Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Grupos de seguridad: reglas de entrada y salida
Un grupo de seguridad funciona como un firewall virtual de la instancia para controlar el tráfico entrante y saliente. Para cada grupo de seguridad, es necesario añadir reglas que controlan el tráfico entrante a las instancias, así como un conjunto de reglas distinto que controla el tráfico saliente.
Para la conexión VPC, cree un nuevo grupo de seguridad con la descripción QuickSight-VPC. Este grupo de seguridad debe permitir todo el tráfico TCP entrante de los grupos de seguridad de los destinos de datos a los que desea llegar. En el ejemplo siguiente se crea un nuevo grupo de seguridad en la VPC y se devuelve el ID del nuevo grupo de seguridad.
aws ec2 create-security-group \ --name QuickSight-VPC \ --group-name quicksight-vpc \ --description "QuickSight-VPC" \ --vpc-idvpc-0daeb67adda59e0cd
importante
La configuración de la red es lo suficientemente compleja, por lo que le recomendamos encarecidamente que cree un nuevo grupo de seguridad para usarlo con él. QuickSight También facilita que AWS Support le brinde ayuda en caso de que necesite ponerse en contacto con el equipo. Crear un nuevo grupo no es absolutamente necesario. Sin embargo, los siguientes temas se basan en el supuesto de que se sigue esta recomendación.
Para permitir QuickSight que Amazon se conecte correctamente a una instancia de su VPC, configure las reglas del grupo de seguridad para permitir el tráfico entre la interfaz de QuickSight red y la instancia que contiene sus datos. Para ello, configure el grupo de seguridad asociado con las reglas de entrada de instancias de la base de datos para permitir el tráfico siguiente:
-
Desde el puerto que QuickSight se conecta a
-
Desde una de las siguientes opciones:
-
El ID del grupo de seguridad asociado a la interfaz QuickSight de red (recomendado)
o
-
La dirección IP privada de la interfaz QuickSight de red
-
Para obtener más información, consulte Grupos de seguridad para su VPC y VPC y subredes en la Guía del usuario de Amazon VPC.
Reglas de entrada
importante
La siguiente sección se aplica a su conexión VPC si la conexión se creó antes del 27 de abril de 2023.
Cuando se crea un grupo de seguridad, este carece de reglas entrantes. No se permitirá el tráfico entrante que proceda de otro host a su instancia hasta que no agregue reglas entrantes al grupo de seguridad.
El grupo de seguridad conectado a la interfaz de QuickSight red se comporta de forma diferente a la mayoría de los grupos de seguridad, ya que no tiene estado activo. Otros grupos de seguridad suelen tener estado. Esto significa que, una vez que establecen una conexión saliente con el grupo de seguridad de un recurso, permiten automáticamente el tráfico de retorno. Por el contrario, el grupo de seguridad de la interfaz de QuickSight red no permite automáticamente el tráfico de retorno. Por este motivo, agregar una regla de salida al grupo de seguridad QuickSight de la interfaz de red no funciona. Para que funcione en el grupo de seguridad de la interfaz de QuickSight red, asegúrese de agregar una regla de entrada que autorice explícitamente el tráfico de retorno desde el host de la base de datos.
La regla de entrada del grupo de seguridad debe permitir el tráfico en todos los puertos. Debe hacerlo porque el número de puerto de destino de cualquier paquete de retorno entrante se establece en un número de puerto asignado aleatoriamente.
Para restringir QuickSight la conexión solo a determinadas instancias, puede especificar el ID del grupo de seguridad (recomendado) o la dirección IP privada de las instancias que desee permitir. En cualquier caso, la regla de entrada del grupo de seguridad todavía tiene que permitir el tráfico en todos los puertos (0-65535).
Para permitir QuickSight la conexión a cualquier instancia de la VPC, puede configurar el grupo de seguridad de la interfaz QuickSight de red. En este caso, asígnele una regla de entrada para permitir el tráfico en 0.0.0.0/0 en todos los puertos (del 0 al 65535). El grupo de seguridad utilizado por la interfaz de QuickSight red debe ser diferente de los grupos de seguridad utilizados para las bases de datos. Se recomienda utilizar grupos de seguridad independientes para la conexión VPC.
importante
Si utiliza una instancia de base de datos de Amazon RDS de larga duración, compruebe su configuración para ver si está utilizando un grupo de seguridad de base de datos. Los grupos de seguridad de base de datos se utilizan con instancias de bases de datos que no están en una VPC pero están en la plataforma EC2-Classic.
Si esta es su configuración y no va a mover la instancia de base de datos a la VPC para usarla con ella QuickSight, asegúrese de actualizar las reglas de entrada del grupo de seguridad de base de datos. Actualízalos para permitir el tráfico entrante del grupo de seguridad de VPC para el que estás utilizando. QuickSight Para obtener más información, consulte Control de acceso con grupos de seguridad en la Guía de usuario de Amazon RDS.
Reglas de salida
importante
La siguiente sección se aplica a su conexión VPC si la conexión se creó antes del 27 de abril de 2023.
De forma predeterminada, los grupos de seguridad incluyen una regla entrante que permite todo el tráfico saliente. Se recomienda quitar esta regla predeterminada y agregar reglas de salida que solo permitan tráfico saliente específico.
aviso
No configure el grupo de seguridad en la interfaz de QuickSight red con una regla de salida que permita el tráfico en todos los puertos. Para obtener información sobre las consideraciones y recomendaciones clave para administrar el tráfico de salida de la red desde las VPC, consulte Prácticas recomendadas de seguridad de la VPC en la Guía del usuario de Amazon VPC.
El grupo de seguridad conectado a la interfaz de QuickSight red debe tener reglas de salida que permitan el tráfico a cada una de las instancias de base de datos de la VPC a las que QuickSight desee conectarse. Para restringir QuickSight la conexión solo a determinadas instancias, especifique el ID del grupo de seguridad (recomendado) o la dirección IP privada de las instancias que desee permitir. Esto se configura, junto con los números de puerto apropiados de las instancias (el puerto en el que escuchan las instancias), en la regla de salida.
El grupo de seguridad de VPC también debe permitir el tráfico saliente a los grupos de seguridad de los destinos de datos, específicamente en el puerto o puertos en los que escucha la base de datos.
