Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gruppi di sicurezza per l'endpoint EC2 Instance Connect
Un gruppo di sicurezza controlla il traffico consentito per raggiungere e lasciare le risorse a cui è associato. Ad esempio, neghiamo il traffico da e verso un'istanza Amazon EC2 a meno che non sia specificamente consentito dai gruppi di sicurezza associati all'istanza.
Gli esempi seguenti mostrano come configurare le regole dei gruppi di sicurezza per l'endpoint EC2 Instance Connect e le istanze di destinazione.
Esempi
Regole del gruppo di sicurezza EC2 Instance Connect Endpoint
Le regole del gruppo di sicurezza per un endpoint EC2 Instance Connect devono consentire al traffico in uscita destinato alle istanze di destinazione di lasciare l'endpoint. È possibile specificare il gruppo di sicurezza dell'istanza o l'intervallo di indirizzi IPv4 del VPC come destinazione.
Il traffico verso l'endpoint proviene dal servizio Endpoint EC2 Instance Connect ed è consentito indipendentemente dalle regole in entrata per il gruppo di sicurezza degli endpoint. Per controllare chi può utilizzare EC2 Instance Connect Endpoint per connettersi a un'istanza, utilizza una policy IAM. Per ulteriori informazioni, consulta Autorizzazioni per utilizzare EC2 Instance Connect Endpoint per connettersi alle istanze.
Esempio di regola in uscita: riferimento ai gruppi di sicurezza
L'esempio seguente utilizza il riferimento ai gruppi di sicurezza, il che significa che la destinazione è un gruppo di sicurezza associato alle istanze di destinazione. Questa regola consente il traffico in uscita dall'endpoint verso tutte le istanze che utilizzano questo gruppo di sicurezza.
| Protocollo | Destinazione | Intervallo porte | Commento |
|---|---|---|---|
| TCP | ID del gruppo di sicurezza dell'istanza |
22 | Consente il traffico SSH in uscita verso tutte le istanze associate al gruppo di sicurezza dell'istanza |
Esempio di regola in uscita: intervallo di indirizzi IPv4
L'esempio seguente consente il traffico in uscita verso l'intervallo di indirizzi IPv4 specificato. Gli indirizzi IPv4 di un'istanza vengono assegnati dalla relativa sottorete, quindi è possibile utilizzare l'intervallo di indirizzi IPv4 del VPC.
| Protocollo | Destinazione | Intervallo porte | Commento |
|---|---|---|---|
| TCP | CIDR IPv4 del VPC |
22 | Consente il traffico SSH in uscita verso il VPC |
Regole del gruppo di sicurezza dell'istanza Target
Le regole del gruppo di sicurezza per le istanze di destinazione devono consentire il traffico in entrata dall'endpoint EC2 Instance Connect. È possibile specificare il gruppo di sicurezza dell'endpoint o un intervallo di indirizzi IPv4 come origine. Se si specifica un intervallo di indirizzi IPv4, l'origine dipende dal fatto che la conservazione dell'IP del client sia attivata o disattivata. Per ulteriori informazioni, consulta Considerazioni.
Poiché i gruppi di sicurezza sono dotati di stato, il traffico di risposta può lasciare il VPC indipendentemente dalle regole in uscita per il gruppo di sicurezza dell'istanza.
Esempio di regola in entrata: riferimento al gruppo di sicurezza
L'esempio seguente utilizza il riferimento ai gruppi di sicurezza, il che significa che l'origine è il gruppo di sicurezza associato all'endpoint. Questa regola consente il traffico SSH in entrata dall'endpoint verso tutte le istanze che utilizzano questo gruppo di sicurezza, indipendentemente dal fatto che la conservazione dell'IP del client sia attivata o disattivata. Se non esistono altre regole del gruppo di sicurezza in entrata per SSH, le istanze accettano il traffico SSH solo dall'endpoint.
| Protocollo | Origine | Intervallo porte | Commento |
|---|---|---|---|
| TCP | ID del gruppo di sicurezza dell'endpoint |
22 | Consente il traffico SSH in entrata dalle risorse associate al gruppo di sicurezza degli endpoint |
Esempio di regola in entrata: conservazione dell'IP del client disattivata
L'esempio seguente consente il traffico SSH in entrata dall'intervallo di indirizzi IPv4 specificato. Poiché la conservazione dell'IP del client è disattivata, l'indirizzo IPv4 di origine è l'indirizzo dell'interfaccia di rete dell'endpoint. L'indirizzo dell'interfaccia di rete dell'endpoint viene assegnato dalla relativa sottorete, quindi è possibile utilizzare l'intervallo di indirizzi IPv4 del VPC per consentire le connessioni a tutte le istanze del VPC.
| Protocollo | Origine | Intervallo porte | Commento |
|---|---|---|---|
| TCP | CIDR IPv4 del VPC |
22 | Consente il traffico SSH in entrata dal VPC |
Esempio di regola in entrata: conservazione dell'IP del client attiva
L'esempio seguente consente il traffico SSH in entrata dall'intervallo di indirizzi IPv4 specificato. Poiché la conservazione dell'IP del client è attiva, l'indirizzo IPv4 di origine è l'indirizzo del client.
| Protocollo | Origine | Intervallo porte | Commento |
|---|---|---|---|
| TCP | Intervallo di indirizzi IPv4 pubblico |
22 | Consente il traffico in entrata dall'intervallo di indirizzi IPv4 del client specificato |
