use el comando aws ec2 authorize-security-group-ingress para añadir una regla a un grupo de seguridad. Uno de los parámetros obligatorios de este comando es la dirección IP pública de su equipo, o la red (en forma de un intervalo de direcciones) al que su equipo está asociada, en notación CIDR.

nota

Proporcionamos el siguiente servicio, https://checkip.amazonaws.com/, para determinar su dirección IP pública. Para encontrar otros servicios que puedan ayudarle a identificar su dirección IP, utilice el navegador para buscar"cuál es mi dirección IP". Si se conecta a través de un ISP o protegido por su firewall mediante una dirección IP dinámica (a través de una gateway NAT desde una red privada), su dirección puede cambiar de forma periódica. En ese caso, debe averiguar el rango de direcciones IP que utilizan los equipos cliente.

EC2-VPC

En el siguiente ejemplo se muestra cómo añadir una regla para RDP (puerto TCP 3389) a un grupo de seguridad EC2-VPC con el ID sg-903004f8 utilizando su dirección IP.

Para empezar, busque su dirección IP.

$ curl https://checkip.amazonaws.com x.x.x.x

Luego, puede agregar la dirección IP a su grupo de seguridad mediante la ejecución del comando aws ec2 authorize-security-group-ingress.

$ aws ec2 authorize-security-group-ingress --group-id sg-903004f8 --protocol tcp --port 3389 --cidr x.x.x.x

El siguiente comando añade otra regla para habilitar SSH en instancias en el mismo grupo de seguridad.

$ aws ec2 authorize-security-group-ingress --group-id sg-903004f8 --protocol tcp --port 22 --cidr x.x.x.x

Para ver los cambios realizados en el grupo de seguridad, ejecute el comando aws ec2 describe-security-groups.

$ aws ec2 describe-security-groups --group-ids sg-903004f8 { "SecurityGroups": [ { "IpPermissionsEgress": [ { "IpProtocol": "-1", "IpRanges": [ { "CidrIp": "0.0.0.0/0" } ], "UserIdGroupPairs": [] } ], "Description": "My security group" "IpPermissions": [ { "ToPort": 22, "IpProtocol": "tcp", "IpRanges": [ { "CidrIp": "x.x.x.x" } ] "UserIdGroupPairs": [], "FromPort": 22 } ], "GroupName": "my-sg", "OwnerId": "123456789012", "GroupId": "sg-903004f8" } ] }

EC2-Classic

El siguiente comando aws ec2 authorize-security-group-ingress añade una regla para RDP al grupo de seguridad EC2-Classic llamado my-sg.

$ aws ec2 authorize-security-group-ingress --group-name my-sg --protocol tcp --port 3389 --cidr x.x.x.x

El siguiente comando añade otra regla para SSH al mismo grupo de seguridad.

$ aws ec2 authorize-security-group-ingress --group-name my-sg --protocol tcp --port 22 --cidr x.x.x.x

Para ver los cambios realizados en el grupo de seguridad, ejecute el comando aws ec2 describe-security-groups.

$ aws ec2 describe-security-groups --group-names my-sg { "SecurityGroups": [ { "IpPermissionsEgress": [], "Description": "My security group" "IpPermissions": [ { "ToPort": 22, "IpProtocol": "tcp", "IpRanges": [ { "CidrIp": "x.x.x.x" } ] "UserIdGroupPairs": [], "FromPort": 22 } ], "GroupName": "my-sg", "OwnerId": "123456789012", "GroupId": "sg-903004f8" } ] }

Eliminación de un grupo de seguridad

Para eliminar un grupo de seguridad, ejecute el comando aws ec2 delete-security-group.

nota

No puede eliminar un grupo de seguridad que esté conectado actualmente a un entorno.

EC2-VPC

El siguiente ejemplo de comando elimina un grupo de seguridad EC2-VPC.

$ aws ec2 delete-security-group --group-id sg-903004f8

EC2-Classic

El siguiente ejemplo de comando elimina el grupo de seguridad EC2-Classic denominado my-sg.

$ aws ec2 delete-security-group --group-name my-sg

Referencias

referencia de AWS CLI:

Otra referencia: