Amazon Virtual Private Cloud
Guía del usuario

Grupos de seguridad de su VPC

Un grupo de seguridad funciona como un firewall virtual de la instancia para controlar el tráfico entrante y saliente. Cuando lanza una instancia en una VPC, puede asignar hasta cinco grupos de seguridad a la instancia. Los grupos de seguridad actúan en el ámbito de la instancia, no en el de la subred. Por lo tanto, cada instancia de la subred de su VPC puede asignarse a distintos conjuntos de grupos de seguridad. Si no especifica ningún grupo durante el lanzamiento, la instancia se asignará automáticamente al grupo de seguridad predeterminado para la VPC.

Para cada grupo de seguridad, es necesario añadir reglas que controlan el tráfico entrante a las instancias, así como un conjunto de reglas distinto que controla el tráfico saliente. Esta sección describe los conceptos básicos que debe conocer acerca de los grupos de seguridad de su VPC y sus reglas.

Puede configurar ACL de red con reglas similares a sus grupos de seguridad para añadir una capa de seguridad adicional a su VPC. Para obtener más información acerca de las diferencias entre los grupos de seguridad y las ACL de red, consulte Comparación de grupos de seguridad y ACL de red.

Conceptos básicos de los grupos de seguridad

A continuación se describen las características básicas de los grupos de seguridad para su VPC:

  • El número de grupos de seguridad que puede crear por cada VPC es limitado, al igual que el número de reglas que puede añadir a cada grupo de seguridad y el número de grupos de seguridad que puede asociar a una interfaz de red. Para obtener más información, consulte Límites de Amazon VPC.

  • Puede especificar reglas de permiso, pero no reglas de denegación.

  • Es posible especificar reglas separadas para el tráfico entrante y saliente.

  • Cuando se crea un grupo de seguridad, este carece de reglas entrantes. Por lo tanto, no se permitirá el tráfico entrante que proceda de otro host a su instancia hasta que no añada reglas entrantes al grupo de seguridad.

  • De forma predeterminada, los grupos de seguridad incluyen una regla entrante que permite todo el tráfico saliente. Es posible quitar esta regla y añadir reglas saliente que permitan solo el tráfico saliente específico. Si el grupo de seguridad no tiene reglas entrantes, no se permitirá el tráfico saliente que proceda de esta instancia.

  • Los grupos de seguridad tienen estado: si envía una solicitud desde su instancia, se permite el flujo del tráfico de respuesta para dicha solicitud, independientemente de las reglas de entrada del grupo de seguridad. El flujo saliente de las respuestas al tráfico entrante está permitido independientemente de las reglas salientes.

    nota

    El seguimiento de determinados tipos de tráfico se realiza de forma distinta al de otros. Para obtener más información, consulte Seguimiento de la conexión en la Guía del usuario de Amazon EC2 para instancias de Linux.

  • Las instancias asociadas a un grupo de seguridad no pueden hablar entre sí a no ser que añada reglas que lo permitan (excepción: el grupo de seguridad predeterminado dispone de estas reglas de manera predeterminada).

  • Los grupos de seguridad están asociados a las interfaces de red. Tras lanzar una instancia, podrá cambiar los grupos de seguridad asociados con la instancia, lo que modifica los grupos de seguridad asociados a la interfaz de red principal (eth0). También puede cambiar los grupos de seguridad asociados a cualquier otra interfaz de red. Para obtener más información acerca de las interfaces de red, consulte Interfaces de redes elásticas.

  • Al crear un grupo de seguridad, debe darle un nombre y una descripción. Se aplican las siguientes reglas:

    • Los nombres y las descripciones pueden tener una longitud máxima de 255 caracteres.

    • Los nombres y las descripciones solo pueden contener los siguientes caracteres: a-z, A-Z, 0-9, espacios y ._-:/()#,@[]+=&;{}!$*.

    • El nombre del grupo de seguridad no puede comenzar con sg-.

    • El nombre de un grupo de seguridad debe ser único dentro de la VPC.

Grupo de seguridad predeterminado para su VPC

Su VPC incluye automáticamente un grupo de seguridad predeterminado. Cada instancia EC2 que se lanza en su VPC se asocia automáticamente al grupo de seguridad predeterminado si no especifica ningún grupo de seguridad predeterminado al lanzar la instancia.

La tabla siguiente describe las reglas predeterminadas del grupo de seguridad predeterminado.

Inbound
Source Protocol Port Range Comments

ID del grupo de seguridad (sg-xxxxxxxx).

Todo

Todo

Permite el tráfico entrante desde instancias asignadas al mismo grupo de seguridad.

Outbound

Destination Protocol Port Range Comments

0.0.0.0/0

Todos

Todos

Permite todo el tráfico IPv4 saliente.

::/0 Todos Todo Permite todo el tráfico IPv6 saliente. Esta regla se añade de manera predeterminada si crea una VPC con un bloque de CIDR IPv6 o si asocia un bloque de CIDR IPv6 a su VPC existente.

Puede cambiar las reglas del grupo de seguridad predeterminado.

El grupo de seguridad predeterminado no se puede eliminar. Si intenta eliminar el grupo de seguridad predeterminado, aparecerá el error siguiente: Client.CannotDelete: the specified group: "sg-51530134" name: "default" cannot be deleted by a user.

nota

Si ha modificado las reglas salientes de su grupo de seguridad, no se añadirá automáticamente ninguna regla saliente para el tráfico IPv6 al asociar un bloque de CIDR IPv6 a su VPC.

Reglas del grupo de seguridad

Puede añadir o quitar reglas de un grupo de seguridad (este proceso también se conoce como autorización o revocación del acceso entrante o saliente). Las reglas se aplican al tráfico entrante (entrada) o saliente (salida). Puede conceder acceso a un rango de CIDR específico o a otro grupo de seguridad de su VPC o de una VPC del mismo nivel (requiere interconexión de VPC).

A continuación se describen las partes básicas de las reglas de los grupos de seguridad de una VPC:

  • (Solo reglas entrantes) Origen del tráfico y puerto de destino o rango de puertos. El origen puede ser otro grupo de seguridad, un bloque de CIDR IPv4 o IPv6, o bien una única dirección IPv4 o IPv6.

  • (Solo reglas salientes) Destino del tráfico y puerto de destino o rango de puertos. El destino puede ser otro grupo de seguridad, un bloque de CIDR IPv4 o IPv6, bien una única dirección IPv4 o IPv6, o un ID de lista de prefijos.

  • Cualquier protocolo que tenga un número de protocolo estándar (para obtener una lista, consulte Protocol Numbers). Si especifica ICMP como el protocolo, puede especificar cualquiera de los tipos y códigos de ICMP.

  • Una descripción opcional de la regla del grupo de seguridad que le ayude a identificarla posteriormente. Una descripción puede tener una longitud máxima de 255 caracteres. Los caracteres permitidos incluyen a-z, A-Z, 0-9, espacios y ._-:/()#,@[]+=;{}!$*.

Cuando se especifica un bloque de CIDR como el origen de una regla, se permite el tráfico desde las direcciones especificadas para el protocolo y puertos especificados. Cuando se especifica un grupo de seguridad como el origen de una regla, se permite el tráfico desde las interfaces de red elásticas (ENI) para las instancias asociadas al grupo de seguridad de origen para el protocolo y puertos especificados. Cuando se añade un grupo de seguridad como origen, no se añaden reglas desde el grupo de seguridad de origen.

Si especifica una única dirección IPv4, indíquela con la longitud de prefijo /32. Si especifica una única dirección IPv6, especifíquela con la longitud de prefijo /128.

Algunos sistemas de configuración de firewalls permiten filtrar por los puertos de origen. Los grupos de seguridad solo permiten filtrar por puertos de destino.

Al añadir o quitar reglas, estas se aplican automáticamente a todas las instancias asociadas al grupo de seguridad.

El tipo de reglas que se añaden dependerá del propósito de la instancia. La tabla siguiente describe reglas de ejemplo de un grupo de seguridad de servidores web. Los servidores web pueden recibir tráfico HTTP y HTTPs de todas las direcciones IPv4 e IPv6 y, a continuación, enviar el tráfico SQL o MySQL al servidor de la base de datos.

Inbound
Source Protocol Port Range Comments

0.0.0.0/0

TCP

80

Permite el acceso HTTP entrante desde todas las direcciones IPv4.

::/0 TCP 80 Permite el acceso HTTP entrante desde todas las direcciones IPv6.

0.0.0.0/0

TCP

443

Permite el acceso HTTPS entrante desde todas las direcciones IPv4.

::/0 TCP 443 Permite el acceso HTTPS entrante desde todas las direcciones IPv6.

Rango de direcciones IPv4 públicas de su red

TCP

22

Permite el acceso SSH entrante a las instancias de Linux desde direcciones IP IPv4 de su red (a través del puerto de enlace a Internet).

Rango de direcciones IPv4 públicas de su red

TCP

3389

Permite el acceso RDP entrante a las instancias de Windows desde direcciones IP IPv4 de su red (a través del puerto de enlace a Internet).

Outbound

Destination Protocol Port Range Comments

ID del grupo de seguridad para los servidores de la base de datos de Microsoft SQL Server

TCP

1433

Permite el acceso saliente de Microsoft SQL Server a las instancias del grupo de seguridad especificado

ID del grupo de seguridad para los servidores de la base de datos MySQL

TCP

3306

Permite el acceso saliente de MySQL a las instancias del grupo de seguridad especificado

El servidor de la base de datos necesitará un conjunto de reglas distintas. Por ejemplo, en lugar del tráfico HTTP y HTTPS entrante, puede añadir una regla que permita el acceso de MySQL o Microsoft SQL Server entrante. Para obtener un ejemplo de las reglas de grupo de seguridad para servidores web y servidores de bases de datos, consulte Seguridad.

Para obtener ejemplos de reglas de grupo de seguridad para determinados tipos de acceso, consulte Referencia de reglas de grupos de seguridad en la Guía del usuario de Amazon EC2 para instancias de Linux.

Reglas antiguas de los grupos de seguridad

Si su VPC tiene una interconexión con otra VPC, la regla del grupo de seguridad puede hacer referencia a otro grupo de seguridad de la VPC del mismo nivel. Esto permite que las instancias asociadas con el grupo de seguridad al que se hace referencia se comuniquen con las instancias asociadas al grupo de seguridad que hace la referencia.

Si el propietario de la VPC del mismo nivel elimina el grupo de seguridad al que se hace referencia, o bien si usted o el propietario de la VPC del mismo nivel elimina la interconexión de VPC, la regla del grupo de seguridad se marcará como stale. Las reglas obsoletas de los grupos de seguridad se pueden eliminar de la misma manera que cualquier otra regla del grupo de seguridad.

Para obtener más información, consulte Uso de reglas de grupo de seguridad obsoletas en la Amazon VPC Peering Guide.

Diferencias entre los grupos de seguridad para EC2-Classic y EC2-VPC

No puede utilizar los grupos de seguridad que ha creado con EC2-Classic con instancias en su VPC. Debe crear grupos de seguridad específicamente para utilizarlos con instancias de su VPC. Las reglas que cree para utilizarlas con un grupo de seguridad de una VPC no pueden hacer referencia a un grupo de seguridad de EC2-Classic y viceversa. Para obtener más información sobre las diferencias entre los grupos de seguridad que se utilizan con EC2-Classic y los que se utilizan con una VPC, consulte Diferencias entre EC2-Classic y una VPC en la Guía del usuario de Amazon EC2 para instancias de Linux.

Uso de grupos de seguridad

Las siguientes tareas muestran cómo usar grupos de seguridad con la consola de Amazon VPC.

Modificación del grupo de seguridad predeterminado

La VPC incluye un grupo de seguridad predeterminado. Este grupo no se puede eliminar; sin embargo, es posible cambiar las reglas del grupo. El procedimiento es el mismo que para modificar cualquier otro grupo de seguridad. Para obtener más información, consulte Adición, eliminación y actualización de reglas.

Creación de un grupo de seguridad

Aunque puede utilizar el grupo de seguridad predeterminado para sus instancias, puede que desee crear sus propios grupos para reflejar las distintas funciones de desempeñan que juegan las instancias en su sistema.

Para crear un grupo de seguridad con la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups.

  3. Elija Create Security Group.

  4. Escriba un nombre de grupo de seguridad (por ejemplo, my-security-group) y especifique una descripción. Seleccione el ID de su VPC del menú VPC y elija Yes, Create.

Para crear un grupo de seguridad con la línea de comandos

Describir uno o varios grupos de seguridad con la línea de comandos

De forma predeterminada, los grupos de seguridad nuevos comienzan con una única regla de salida que permite que todo el tráfico salga de las instancias. Debe añadir reglas para permitir el tráfico entrante o restringir el tráfico saliente.

Adición, eliminación y actualización de reglas

Al añadir o quitar una regla, las instancias ya asignadas al grupo de seguridad quedan sujetas al cambio.

Si tiene una interconexión de VPC, podrá hacer referencia a grupos de seguridad de la VPC del mismo nivel como origen o destino en sus reglas de grupo de seguridad. Para obtener más información, consulte Actualización de los grupos de seguridad para que hagan referencia a grupos de la VPC del mismo nivel en la Amazon VPC Peering Guide.

Para agregar una regla a través de la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups.

  3. Seleccione el grupo de seguridad que desea actualizar. El panel de detalles muestra información detallada del grupo de seguridad, además de pestañas que permiten usar las reglas entrantes y salientes.

  4. En la pestaña Inbound Rules, elija Edit. Seleccione una opción para una regla de tráfico entrante en Type y, a continuación, especifique la información necesaria. Por ejemplo, para un servidor web público, elija HTTP o HTTPS y especifique un valor para Source como 0.0.0.0/0.

    nota

    Si utiliza 0.0.0.0/0, permitirá que todas las direcciones IPv4 tengan acceso a su instancia mediante HTTP o HTTPS. Para restringir el acceso, escriba una dirección IP específica o un rango de direcciones.

  5. Si lo desea, puede proporcionar una descripción para esta regla y después elija Save.

  6. También puede permitir la comunicación entre todas las instancias asociadas a este grupo de seguridad. En la pestaña Inbound Rules, elija All Traffic de la lista Type. Comience escribiendo el ID del grupo de seguridad en Source. Esto le mostrará una lista de grupos de seguridad. Seleccione el grupo de seguridad de la lista y elija Save.

  7. Si lo necesita, puede utilizar la pestaña Outbound Rules para añadir reglas para el tráfico saliente.

Para eliminar una regla a través de la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups.

  3. Seleccione el grupo de seguridad que desea actualizar. El panel de detalles muestra información detallada del grupo de seguridad, además de pestañas que permiten usar las reglas entrantes y salientes.

  4. Elija Edit, seleccione la función que desea eliminar y, a continuación, elija Remove, Save.

Al modificar el protocolo, el intervalo de puertos o el origen o destino de una regla de grupo de seguridad existente mediante la consola, esta elimina la regla existente y agrega una nueva automáticamente.

Para actualizar una regla a través de la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups.

  3. Seleccione el grupo de seguridad que desea actualizar y elija Inbound Rules (Reglas de entrada) para actualizar una regla de tráfico entrante u Outbound Rules (Reglas de salida) para actualizar una regla de tráfico saliente.

  4. Elija Edit. Modifique la entrada la regla según sea necesario y elija Save.

Para actualizar el protocolo, el intervalo de puertos o el origen o destino de una regla existente mediante la API de Amazon EC2 o una herramienta de la línea de comandos, no puede modificar la regla; en su lugar, debe eliminar la regla existente y agregar una nueva. Para actualizar solo la descripción, puede usar los comandos update-security-group-rule-descriptions-ingress y update-security-group-rule-descriptions-egress.

Para añadir una regla a un grupo de seguridad con la línea de comandos

Para eliminar una regla de un grupo de seguridad con la línea de comandos

Para actualizar la descripción de una regla de grupo de seguridad con la línea de comandos

Cambio de los grupos de seguridad de una instancia

Tras lanzar una instancia en una VPC, podrá cambiar los grupos de seguridad asociados a dicha instancia. Es posible modificar los grupos de seguridad de una instancia cuando esta tiene el estado running o stopped.

nota

Este procedimiento permite modificar los grupos de seguridad asociados a la interfaz de red principal (eth0) de la instancia. Para cambiar los grupos de seguridad de otras interfaces de red, consulte la sección sobre cómo cambiar el grupo de seguridad de una interfaz de red.

Para cambiar los grupos de seguridad para una instancia con la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Instances (Instancias).

  3. Abra el menú contextual (clic derecho) de la instancia y elija Networking, Change Security Groups.

  4. En el cuadro de diálogo Change Security Groups, seleccione uno o varios grupos de seguridad de la lista y elija Assign Security Groups.

Para cambiar los grupos de seguridad para una instancia con la línea de comandos

Eliminación de un grupo de seguridad

Solo se puede eliminar el grupo de seguridad si este no tiene ninguna instancia asociada (en ejecución o detenida). Puede asignar las instancias a otro grupo de seguridad antes de eliminar el grupo de seguridad (consulte Cambio de los grupos de seguridad de una instancia). El grupo de seguridad predeterminado no se puede eliminar.

Si está utilizando la consola, puede eliminar más de un grupo de seguridad a la vez. Si está utilizando la línea de comando o el API, solo puede eliminar un grupo de seguridad a la vez.

Para eliminar un grupo de seguridad con la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups.

  3. Seleccione uno o varios grupos de seguridad y elija Security Group Actions, Delete Security Group.

  4. En el cuadro de diálogo Delete Security Group, elija Yes, Delete.

Para eliminar un grupo de seguridad con la línea de comandos

Eliminación del grupo de seguridad 2009-07-15-default

Las VPC creadas con una API cuya versión sea anterior al 01-01-2011 tendrán el grupo de seguridad 2009-07-15-default. Este grupo de seguridad existe además del grupo de seguridad default que se incluye en cada VPC. No es posible adjuntar un puerto de enlace a Internet a una VPC con el grupo de seguridad 2009-07-15-default. Por lo tanto, debe eliminar este grupo de seguridad para poder adjuntar un puerto de enlace a Internet a la VPC.

nota

Si ha asignado este grupo de seguridad a otras instancias, debe asignar a dichas instancias otro grupo de seguridad distinto para poder eliminar el grupo de seguridad.

Para eliminar el grupo de seguridad 2009-07-15-default

  1. Asegúrese de que este grupo de seguridad no esté asignado a ninguna instancia.

    1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

    2. En el panel de navegación, elija Network Interfaces.

    3. Seleccione la interfaz de red de la instancia de la lista y elija Change Security Groups, Actions.

    4. En el cuadro de diálogo Change Security Groups, seleccione un nuevo grupo de seguridad de la lista y elija Save.

      nota

      Cuando cambie el grupo de seguridad de una instancia, podrá seleccionar varios grupos de seguridad de la lista. Los grupos de seguridad que seleccione sustituirán los grupos de seguridad actuales de la instancia.

    5. Repita los pasos anteriores para cada instancia.

  2. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  3. En el panel de navegación, elija Security Groups.

  4. Elija el grupo de seguridad 2009-07-15-default, a continuación elija Security Group Actions (Acciones de grupo de seguridad), Delete Security Group (Eliminar grupo de seguridad).

  5. En el cuadro de diálogo Delete Security Group, elija Yes, Delete.