Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Regole del gruppo di sicurezza per diversi casi d'uso
Puoi creare un gruppo di sicurezza e aggiungere regole che rispecchiano il ruolo dell'istanza associata al gruppo di sicurezza. Ad esempio, un'istanza configurata come server Web necessita di regole del gruppo di sicurezza che consentano l'ingresso HTTP e HTTPS l'accesso. Allo stesso modo, un'istanza di database necessita di regole che consentano l'accesso per il tipo di database, ad esempio l'accesso tramite la porta 3306 per My. SQL
Di seguito sono illustrati esempi dei tipi di regole che è possibile aggiungere ai gruppi di sicurezza per tipi di accesso specifici.
Esempi
Regole del server Web
Le seguenti regole in entrata consentono HTTP HTTPS l'accesso da qualsiasi indirizzo IP. Se il tuo VPC è abilitato perIPv6, puoi aggiungere regole per controllare il HTTPS traffico in entrata HTTP e proveniente dagli IPv6 indirizzi.
| Tipo di protocollo | Numero di protocollo | Porta | IP di origine | Note |
|---|---|---|---|---|
| TCP | 6 | 80 () HTTP | 0.0.0.0/0 | Consente l'HTTPaccesso in entrata da qualsiasi indirizzo IPv4 |
| TCP | 6 | 443 () HTTPS | 0.0.0.0/0 | Consente l'HTTPSaccesso in entrata da qualsiasi indirizzo IPv4 |
| TCP | 6 | 80 () HTTP | ::/0 | Consente l'HTTPaccesso in entrata da qualsiasi indirizzo IPv6 |
| TCP | 6 | 443 () HTTPS | ::/0 | Consente l'HTTPSaccesso in entrata da qualsiasi indirizzo IPv6 |
Regole del server di database
Le seguenti regole in entrata sono esempi di regole che è possibile aggiungere per l'accesso al database a seconda del tipo di database in esecuzione sull'istanza. Per ulteriori informazioni sulle RDS istanze Amazon, consulta la Amazon RDS User Guide.
Per l'IP di origine, specifica uno dei seguenti valori:
-
Un indirizzo IP specifico o un intervallo di indirizzi IP (in notazione a CIDR blocchi) nella rete locale
-
Un ID del gruppo di sicurezza per un gruppo di istanze che accedono al database
| Tipo di protocollo | Numero di protocollo | Porta | Note |
|---|---|---|---|
| TCP | 6 | 1433 (MS) SQL | La porta predefinita per accedere a un database Microsoft SQL Server, ad esempio, su un'RDSistanza Amazon |
| TCP | 6 | 306 (MYSQL/Aurora) | La porta predefinita per accedere a un database My SQL o Aurora, ad esempio, su un'istanza Amazon RDS |
| TCP | 6 | 5439 (Redshift) | La porta predefinita per accedere a un database di cluster Amazon Redshift. |
| TCP | 6 | 5432 (Postgree) SQL | La porta predefinita per accedere a un SQL database Postgre, ad esempio, su un'istanza Amazon RDS |
| TCP | 6 | 1521 (Oracle) | La porta predefinita per accedere a un database Oracle, ad esempio, su un'RDSistanza Amazon |
Facoltativamente, è possibile limitare il traffico in uscita dai server di database. Ad esempio, è possibile autorizzare l'accesso a Internet per gli aggiornamenti software, ma limitare tutti gli altri tipi di traffico. Occorre prima rimuovere la regola in uscita predefinita che autorizza tutto il traffico in uscita.
| Tipo di protocollo | Numero di protocollo | Porta | IP di destinazione | Note |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Consente l'HTTPaccesso in uscita a qualsiasi indirizzo IPv4 |
| TCP | 6 | 443 () HTTPS | 0.0.0.0/0 | Consente l'HTTPSaccesso in uscita a qualsiasi indirizzo IPv4 |
| TCP | 6 | 80 () HTTP | ::/0 | (VPCsolo IPv6 abilitato) Consente l'HTTPaccesso in uscita a qualsiasi indirizzo IPv6 |
| TCP | 6 | 443 () HTTPS | ::/0 | (VPCsolo IPv6 abilitato) Consente l'HTTPSaccesso in uscita a qualsiasi indirizzo IPv6 |
Regole per la connessione alle istanze dal computer in uso
Per connettersi all'istanza, il gruppo di sicurezza deve disporre di regole in entrata che consentano SSH l'accesso (per le istanze Linux) o l'RDPaccesso (per le istanze Windows).
| Tipo di protocollo | Numero di protocollo | Porta | IP di origine |
|---|---|---|---|
| TCP | 6 | 22 () SSH | L'IPv4indirizzo pubblico del computer o un intervallo di indirizzi IP nella rete locale. Se il tuo VPC è abilitato per IPv6 e l'istanza ha un IPv6 indirizzo, puoi inserire un IPv6 indirizzo o un intervallo. |
| TCP | 6 | 3389 () RDP | L'IPv4indirizzo pubblico del computer o un intervallo di indirizzi IP nella rete locale. Se il tuo VPC è abilitato per IPv6 e l'istanza ha un IPv6 indirizzo, puoi inserire un IPv6 indirizzo o un intervallo. |
Regole per la connessione alle istanze da un'istanza con lo stesso gruppo di sicurezza
Per consentire alle istanze associate allo stesso gruppo di sicurezza di comunicare tra loro, devi aggiungere esplicitamente regole apposite.
Nota
Se le route vengono configurate per inoltrare il traffico tra due istanze in sottoreti diverse attraverso un'appliance middlebox, è necessario assicurarsi che i gruppi di sicurezza per entrambe le istanze consentano il flusso del traffico tra le istanze. Il gruppo di sicurezza di ogni istanza deve fare riferimento all'indirizzo IP privato dell'altra istanza o all'CIDRintervallo della sottorete che contiene l'altra istanza come origine. Se si fa riferimento al gruppo di sicurezza dell'altra istanza come origine, allora il flusso del traffico tra le istanze non sarà consentito.
La tabella seguente descrive la regola in entrata per un gruppo di sicurezza che permette alle istanze associate di comunicare tra loro. La regola autorizza tutti i tipi di traffico.
| Tipo di protocollo | Numero di protocollo | Porte | IP di origine |
|---|---|---|---|
| -1 (Tutti) | -1 (Tutti) | -1 (Tutti) | L'ID del gruppo di sicurezza o l'CIDRintervallo della sottorete che contiene l'altra istanza (vedi nota). |
Regole per ping/ ICMP
Il ping comando è un tipo di traffico. ICMP Per eseguire il ping dell'istanza, è necessario aggiungere una delle seguenti ICMP regole in entrata.
| Type | Protocollo | Origine |
|---|---|---|
| Personalizzato ICMP - IPv4 | Richiesta echo | L'IPv4indirizzo pubblico del computer, un IPv4 indirizzo specifico o un IPv6 indirizzo IPv4 or da qualsiasi luogo. |
| Tutto ICMP - IPv4 | IPv4ICMP(1) | L'IPv4indirizzo pubblico del computer, un IPv4 indirizzo specifico o un IPv6 indirizzo IPv4 or da qualsiasi luogo. |
Per utilizzare il ping6 comando per eseguire il ping dell'IPv6indirizzo dell'istanza, è necessario aggiungere la seguente ICMPv6 regola in entrata.
| Type | Protocollo | Origine |
|---|---|---|
| Tutto ICMP - IPv6 | IPv6ICMP(58) | L'IPv6indirizzo del computer, un IPv4 indirizzo specifico o un IPv6 indirizzo IPv4 or da qualsiasi luogo. |
DNSregole del server
Se hai configurato l'EC2istanza come DNS server, devi assicurarti che TCP il UDP traffico possa raggiungere il DNS server tramite la porta 53.
Per l'IP di origine, specifica uno dei seguenti valori:
-
Un indirizzo IP o un intervallo di indirizzi IP (in notazione a CIDR blocchi) in una rete
-
L'ID di un gruppo di sicurezza per l'insieme di istanze della rete che richiedono l'accesso al server DNS
| Tipo di protocollo | Numero di protocollo | Porta |
|---|---|---|
| TCP | 6 | 53 |
| UDP | 17 | 53 |
EFSRegole di Amazon
Se utilizzi un EFS file system Amazon con le tue EC2 istanze Amazon, il gruppo di sicurezza che associ ai tuoi obiettivi di EFS montaggio Amazon deve consentire il traffico attraverso il NFS protocollo.
| Tipo di protocollo | Numero di protocollo | Porte | IP di origine | Note |
|---|---|---|---|---|
| TCP | 6 | 2049 () NFS | L'ID del gruppo di sicurezza | Consente NFS l'accesso in entrata dalle risorse (incluso il mount target) associate a questo gruppo di sicurezza |
Per montare un EFS file system Amazon sulla tua EC2 istanza Amazon, devi connetterti all'istanza. Pertanto, il gruppo di sicurezza associato all'istanza deve disporre di regole che consentano l'ingresso SSH dal computer o dalla rete locale.
| Tipo di protocollo | Numero di protocollo | Porte | IP di origine | Note |
|---|---|---|---|---|
| TCP | 6 | 22 () SSH | L'intervallo di indirizzi IP del computer locale o l'intervallo di indirizzi IP (in notazione a CIDR blocchi) per la rete. | Consente l'SSHaccesso in entrata dal computer locale. |
Regole Elastic Load Balancing
Se si registrano le EC2 istanze con un sistema di bilanciamento del carico, il gruppo di sicurezza associato al sistema di bilanciamento del carico deve consentire la comunicazione con le istanze. Per ulteriori informazioni, consulta quanto segue nella documentazione di Elastic Load Balancing.
