WKLD1.1 — Restrinja el acceso a la red mediante grupos de seguridad

Use grupos de seguridad para controlar el tráfico a EC2 las instancias, RDS bases de datos y otros recursos compatibles. Los grupos de seguridad actúan como un firewall virtual que se puede aplicar a cualquier grupo de recursos relacionados a fin de definir de forma coherente las reglas que permitan el tráfico entrante y saliente. Además de las reglas basadas en las direcciones IP y los puertos, los grupos de seguridad admiten reglas para permitir el tráfico desde los recursos asociados a otros grupos de seguridad. Por ejemplo, un grupo de seguridad de base de datos puede tener reglas que solo permitan el tráfico procedente de un grupo de seguridad de servidores de aplicaciones.

De forma predeterminada, los grupos de seguridad permiten todo el tráfico saliente, pero no el tráfico entrante. Se puede eliminar la regla de tráfico saliente o configurar reglas adicionales que se agreguen para restringir el tráfico saliente y permitir el tráfico entrante. Si el grupo de seguridad no tiene reglas entrantes, no se permitirá el tráfico saliente que proceda de esta instancia. Para obtener más información, consulte Controlar el tráfico a los recursos mediante grupos de seguridad (VPCdocumentación de Amazon).

En el siguiente ejemplo, hay tres grupos de seguridad que controlan el tráfico desde un Application Load Balancer a las EC2 instancias que se conectan a una base de datos Amazon RDS for MySQL.

Grupo de seguridad	Reglas de entrada	Reglas de salida
Grupo de seguridad del equilibrador de carga de aplicación	Descripción: Permitir el HTTPS tráfico desde cualquier lugar Tipo: HTTPS Fuente: Anywhere- IPv4 (0.0.0.0/0)	Descripción: permitir todo el tráfico a cualquier lugar Tipo: todo el tráfico Destino: En cualquier lugar (0.0.0.0/0) IPv4
EC2grupo de seguridad de instancias	Descripción: Permitir HTTP el tráfico desde el Application Load Balancer Tipo: HTTP Origen: grupo de seguridad del equilibrador de carga de aplicación	Descripción: permitir todo el tráfico a cualquier lugar Tipo: todo el tráfico Destino: En cualquier lugar IPv4 (0.0.0.0/0)
RDSgrupo de seguridad de base de datos	Descripción: Permitir mi SQL tráfico desde la EC2 instancia Tipo: Mi SQL Fuente: grupo de seguridad de EC2 instancias	Sin reglas de salida

Grupo de seguridad

Reglas de entrada

Reglas de salida

Grupo de seguridad del equilibrador de carga de aplicación

Descripción: Permitir el HTTPS tráfico desde cualquier lugar

Tipo: HTTPS

Fuente: Anywhere- IPv4 (0.0.0.0/0)

Descripción: permitir todo el tráfico a cualquier lugar

Tipo: todo el tráfico

Destino: En cualquier lugar (0.0.0.0/0) IPv4

EC2grupo de seguridad de instancias

Descripción: Permitir HTTP el tráfico desde el Application Load Balancer

Tipo: HTTP

Origen: grupo de seguridad del equilibrador de carga de aplicación

Descripción: permitir todo el tráfico a cualquier lugar

Tipo: todo el tráfico

Destino: En cualquier lugar IPv4 (0.0.0.0/0)

RDSgrupo de seguridad de base de datos

Descripción: Permitir mi SQL tráfico desde la EC2 instancia

Tipo: Mi SQL

Fuente: grupo de seguridad de EC2 instancias

Sin reglas de salida

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

WKLD.10 — Implemente recursos privados en subredes privadas

WKLD.12 — Utilice puntos VPC finales para acceder a los servicios