Regole del gruppo di sicurezza per diversi casi d'uso - Amazon Elastic Compute Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Regole del gruppo di sicurezza per diversi casi d'uso

Puoi creare un gruppo di sicurezza e aggiungere regole che rispecchiano il ruolo dell'istanza associata al gruppo di sicurezza. Ad esempio, un'istanza configurata come un server Web richiede regole del gruppo di sicurezza che consentano l'accesso HTTP e HTTPS in entrata. Allo stesso modo, un'istanza di database richiede regole che consentano l'accesso per il tipo di database, ad esempio l'accesso sulla porta 3306 per MySQL.

Di seguito sono illustrati esempi dei tipi di regole che è possibile aggiungere ai gruppi di sicurezza per tipi di accesso specifici.

Regole del server Web

Le seguenti regole in entrata permettono l'accesso HTTP e HTTPS da qualunque indirizzo IP. Se il tuo VPC può supportare IPv6, puoi aggiungere regole per controllare il traffico HTTP e HTTPS dagli indirizzi IPv6.

Tipo di protocollo Numero di protocollo Porta IP di origine Note
TCP 6 80 (HTTP) 0.0.0.0/0 Permette l'accesso HTTP in entrata da qualunque indirizzo IPv4
TCP 6 443 (HTTPS) 0.0.0.0/0 Permette l'accesso HTTPS in entrata da qualunque indirizzo IPv4
TCP 6 80 (HTTP) ::/0 Permette l'accesso HTTP in entrata da qualunque indirizzo IPv6.
TCP 6 443 (HTTPS) ::/0 Permette l'accesso HTTPS in entrata da qualunque indirizzo IPv6.

Regole del server di database

Le seguenti regole in entrata sono esempi di regole che è possibile aggiungere per l'accesso al database a seconda del tipo di database in esecuzione sull'istanza. Per ulteriori informazioni sulle istanze Amazon RDS, consulta la Guida per l'utente di Amazon RDS.

Per l'IP di origine, specifica uno dei seguenti valori:

  • Un indirizzo IP specifico o un intervallo di indirizzi IP (in notazione di blocco CIDR) nella rete locale

  • Un ID del gruppo di sicurezza per un gruppo di istanze che accedono al database

Tipo di protocollo Numero di protocollo Porta Note
TCP 6 1433 (MS SQL) La porta predefinita di accesso al database di Microsoft SQL Server, ad esempio su un'istanza Amazon RDS
TCP 6 3306 (MYSQL/Aurora) La porta predefinita di accesso a un database MySQL o Aurora, ad esempio su un'istanza Amazon RDS
TCP 6 5439 (Redshift) La porta predefinita per accedere a un database di cluster Amazon Redshift.
TCP 6 5432 (PostgreSQL) La porta predefinita di accesso a un database PostgreSQL, ad esempio su un'istanza Amazon RDS
TCP 6 1521 (Oracle) La porta predefinita di accesso a un database Oracle, ad esempio su un'istanza Amazon RDS

Facoltativamente, è possibile limitare il traffico in uscita dai server di database. Ad esempio, è possibile autorizzare l'accesso a Internet per gli aggiornamenti software, ma limitare tutti gli altri tipi di traffico. Occorre prima rimuovere la regola in uscita predefinita che autorizza tutto il traffico in uscita.

Tipo di protocollo Numero di protocollo Porta IP di destinazione Note
TCP 6 80 (HTTP) 0.0.0.0/0 Permette l'accesso HTTP in uscita verso qualunque indirizzo IPv4
TCP 6 443 (HTTPS) 0.0.0.0/0 Permette l'accesso HTTPS in uscita verso qualunque indirizzo IPv4
TCP 6 80 (HTTP) ::/0 (Solo VPC che supportano IPv6) Permette l'accesso HTTP in uscita verso qualunque indirizzo IPv6
TCP 6 443 (HTTPS) ::/0 (Solo VPC che supportano IPv6) Permette l'accesso HTTPS in uscita verso qualunque indirizzo IPv6

Regole per la connessione alle istanze dal computer in uso

Per stabilire la connessione all'istanza, il tuo gruppo di sicurezza deve avere regole in entrata che consentono l'accesso SSH (per le istanze Linux) o l'accesso RDP (per le istanze Windows).

Tipo di protocollo Numero di protocollo Porta IP di origine
TCP 6 22 (SSH) L'indirizzo IPv4 pubblico del tuo computer o un intervallo di indirizzi IP nella rete locale. Se il VPC può supportare IPv6 e la tua istanza ha un indirizzo IPv6, puoi inserire un indirizzo o un intervallo IPv6.
TCP 6 3389 (RDP) L'indirizzo IPv4 pubblico del tuo computer o un intervallo di indirizzi IP nella rete locale. Se il VPC può supportare IPv6 e la tua istanza ha un indirizzo IPv6, puoi inserire un indirizzo o un intervallo IPv6.

Regole per la connessione alle istanze da un'istanza con lo stesso gruppo di sicurezza

Per consentire alle istanze associate allo stesso gruppo di sicurezza di comunicare tra loro, devi aggiungere esplicitamente regole apposite.

Nota

Se le route vengono configurate per inoltrare il traffico tra due istanze in sottoreti diverse attraverso un'appliance middlebox, è necessario assicurarsi che i gruppi di sicurezza per entrambe le istanze consentano il flusso del traffico tra le istanze. Il gruppo di sicurezza per ogni istanza deve fare riferimento all'indirizzo IP privato dell'altra istanza o all'intervallo CIDR della sottorete che contiene l'altra istanza come origine. Se si fa riferimento al gruppo di sicurezza dell'altra istanza come origine, allora il flusso del traffico tra le istanze non sarà consentito.

La tabella seguente descrive la regola in entrata per un gruppo di sicurezza che permette alle istanze associate di comunicare tra loro. La regola autorizza tutti i tipi di traffico.

Tipo di protocollo Numero di protocollo Porte IP di origine
-1 (Tutti) -1 (Tutti) -1 (Tutti) L'ID del gruppo di sicurezza o l'intervallo CIDR della sottorete che contiene l'altra istanza (vedi nota).

Regole per Ping/ICMP

Il comando ping è un tipo di traffico ICMP. Per effettuare il ping dell'istanza, devi aggiungere una delle seguenti regole ICMP in entrata.

Type Protocollo Origine
ICMP personalizzato - IPv4 Richiesta echo L'indirizzo IPv4 pubblico del tuo computer, un indirizzo IPv4 specifico o un indirizzo IPv4 o IPv6 di qualsiasi provenienza.
Tutti ICMP - IPv4 ICMP IPv4 (1) L'indirizzo IPv4 pubblico del tuo computer, un indirizzo IPv4 specifico o un indirizzo IPv4 o IPv6 di qualsiasi provenienza.

Per utilizzare il comando ping6 per eseguire il ping degli indirizzi IPv6 della tua istanza, devi aggiungere la seguente regola ICMPv6 in entrata.

Type Protocollo Origine
Tutto ICMP - IPv6 ICMP IPv6 (58) L'indirizzo IPv6 del tuo computer, un indirizzo IPv4 specifico o un indirizzo IPv4 o IPv6 di qualsiasi provenienza.

Regole del server DNS

Se hai configurato un'istanza EC2 come server DNS, devi verificare che il traffico TCP e UDP possa raggiungere il server DNS tramite la porta 53.

Per l'IP di origine, specifica uno dei seguenti valori:

  • Un indirizzo IP o un intervallo di indirizzi IP (in notazione di blocco CIDR) in una rete

  • L'ID di un gruppo di sicurezza per il set di istanze nella rete che richiedono l'accesso al server DNS

Tipo di protocollo Numero di protocollo Porta
TCP 6 53
UDP 17 53

Regole Amazon EFS

Se utilizzi un file system Amazon EFS con le istanze Amazon EC2 il gruppo di sicurezza che associ ai target di montaggio Amazon EFS deve autorizzare il traffico sul protocollo NFS.

Tipo di protocollo Numero di protocollo Porte IP di origine Note
TCP 6 2049 (NFS) L'ID del gruppo di sicurezza Permette l'accesso NFS in entrata dalle risorse (compreso l'obiettivo di montaggio) associate a questo gruppo di sicurezza.

Per montare un file system Amazon EFS su un'istanza Amazon EC2, devi connetterti all'istanza. Di conseguenza, il gruppo di sicurezza associato all'istanza deve avere regole che autorizzano il traffico SSH in entrata dal computer locale o dalla rete locale.

Tipo di protocollo Numero di protocollo Porte IP di origine Note
TCP 6 22 (SSH) L'intervallo di indirizzi IP del computer locale o l'intervallo di indirizzi IP (in notazione di blocco CIDR) per la rete. Permette l'accesso SSH in entrata dal tuo computer locale.

Regole Elastic Load Balancing

Se utilizzi un sistema di bilanciamento del carico (load balancer), il gruppo di sicurezza a esso associato deve avere regole che permettono la comunicazione con le istanze o con i target. Per ulteriori informazioni, consulta Configurazione dei gruppi di sicurezza per Classic Load Balancer nella Guida per l'utente per Classic Load Balancer e Gruppi di sicurezza per l'Application Load Balancer nella Guida per l'utente per Application Load Balancer.

Regole del peering di VPC

Puoi aggiornare le regole in entrata o in uscita per i gruppi di sicurezza VPC per fare riferimento a gruppi di sicurezza nel VPC collegato in peering. In questo modo, si consente il traffico verso e da istanze associate al gruppo di sicurezza a cui si fa riferimento nel VPC collegato in peering. Per ulteriori informazioni su come configurare i gruppi di sicurezza per il peering di VPC, consulta Aggiornamento dei gruppi di sicurezza per fare riferimento a gruppi nel VPC in peering.