Grupos de seguridad de su VPC - Amazon Virtual Private Cloud

Grupos de seguridad de su VPC

Un grupo de seguridad funciona como un firewall virtual de la instancia para controlar el tráfico entrante y saliente. Cuando lanza una instancia en una VPC, puede asignar hasta cinco grupos de seguridad a la instancia. Los grupos de seguridad actúan en el ámbito de la instancia, no en el de la subred. Por lo tanto, cada instancia de la subred de su VPC puede asignarse a distintos conjuntos de grupos de seguridad.

Si lanza una instancia con la API de Amazon EC2 o una herramienta de línea de comandos y no especifica un grupo de seguridad, la instancia se asigna automáticamente al grupo de seguridad predeterminado para la VPC. Si lanza una instancia con la consola de Amazon EC2, tiene la opción de crear un nuevo grupo de seguridad para la instancia.

Para cada grupo de seguridad, es necesario añadir reglas que controlan el tráfico entrante a las instancias, así como un conjunto de reglas distinto que controla el tráfico saliente. Esta sección describe los conceptos básicos que debe conocer acerca de los grupos de seguridad de su VPC y sus reglas.

Puede configurar ACL de red con reglas similares a sus grupos de seguridad para añadir una capa de seguridad adicional a su VPC. Para obtener más información acerca de las diferencias entre los grupos de seguridad y las ACL de red, consulte Comparar grupos de seguridad y ACL de red.

Conceptos básicos de los grupos de seguridad

A continuación, se describen las características de los grupos de seguridad:

  • Puede especificar reglas de permiso, pero no reglas de denegación.

  • Es posible especificar reglas separadas para el tráfico entrante y saliente.

  • Las reglas de grupo de seguridad le permiten filtrar el tráfico en función de los protocolos y números de puerto.

  • Los grupos de seguridad con estado: si envía una solicitud desde la instancia, se permite el flujo del tráfico de respuesta para dicha solicitud, independientemente de las reglas de entrada del grupo de seguridad. El flujo saliente de las respuestas al tráfico entrante está permitido independientemente de las reglas salientes.

    nota

    El seguimiento de determinados tipos de tráfico se realiza de forma distinta al de otros tipos. Para obtener más información, consulte Seguimiento de la conexión en la Guía del usuario de Amazon EC2 para instancias de Linux.

  • Cuando se crea un grupo de seguridad, este carece de reglas de entrada. Por lo tanto, no se permitirá el tráfico entrante que proceda de otro host a su instancia hasta que no añada reglas entrantes al grupo de seguridad.

  • De forma predeterminada, los grupos de seguridad incluyen una regla entrante que permite todo el tráfico saliente. Es posible quitar esta regla y añadir reglas saliente que permitan solo el tráfico saliente específico. Si el grupo de seguridad no tiene reglas entrantes, no se permitirá el tráfico saliente que proceda de esta instancia.

  • Se ha establecido una cuota del número de grupos de seguridad que puede crear por cada VPC, al igual que el número de reglas que puede añadir a cada grupo de seguridad y el número de grupos de seguridad que puede asociar a una interfaz de red. Para obtener más información, consulte Cuotas de Amazon VPC.

  • Las instancias asociadas a un grupo de seguridad no pueden hablar entre sí a no ser que añada reglas que lo permitan el tráfico (excepción: el grupo de seguridad predeterminado dispone de estas reglas de manera predeterminada).

  • Los grupos de seguridad están asociados a interfaces de red. Tras lanzar una instancia, podrá cambiar los grupos de seguridad que están asociados con la instancia, lo que modifica los grupos de seguridad asociados a la interfaz de red principal (eth0). También puede especificar o cambiar los grupos de seguridad asociados a cualquier otra interfaz de red. De forma predeterminada, al crear una interfaz de red, ésta se asocia con el grupo de seguridad predeterminado para la VPC, a menos que especifique otro grupo de seguridad. Para obtener más información acerca de las interfaces de red, consulte Interfaces de red elástica.

  • Al crear un grupo de seguridad, debe darle un nombre y una descripción. Se aplican las siguientes reglas:

    • Los nombres y las descripciones pueden tener una longitud máxima de 255 caracteres.

    • Los nombres y las descripciones solo pueden contener los siguientes caracteres: a-z, A-Z, 0-9, espacios y ._-:/()#,@[]+=&;{}!$*.

    • Si el nombre contiene espacios finales, se eliminan al guardarlo. Por ejemplo, si introduce el nombre "Grupo de seguridad de prueba ", se guardará como "Grupo de seguridad de prueba".

    • Un nombre de grupo de seguridad no puede comenzar con sg-, ya que indica un grupo de seguridad predeterminado.

    • El nombre de un grupo de seguridad debe ser único dentro de la VPC.

  • Un grupo de seguridad solo se puede utilizar en la VPC que especifique al crear el grupo de seguridad.

Grupo de seguridad predeterminado para su VPC

Su VPC incluye automáticamente un grupo de seguridad predeterminado. Si no especifica un grupo de seguridad distinto al lanzar la instancia, se asociará el grupo de seguridad predeterminado a su instancia.

nota

Si lanza una instancia en la consola de Amazon EC2, el asistente de lanzamiento de instancias define automáticamente un grupo de seguridad "launch-wizard-xx", que puede asociar a la instancia en lugar del grupo de seguridad predeterminado.

La tabla siguiente describe las reglas predeterminadas del grupo de seguridad predeterminado.

Inbound
Fuente Protocolo Rango de puerto Descripción

ID del grupo de seguridad (sg-xxxxxxxx).

Todos

Todos

Permite el tráfico entrante de las interfaces de red (y las instancias asociadas) asignadas al mismo grupo de seguridad.

Outbound

Destino Protocolo Rango de puerto Descripción

0.0.0.0/0

Todos

Todos

Permite todo el tráfico IPv4 saliente.

::/0 All All Allow all outbound IPv6 traffic. This rule is added by default if you create a VPC with an IPv6 CIDR block or if you associate an IPv6 CIDR block with your existing VPC.

Puede cambiar las reglas del grupo de seguridad predeterminado.

El grupo de seguridad predeterminado no se puede eliminar. Si intenta eliminar el grupo de seguridad predeterminado, aparece el error siguiente: Client.CannotDelete: the specified group: "sg-51530134" name: "default" cannot be deleted by a user.

Si ha modificado las reglas salientes de su grupo de seguridad, no se añadirá automáticamente ninguna regla saliente para el tráfico IPv6 al asociar un bloque de CIDR IPv6 a su VPC.

Reglas del grupo de seguridad

Puede añadir o quitar reglas de un grupo de seguridad (este proceso también se conoce como autorización o revocación del acceso entrante o saliente). Las reglas se aplican al tráfico entrante (entrada) o saliente (salida). Puede conceder acceso a un rango de CIDR específico o a otro grupo de seguridad de su VPC o de una VPC del mismo nivel (requiere interconexión de VPC).

Las reglas de un grupo de seguridad controlan el tráfico entrante que puede llegar a las instancias asociadas al grupo de seguridad. Las reglas también controlan el tráfico saliente que puede salir de ellos.

A continuación, se describen las características de las reglas de los grupos de seguridad:

  • De forma predeterminada, los grupos de seguridad permiten el tráfico de salida.

  • Las reglas del grupo de seguridad son siempre permisivas; no puede crear reglas que denieguen el acceso.

  • Las reglas de grupo de seguridad le permiten filtrar el tráfico en función de los protocolos y números de puerto.

  • Los grupos de seguridad son con estado: si envía una solicitud desde la instancia, se permite el flujo entrante del tráfico de respuesta para dicha solicitud, independientemente de las reglas de entrada. Esto también significa que se permite el flujo de salida de las respuestas al tráfico de entrada permitido, independientemente de las reglas de salida.

  • Puede agregar y eliminar reglas en cualquier momento. Los cambios se aplican automáticamente a las instancias que están asociadas al grupo de seguridad.

    El efecto de algunos cambios en las reglas puede depender de cómo se realiza el seguimiento del tráfico.

  • Al asociar varios grupos de seguridad a una instancia, las reglas de cada grupo de seguridad se agregan de manera eficiente para crear un conjunto de reglas. Amazon EC2 utiliza este conjunto de reglas para determinar si permite o no el acceso.

    Puede asignar varios grupos de seguridad a una instancia. Por lo tanto, una instancia puede tener cientos de reglas que se aplican. Esto puede causar problemas al obtener acceso a la instancia. Le recomendamos que condense las reglas en la medida de lo posible.

Especifique lo siguiente para cada regla:

  • Nombre: el nombre del grupo de seguridad (por ejemplo, my-security-group).

    Un nombre puede tener hasta 255 caracteres como máximo. Los caracteres permitidos incluyen a-z, A-Z, 0-9, espacios y ._-:/()#,@[]+=;{}!$*. Si el nombre contiene espacios finales, se eliminan al guardarlo. Por ejemplo, si introduce el nombre "Grupo de seguridad de prueba ", se guardará como "Grupo de seguridad de prueba".

  • Protocolo: el protocolo que se permite. Los protocolos más habituales son 6 (TCP), 17 (UDP) y 1 (ICMP).

  • Rango de puertos: para TCP, UDP o un protocolo personalizado, el rango de puertos que se permite. Puede especificar un solo número de puerto (por ejemplo, 22), o bien un rango de números de puertos (por ejemplo, 7000-8000).

  • Tipo y código ICMP: para ICMP, el tipo y el código ICMP.

  • Origen o destino: el origen (reglas de entrada) o el destino (reglas de salida) del tráfico. Especifique una de estas opciones:

    • Una única dirección IPv4. Debe utilizar la longitud del prefijo /32 (por ejemplo, 203.0.113.1/32).

    • Una única dirección IPv6. Debe utilizar la longitud del prefijo /128 (por ejemplo, 2001:db8:1234:1a00::123/128).

    • Un rango de direcciones IPv4 en notación de bloque de CIDR; por ejemplo, 203.0.113.0/24.

    • Un rango de direcciones IPv6 en notación de bloque de CIDR; por ejemplo, 2001:db8:1234:1a00::/64.

    • El ID de una lista de prefijos, por ejemplo, pl-1234abc1234abc123. Para obtener más información, consulte Listas de prefijos.

    • Otro grupo de seguridad. Esto permite que las instancias que están asociadas al grupo de seguridad especificado obtengan acceso a las instancias asociadas a este grupo de seguridad. Elegir esta opción no añade reglas del grupo de seguridad de origen a este grupo de seguridad. Puede especificar uno de los siguientes grupos de seguridad:

      • El grupo de seguridad actual

      • Un grupo de seguridad diferente para la misma VPC

      • Un grupo de seguridad diferente para una VPC del mismo nivel en una interconexión de VPC.

  • (Opcional) Descripción: puede añadir una descripción a la regla, que puede ayudarle a identificarla más adelante. Una descripción puede tener una longitud máxima de 255 caracteres. Los caracteres permitidos incluyen a-z, A-Z, 0-9, espacios y ._-:/()#,@[]+=;{}!$*.

Cuando usted crea una regla de grupo de seguridad, AWS le asigna un ID único. Puede utilizar el ID de una regla cuando utilice la API o la CLI para modificarla o eliminarla.

Al especificar un grupo de seguridad como origen o destino de una regla, la regla afecta a todas las instancias que están asociadas al grupo de seguridad. Se permite el tráfico entrante según las direcciones IP privadas de las instancias asociadas al grupo de seguridad de origen (y no la dirección IP pública o las direcciones IP elásticas). Si la regla del grupo de seguridad hace referencia a un grupo de seguridad en una VPC del mismo nivel y el grupo de seguridad al que se hace referencia o la interconexión de VPC se eliminan, la regla se marca como obsoleta. Para obtener más información, consulte Uso de reglas de grupo de seguridad obsoletas en la Amazon VPC Peering Guide.

Cuando se especifica un grupo de seguridad como el origen de una regla, se permite el tráfico desde las interfaces de red asociadas al grupo de seguridad de origen para el protocolo y los puertos especificados. Se permite el tráfico entrante según las direcciones IP privadas de las interfaces de red asociadas al grupo de seguridad de origen (y no la dirección IP pública o las direcciones IP elásticas). Cuando se añade un grupo de seguridad como origen, no se añaden reglas desde el grupo de seguridad de origen. Para ver un ejemplo, consulte Grupo de seguridad predeterminado para su VPC.

Algunos sistemas de configuración de firewalls permiten filtrar los datos en los puertos de origen. Los grupos de seguridad solo permiten filtrar los datos en los puertos de destino.

Si se agregan, actualizan o eliminan reglas, los cambios se aplican automáticamente a todas las instancias asociadas al grupo de seguridad.

Por lo general, el tipo de reglas que agregue dependerá del propósito del grupo de seguridad. La tabla siguiente describe reglas de ejemplo de un grupo de seguridad asociado a servidores web. Los servidores web pueden recibir tráfico HTTP y HTTPS de todas las direcciones IPv4 e IPv6 y, a continuación, enviar el tráfico SQL o MySQL al servidor de la base de datos.

Inbound
Fuente Protocolo Rango de puerto Descripción

0.0.0.0/0

TCP

80

Permite el acceso HTTP entrante desde todas las direcciones IPv4.

::/0 TCP 80 Allow inbound HTTP access from all IPv6 addresses

0.0.0.0/0

TCP

443

Permite el acceso HTTPS entrante desde todas las direcciones IPv4.

::/0 TCP 443 Allow inbound HTTPS access from all IPv6 addresses

Rango de direcciones IPv4 públicas de su red

TCP

22

Permite el acceso SSH entrante a las instancias de Linux desde direcciones IP IPv4 de su red (a través de la gateway de Internet).

Rango de direcciones IPv4 públicas de su red

TCP

3389

Permite el acceso RDP entrante a las instancias de Windows desde direcciones IP IPv4 de su red (a través de la gateway de Internet).

Outbound

Destino Protocolo Rango de puerto Descripción

ID del grupo de seguridad para los servidores de la base de datos de Microsoft SQL Server

TCP

1433

Permite el acceso saliente de Microsoft SQL Server a las instancias del grupo de seguridad especificado

ID del grupo de seguridad para los servidores de la base de datos MySQL

TCP

3306

Permite el acceso saliente de MySQL a las instancias del grupo de seguridad especificado

El servidor de la base de datos necesitará un conjunto de reglas diferente. Por ejemplo, en lugar del tráfico HTTP y HTTPS entrante, puede añadir una regla que permita el acceso de MySQL o Microsoft SQL Server entrante. Para obtener un ejemplo de las reglas de grupo de seguridad para servidores web y servidores de bases de datos, consulte Security. Para obtener más información acerca de los grupos de seguridad para instancias de base de datos de Amazon RDS, consulte Control de acceso con grupos de seguridad en la Guía del usuario de Amazon RDS.

Para obtener ejemplos de reglas de grupos de seguridad para determinados tipos de acceso, consulte Referencia de reglas de grupos de seguridad en la Guía del usuario de Amazon EC2 para instancias de Linux.

Reglas antiguas de los grupos de seguridad

Si su VPC tiene una interconexión con otra VPC, la regla del grupo de seguridad puede hacer referencia a otro grupo de seguridad de la VPC del mismo nivel. Esto permite que las instancias asociadas al grupo de seguridad al que se hace referencia y las asociadas al grupo de seguridad que hace la referencia se comuniquen entre sí.

Si el propietario de la VPC del mismo nivel elimina el grupo de seguridad al que se hace referencia, o bien si usted o el propietario de la VPC del mismo nivel elimina la interconexión de VPC, la regla del grupo de seguridad se marcará como stale. Las reglas obsoletas de los grupos de seguridad se pueden eliminar de la misma manera que cualquier otra regla del grupo de seguridad.

Para obtener más información, consulte Trabajar con grupos de seguridad obsoletos en la Guía de interconexión de Amazon VPC.

Trabajar con grupos de seguridad

Las siguientes tareas muestran cómo usar grupos de seguridad con la consola de Amazon VPC.

Modificar el grupo de seguridad predeterminado

La VPC incluye un grupo de seguridad predeterminado. Este grupo no se puede eliminar; sin embargo, es posible cambiar las reglas del grupo. El procedimiento es el mismo que para modificar cualquier otro grupo de seguridad.

Crear un grupo de seguridad

Aunque puede utilizar el grupo de seguridad predeterminado para sus instancias, puede que desee crear sus propios grupos para reflejar las distintas funciones de desempeñan que juegan las instancias en su sistema.

De forma predeterminada, los grupos de seguridad nuevos comienzan con una única regla de salida que permite que todo el tráfico salga de las instancias. Debe añadir reglas para permitir el tráfico entrante o restringir el tráfico saliente.

El grupo de seguridad solo se puede utilizar en la VPC para la que se creó.

Para obtener información sobre los permisos necesarios para crear grupos de seguridad y administrar las reglas de los grupos de seguridad, consulte Administrar grupos de seguridad y Administración de reglas de grupos de seguridad.

Para crear un grupo de seguridad con la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Elija Create Security Group (Crear grupo de seguridad).

  4. Ingrese un nombre y una descripción para el grupo de seguridad. No puede cambiar el nombre ni la descripción de un grupo de seguridad después de crearlo.

  5. En VPC, elija la VPC.

  6. Puede agregar reglas de grupo de seguridad ahora o más adelante. Para obtener más información, consulte Agregar reglas a un grupo de seguridad.

  7. Puede agregar etiquetas ahora o más adelante. Para agregar una etiqueta, elija Add new tag (Agregar nueva etiqueta) y, a continuación, ingrese la clave y el valor de la etiqueta.

  8. Elija Create Security Group (Crear grupo de seguridad).

Para crear un grupo de seguridad con la línea de comandos

Ver los grupos de seguridad

Puede ver información acerca de sus grupos de seguridad de la siguiente manera.

Para obtener más información sobre los permisos necesarios para visualizar los grupos de seguridad, consulte Administrar grupos de seguridad.

Para ver los grupos de seguridad mediante la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Los grupos de seguridad aparecen en la lista. Para ver los detalles de un grupo de seguridad específico, incluidas sus reglas de entrada y salida, elija el grupo de seguridad.

Para ver los grupos de seguridad mediante la línea de comandos

Etiquetar los grupos de seguridad

Añada etiquetas a sus recursos para organizarlos e identificarlos mejor, por ejemplo, por objetivo, propietario o entorno. Puede agregar etiquetas a sus grupos de seguridad. Las claves de las etiquetas deben ser únicas para cada grupo de seguridad. Si agrega una etiqueta con una clave que ya está asociada a la regla, se actualiza el valor de esa etiqueta.

Para etiquetar un grupo de seguridad mediante la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Seleccione la casilla de verificación del grupo de seguridad.

  4. Elija Actions (Acciones) y, a continuación, Manage tags (Administrar etiquetas).

  5. La página Manage tags (Administrar etiquetas) muestra las etiquetas que están asignadas al grupo de seguridad. Para agregar una etiqueta, elija Add tag (Agregar etiqueta) e ingrese la clave y el valor de la etiqueta. Para eliminar una etiqueta, elija Remove (Eliminar) junto a la etiqueta que desee eliminar.

  6. Elija Save changes.

Para etiquetar un grupo de seguridad mediante la línea de comandos

Agregar reglas a un grupo de seguridad

Al agregar una regla a un grupo de seguridad, la nueva regla se aplica automáticamente a cualquier instancia que está asociada al grupo de seguridad.

Si tiene una interconexión de VPC, podrá hacer referencia a grupos de seguridad de la VPC del mismo nivel como origen o destino en sus reglas de grupo de seguridad. Para obtener más información, consulte Actualizar los grupos de seguridad para que hagan referencia a grupos de seguridad de VPC del mismo nivel en la Guía de interconexión de Amazon VPC.

Para obtener más información sobre los permisos necesarios para administrar las reglas de los grupos de seguridad, consulte Administración de reglas de grupos de seguridad.

Para agregar una regla a través de la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Seleccione el grupo de seguridad.

  4. Elija Actions (Acciones), Edit inbound rules (Editar reglas de entrada) o Actions (Acciones), Edit outbound rules (Editar reglas de salida).

  5. Para cada regla, elija Add Rule (Agregar regla) y realice lo siguiente.

    1. En Type (Tipo), elija el tipo de protocolo que desea permitir.

      • Para TCP o UDP, debe ingresar el rango de puertos que va a permitir.

      • Para el protocolo ICMP personalizado, debe elegir el nombre del tipo de ICMP en Protocol (Protocolo) y, si se aplica, el nombre del código en Port Range (Rango de puertos).

      • Si elige cualquier otro tipo, el protocolo y el rango de puertos se configurarán de forma automática.

    2. Para Source (Origen) (reglas de entrada) o Destination (Destino) (reglas de salida), realice alguna de las siguientes acciones para permitir el tráfico:

      • Elija Custom (Personalizado) y, a continuación, ingrese una dirección IP en notación CIDR, un bloque de CIDR, otro grupo de seguridad o una lista de prefijos.

      • Seleccione Anywhere (Cualquier lugar) para permitir que el tráfico de cualquier dirección IP llegue a sus instancias (reglas de entrada) o para permitir que el tráfico de las instancias llegue a todas las direcciones IP (reglas de salida). Esta opción agrega automáticamente el bloque IPv4 0.0.0.0/0 de CIDR.

        Si el grupo de seguridad está en una VPC habilitada para IPv6, esta opción agregará automáticamente una regla para el bloque de CIDR IPv6 ::/0.

        En el caso de las reglas de entrada, esta opción es aceptable para un periodo corto en un entorno de prueba, pero no es seguro en los entornos de producción. En los entornos de producción, debe autorizar el acceso a sus instancias únicamente a una dirección IP o a un rango de direcciones IP específicos.

      • Elija My IP (Mi IP) para permitir solo el tráfico entrante (reglas de entrada) o saliente (reglas de salida) de la dirección IPv4 pública de su computadora local.

    3. En Description (Descripción), especifique una breve descripción de la regla.

  6. Seleccione Save rules (Guardar reglas).

Para añadir una regla a un grupo de seguridad con la línea de comandos

Actualizar reglas de los grupos de seguridad

Cuando actualiza una regla, esta se aplica automáticamente a todas las instancias asociadas al grupo de seguridad.

Para obtener más información sobre los permisos necesarios para administrar las reglas de los grupos de seguridad, consulte Administración de reglas de grupos de seguridad.

Para actualizar una regla a través de la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Seleccione el grupo de seguridad.

  4. Elija Actions (Acciones), Edit inbound rules (Editar reglas de entrada) o Actions (Acciones), Edit outbound rules (Editar reglas de salida).

  5. Actualice la regla según sea necesario.

  6. Seleccione Save rules (Guardar reglas).

Para actualizar la descripción de una regla de grupo de seguridad con la línea de comandos

Etiquete las reglas de los grupos de seguridad

Añada etiquetas a sus recursos para organizarlos e identificarlos mejor, por ejemplo, por objetivo, propietario o entorno. Puede agregar etiquetas a las reglas de los grupos de seguridad. Las claves de las etiquetas deben ser únicas para cada regla de grupo de seguridad. Si agrega una etiqueta con una clave que ya está asociada a la regla del grupo de seguridad, se actualizará el valor de esa etiqueta.

Para etiquetar una regla mediante la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Seleccione el grupo de seguridad.

  4. En la pestaña Inbound rules (Reglas de entrada) o Outbound rules (Reglas de salida), seleccione la casilla de verificación correspondiente a la regla y, luego, elija Manage tags (Administrar etiquetas).

  5. La página Manage tags (Administrar etiquetas) muestra las etiquetas asignadas a la regla. Para agregar una etiqueta, elija Add tag (Agregar etiqueta) e ingrese la clave y el valor de la etiqueta. Para eliminar una etiqueta, elija Remove (Eliminar) junto a la etiqueta que desee eliminar.

  6. Elija Save changes.

Para etiquetar una regla mediante la línea de comandos

Eliminar las reglas de un grupo de seguridad

Al eliminar una regla de un grupo de seguridad, el cambio se aplica de forma automática a toda instancia asociada al grupo de seguridad.

Para eliminar una regla del grupo de seguridad desde la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Seleccione el grupo de seguridad.

  4. Seleccione Actions (Acciones) y, a continuación, elija Edit inbound rules (Editar reglas de entrada) para eliminar una regla de entrada o Edit outbound rules (Editar reglas de salida) para eliminar una regla de salida.

  5. Presione el botón Delete (Eliminar), que se encuentra junto a la regla que desea eliminar.

  6. Seleccione Save rules (Guardar reglas).

Para eliminar una regla de un grupo de seguridad mediante la línea de comandos

Cambiar los grupos de seguridad de una instancia

Después de lanzar una instancia en una VPC, puede cambiar los grupos de seguridad asociados a la instancia cuando esta está en estado running o stopped. Para obtener más información, consulte Cambiar un grupo de seguridad de una instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.

Eliminación de un grupo de seguridad

Solo se puede eliminar un grupo de seguridad si este no tiene ninguna instancia asociada (en ejecución o detenida). Puede cambiar los grupos de seguridad asociados a una instancia en ejecución o detenida; para obtener más información, consulte Cambiar los grupos de seguridad de una instancia. El grupo de seguridad predeterminado no se puede eliminar.

Si está utilizando la consola, puede eliminar más de un grupo de seguridad a la vez. Si utiliza la línea de comandos o la API, solo podrá eliminar un grupo de seguridad a la vez.

Para eliminar un grupo de seguridad con la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Seleccione uno o más grupos de seguridad y elija Actions (Acciones) y Delete security groups (Eliminar grupos de seguridad).

  4. Cuando se le pida confirmación, ingrese delete y elija Delete (Eliminar).

Para eliminar un grupo de seguridad con la línea de comandos

Administrar de manera centralizada los grupos de seguridad de VPC mediante AWS Firewall Manager

AWS Firewall Manager simplifica las tareas de administración y mantenimiento de los grupos de seguridad de la VPC en varias cuentas y recursos. Con Firewall Manager, puede configurar y auditar los grupos de seguridad de su organización desde una única cuenta de administrador central. Firewall Manager aplica automáticamente las reglas y las protecciones en todas las cuentas y recursos, incluso cuando se agregan recursos nuevos. Firewall Manager es especialmente útil cuando se desea proteger a toda la organización o si se agregan con frecuencia nuevos recursos que se desea proteger desde una cuenta de administrador central.

Puede utilizar Firewall Manager para administrar de forma centralizada grupos de seguridad de las siguientes maneras:

  • Configurar grupos de seguridad de referencia común en toda la organización: puede utilizar una política de grupo de seguridad común para proporcionar una asociación controlada centralmente de grupos de seguridad con cuentas y recursos de toda la organización. Especifique dónde y cómo aplicar la política en su organización.

  • Auditar grupos de seguridad existentes en la organización: puede utilizar una política de grupos de seguridad de auditoría para comprobar las reglas existentes que están en uso en los grupos de seguridad de la organización. Puede definir el alcance de la política para auditar todas las cuentas, cuentas específicas o recursos etiquetados dentro de la organización. Firewall Manager detecta automáticamente nuevas cuentas y recursos y los audita. Puede crear reglas de auditoría para establecer límites sobre qué reglas de grupo de seguridad permitir o no permitir dentro de la organización y para comprobar si hay grupos de seguridad no utilizados o redundantes.

  • Obtener informes sobre recursos no conformes y remediarlo: puede obtener informes y alertas de recursos no conformes para sus políticas de referencia y de auditoría. También puede establecer flujos de trabajo de corrección automática para corregir cualquier recurso no compatible que Firewall Manager detecte.

Para obtener más información acerca del uso de Firewall Manager para administrar los grupos de seguridad, consulte los siguientes temas de la Guía para desarrolladores de AWS WAF: