Consideraciones Ejemplo: Filtrar el tráfico de clientes Ejemplo: Aceptar el tráfico solo desde el equilibrador de carga Actualizar los grupos de seguridad asociados Actualizar la configuración de seguridad Monitorear grupos de seguridad del equilibrador de carga

Grupos de seguridad para el equilibrador de carga de red

Puede asociar un grupo de seguridad a su equilibrador de carga de red para controlar el tráfico al que se permite llegar y dejar el equilibrador de carga. Debe especificar los puertos, los protocolos y los orígenes para permitir el tráfico entrante y los puertos, protocolos y destinos a fin de permitir el tráfico saliente. Si no asigna un grupo de seguridad a su equilibrador de carga, todo el tráfico de los clientes puede llegar a los oyentes del equilibrador de carga y todo el tráfico puede salir de este.

Puede agregar una regla a los grupos de seguridad asociados a sus destinos que haga referencia al grupo de seguridad asociado a su equilibrador de carga de red. Esto permite a los clientes enviar tráfico a sus destinos a través del equilibrador de carga, pero evita que envíen tráfico directamente a los destinos. Hacer referencia al grupo de seguridad asociado a su equilibrador de carga de red en los grupos de seguridad asociados a los destinos garantiza que los destinos acepten el tráfico de su equilibrador de carga, incluso si habilita la preservación de la IP del cliente para su equilibrador de carga.

No se le cobrará por el tráfico que se encuentre bloqueado por las reglas del grupo de seguridad entrante.

Contenido

Consideraciones
Ejemplo: Filtrar el tráfico de clientes
Ejemplo: Aceptar el tráfico solo desde el equilibrador de carga
Actualizar los grupos de seguridad asociados
Actualizar la configuración de seguridad
Monitorear grupos de seguridad del equilibrador de carga

Consideraciones

Puede asociar grupos de seguridad a un equilibrador de carga de red al crearlo. Si crea un equilibrador de carga de red sin asociar ningún grupo de seguridad, no podrá asociarlo al equilibrador de carga más adelante. Le recomendamos que asocie un grupo de seguridad al equilibrador de carga al crearlo.
Después de crear un equilibrador de carga de red con los grupos de seguridad asociados, puede cambiar los grupos de seguridad asociados al equilibrador de carga en cualquier momento.
Las comprobaciones de estado se encuentran sujetas a las reglas de salida, pero no a las de entrada. Debe asegurarse de que las reglas de salida no bloqueen el tráfico de la comprobación de estado. De lo contrario, el equilibrador de carga considera que los destinos se encuentan en mal estado.
Puede controlar si el PrivateLink tráfico está sujeto a las reglas de entrada. Si habilita las reglas de entrada en el PrivateLink tráfico, el origen del tráfico es la dirección IP privada del cliente, no la interfaz del punto final.

Ejemplo: Filtrar el tráfico de clientes

Las siguientes reglas de entrada del grupo de seguridad asociado a su equilibrador de carga de red solo permiten el tráfico que proviene del rango de direcciones especificado. Si se trata de un equilibrador de carga interno, puede especificar un rango de CIDR de VPC como origen para permitir solo el tráfico de una VPC específica. Si se trata de un equilibrador de carga con acceso a Internet que debe aceptar tráfico desde cualquier lugar de Internet, puede especificar 0.0.0.0/0 como origen.

Entrada
Protocolo	Origen	Intervalo de puertos	Comentario
`protocolo`	`rango de direcciones IP del cliente`	`puerto del oyente`	Permite el tráfico entrante desde el CIDR de origen en el puerto del oyente
ICMP	0.0.0.0/0	Todos	Permite que el tráfico de ICMP entrante sea compatible con MTU o la Detección de la MTU de la ruta †

† Para obtener más información, consulte Path MTU Discovery en la Guía del usuario de Amazon EC2.

Salida
Protocolo	Destino	Intervalo de puertos	Comentario
Todos	Cualquier lugar	Todos	Permite todo el tráfico de salida

Ejemplo: Aceptar el tráfico solo desde el equilibrador de carga

Suponga que su equilibrador de carga de red cuenta con un grupo de seguridad sg-111112222233333. Utilice las siguientes reglas en los grupos de seguridad asociados a sus instancias de destino para asegurarse de que solo acepten tráfico del equilibrador de carga de red. Debe asegurarse de que los destinos acepten tráfico procedente del equilibrador de carga tanto en el puerto de destino como en el de comprobación de estado. Para obtener más información, consulte Grupos de seguridad de destino.

Entrada
Protocolo	Origen	Intervalo de puertos	Comentario
`protocolo`	sg-111112222233333	`puerto de destino`	Permite el tráfico entrante desde el equilibrador de carga en el puerto de destino
`protocolo`	sg-111112222233333	`comprobación de estado`	Permite el tráfico entrante desde el equilibrador de carga o el puerto de comprobación de estado

Salida
Protocolo	Destino	Intervalo de puertos	Comentario
Todos	Cualquier lugar	Cualquiera	Permite todo el tráfico de salida

Actualizar los grupos de seguridad asociados

Si asoció al menos un grupo de seguridad a un equilibrador de carga cuando lo creó, puede actualizar los grupos de seguridad de ese equilibrador de carga en cualquier momento.

Para actualizar los grupos de seguridad desde la consola

Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.
En el panel de navegación, en Load Balancing (Equilibrio de carga), elija Load Balancers (Equilibradores de carga).
Seleccione el equilibrador de carga.
En la pestaña Seguridad, seleccione Editar.
Para asociar un grupo de seguridad al equilibrador de carga, selecciónelo. Para eliminar un grupo de seguridad del balanceador de carga, bórrelo.
Elija Guardar cambios.

Para actualizar los grupos de seguridad mediante el AWS CLI

Utilice el comando set-security-groups.

Actualizar la configuración de seguridad

De forma predeterminada, aplicamos las reglas del grupo de seguridad entrante a todo el tráfico que se envía al equilibrador de carga. Sin embargo, es posible que no desees aplicar estas reglas al tráfico que se envía al balanceador de cargas AWS PrivateLink, ya que puede provenir de direcciones IP superpuestas. En este caso, puedes configurar el balanceador de cargas para que no apliquemos las reglas de entrada al tráfico que se envía al balanceador de cargas a través de él. AWS PrivateLink

Para actualizar la configuración de seguridad a través de la consola

Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.
En el panel de navegación, en Load Balancing (Equilibrio de carga), elija Load Balancers (Equilibradores de carga).
Seleccione el equilibrador de carga.
En la pestaña Seguridad, seleccione Editar.
En Configuración de seguridad, desactive la casilla Aplicar reglas de entrada al tráfico. PrivateLink
Elija Guardar cambios.

Para actualizar la configuración de seguridad mediante la AWS CLI

Utilice el comando set-security-groups.

Monitorear grupos de seguridad del equilibrador de carga

Utilice las SecurityGroupBlockedFlowCount_Outbound CloudWatch métricas SecurityGroupBlockedFlowCount_Inbound y para supervisar el recuento de flujos que están bloqueados por los grupos de seguridad del balanceador de cargas. El tráfico bloqueado no se refleja en otras métricas. Para obtener más información, consulte CloudWatch métricas para su Network Load Balancer.

Utilice los registros del flujo de la VPC para monitorear el tráfico que aceptan o rechazan los grupos de seguridad del equilibrador de carga. Para obtener más información, consulte Registros de flujo de VPC en la Guía del usuario de Amazon VPC.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Actualizar el tipo de dirección

Actualización de etiquetas