Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Regole del gruppo di sicurezza per diversi casi d'uso

PDF
RSS
Modalità Focus
Regole del gruppo di sicurezza per diversi casi d'uso - Amazon Elastic Compute Cloud
Regole del server WebRegole del server di databaseRegole per la connessione alle istanze dal computer in usoRegole per la connessione alle istanze da un'istanza con lo stesso gruppo di sicurezzaRegole per Ping/ICMPRegole del server DNSRegole Amazon EFSRegole Elastic Load Balancing

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Puoi creare un gruppo di sicurezza e aggiungere regole che rispecchiano il ruolo dell'istanza associata al gruppo di sicurezza. Ad esempio, un'istanza configurata come un server Web richiede regole del gruppo di sicurezza che consentano l'accesso HTTP e HTTPS in entrata. Allo stesso modo, un'istanza di database richiede regole che consentano l'accesso per il tipo di database, ad esempio l'accesso sulla porta 3306 per MySQL.

Di seguito sono illustrati esempi dei tipi di regole che è possibile aggiungere ai gruppi di sicurezza per tipi di accesso specifici.

Per istruzioni, consulta Creazione di un gruppo di sicurezza e Configurazione delle regole per i gruppi di sicurezza.

Regole del server Web

Le seguenti regole in entrata permettono l'accesso HTTP e HTTPS da qualunque indirizzo IP. Se il tuo VPC è abilitato per IPv6, puoi aggiungere regole per controllare il traffico HTTP e HTTPS in entrata dagli indirizzi. IPv6

Tipo di protocollo Numero di protocollo Porta IP di origine Note
TCP 6 80 (HTTP) 0.0.0.0/0 Consente l'accesso HTTP in entrata da qualsiasi indirizzo IPv4
TCP 6 443 (HTTPS) 0.0.0.0/0 Consente l'accesso HTTPS in entrata da qualsiasi indirizzo IPv4
TCP 6 80 (HTTP) ::/0 Consente l'accesso HTTP in entrata da qualsiasi indirizzo IPv6
TCP 6 443 (HTTPS) ::/0 Consente l'accesso HTTPS in entrata da qualsiasi indirizzo IPv6

Regole del server di database

Le seguenti regole in entrata sono esempi di regole che è possibile aggiungere per l'accesso al database a seconda del tipo di database in esecuzione sull'istanza. Per ulteriori informazioni sulle istanze Amazon RDS, consulta la Guida per l'utente di Amazon RDS.

Per l'IP di origine, specifica uno dei seguenti valori:

  • Un indirizzo IP specifico o un intervallo di indirizzi IP (in notazione di blocco CIDR) nella rete locale

  • Un ID del gruppo di sicurezza per un gruppo di istanze che accedono al database

Tipo di protocollo Numero di protocollo Porta Note
TCP 6 1433 (MS SQL) La porta predefinita di accesso al database di Microsoft SQL Server, ad esempio su un'istanza Amazon RDS
TCP 6 3306 (MYSQL/Aurora) La porta predefinita di accesso a un database MySQL o Aurora, ad esempio su un'istanza Amazon RDS
TCP 6 5439 (Redshift) La porta predefinita per accedere a un database di cluster Amazon Redshift.
TCP 6 5432 (PostgreSQL) La porta predefinita di accesso a un database PostgreSQL, ad esempio su un'istanza Amazon RDS
TCP 6 1521 (Oracle) La porta predefinita di accesso a un database Oracle, ad esempio su un'istanza Amazon RDS

Facoltativamente, è possibile limitare il traffico in uscita dai server di database. Ad esempio, è possibile autorizzare l'accesso a Internet per gli aggiornamenti software, ma limitare tutti gli altri tipi di traffico. Occorre prima rimuovere la regola in uscita predefinita che autorizza tutto il traffico in uscita.

Tipo di protocollo Numero di protocollo Porta IP di destinazione Note
TCP 6 80 (HTTP) 0.0.0.0/0 Consente l'accesso HTTP in uscita a qualsiasi indirizzo IPv4
TCP 6 443 (HTTPS) 0.0.0.0/0 Consente l'accesso HTTPS in uscita a qualsiasi indirizzo IPv4
TCP 6 80 (HTTP) ::/0 (solo VPC IPv6 abilitato per -enabled) Consente l'accesso HTTP in uscita a qualsiasi indirizzo IPv6
TCP 6 443 (HTTPS) ::/0 (solo VPC IPv6 abilitato per -enabled) Consente l'accesso HTTPS in uscita a qualsiasi indirizzo IPv6

Regole per la connessione alle istanze dal computer in uso

Per stabilire la connessione all'istanza, il tuo gruppo di sicurezza deve avere regole in entrata che consentono l'accesso SSH (per le istanze Linux) o l'accesso RDP (per le istanze Windows).

Tipo di protocollo Numero di protocollo Porta IP di origine
TCP 6 22 (SSH) L' IPv4 indirizzo pubblico del computer o un intervallo di indirizzi IP nella rete locale. Se il tuo VPC è abilitato per IPv6 e l'istanza ha un IPv6 indirizzo, puoi inserire un IPv6 indirizzo o un intervallo.
TCP 6 3389 (RDP) L' IPv4 indirizzo pubblico del computer o un intervallo di indirizzi IP nella rete locale. Se il tuo VPC è abilitato per IPv6 e l'istanza ha un IPv6 indirizzo, puoi inserire un IPv6 indirizzo o un intervallo.

Regole per la connessione alle istanze da un'istanza con lo stesso gruppo di sicurezza

Per consentire alle istanze associate allo stesso gruppo di sicurezza di comunicare tra loro, devi aggiungere esplicitamente regole apposite.

Nota

Se le route vengono configurate per inoltrare il traffico tra due istanze in sottoreti diverse attraverso un'appliance middlebox, è necessario assicurarsi che i gruppi di sicurezza per entrambe le istanze consentano il flusso del traffico tra le istanze. Il gruppo di sicurezza per ogni istanza deve fare riferimento all'indirizzo IP privato dell'altra istanza o all'intervallo CIDR della sottorete che contiene l'altra istanza come origine. Se si fa riferimento al gruppo di sicurezza dell'altra istanza come origine, allora il flusso del traffico tra le istanze non sarà consentito.

La tabella seguente descrive la regola in entrata per un gruppo di sicurezza che permette alle istanze associate di comunicare tra loro. La regola autorizza tutti i tipi di traffico.

Tipo di protocollo Numero di protocollo Porte IP di origine
-1 (Tutti) -1 (Tutti) -1 (Tutti) L'ID del gruppo di sicurezza o l'intervallo CIDR della sottorete che contiene l'altra istanza (vedi nota).

Regole per Ping/ICMP

Il comando ping è un tipo di traffico ICMP. Per effettuare il ping dell'istanza, devi aggiungere una delle seguenti regole ICMP in entrata.

Tipo Protocollo Origine
ICMP personalizzato - IPv4 Richiesta echo L' IPv4 indirizzo pubblico del computer, un IPv4 indirizzo specifico o un IPv4 IPv6 indirizzo or da qualsiasi luogo.
Tutti i protocolli ICMP - IPv4 IPv4 ICMP (1) L' IPv4 indirizzo pubblico del computer, un IPv4 indirizzo specifico o un IPv4 IPv6 indirizzo or da qualsiasi luogo.

Per utilizzare il ping6 comando per eseguire il ping dell' IPv6 indirizzo dell'istanza, è necessario aggiungere la seguente ICMPv6 regola in entrata.

Tipo Protocollo Origine
Tutto ICMP - IPv6 IPv6 ICMP (58) L' IPv6 indirizzo del computer, un IPv4 indirizzo specifico o un IPv4 IPv6 indirizzo or da qualsiasi luogo.

Regole del server DNS

Se hai configurato l' EC2 istanza come server DNS, devi assicurarti che il traffico TCP e UDP possa raggiungere il tuo server DNS tramite la porta 53.

Per l'IP di origine, specifica uno dei seguenti valori:

  • Un indirizzo IP o un intervallo di indirizzi IP (in notazione di blocco CIDR) in una rete

  • L'ID di un gruppo di sicurezza per il set di istanze nella rete che richiedono l'accesso al server DNS

Tipo di protocollo Numero di protocollo Porta
TCP 6 53
UDP 17 53

Regole Amazon EFS

Se utilizzi un file system Amazon EFS con le tue EC2 istanze Amazon, il gruppo di sicurezza che associ ai tuoi target di montaggio Amazon EFS deve consentire il traffico tramite il protocollo NFS.

Tipo di protocollo Numero di protocollo Porte IP di origine Note
TCP 6 2049 (NFS) L'ID del gruppo di sicurezza Permette l'accesso NFS in entrata dalle risorse (compreso l'obiettivo di montaggio) associate a questo gruppo di sicurezza.

Per montare un file system Amazon EFS sulla tua EC2 istanza Amazon, devi connetterti all'istanza. Di conseguenza, il gruppo di sicurezza associato all'istanza deve avere regole che autorizzano il traffico SSH in entrata dal computer locale o dalla rete locale.

Tipo di protocollo Numero di protocollo Porte IP di origine Note
TCP 6 22 (SSH) L'intervallo di indirizzi IP del computer locale o l'intervallo di indirizzi IP (in notazione di blocco CIDR) per la rete. Permette l'accesso SSH in entrata dal tuo computer locale.

Regole Elastic Load Balancing

Se registri le EC2 istanze con un sistema di bilanciamento del carico, il gruppo di sicurezza associato al sistema di bilanciamento del carico deve consentire la comunicazione con le istanze. Per ulteriori informazioni, consulta la documentazione per il bilanciatore del carico elastico qui di seguito.

In questa pagina

Related resources

Guida ai tipi di EC2 istanze Amazon
Guida per l'utente di Amazon EBS
Guida per EC2 sviluppatori Amazon

Related resources

Guida ai tipi di EC2 istanze Amazon
Guida per l'utente di Amazon EBS
Guida per EC2 sviluppatori Amazon
PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.