Regole del gruppo di sicurezza - Amazon Elastic Compute Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Regole del gruppo di sicurezza

Le regole di un gruppo di sicurezza controllano il traffico in entrata autorizzato a raggiungere le istanze associate al gruppo di sicurezza e il traffico in uscita autorizzato a lasciarle.

Di seguito sono riportate le caratteristiche delle regole dei gruppi di sicurezza:

  • Per impostazione predefinita, i gruppi di sicurezza includono regole in uscita che autorizzano tutto il traffico in uscita. È possibile eliminare queste regole. Notare che per impostazione predefinita, Amazon EC2 blocca il traffico sulla porta 25. Per ulteriori informazioni, consulta Restrizione sull'e-mail inviata tramite la porta 25.

  • Le regole dei gruppi di sicurezza sono sempre permissive; non è possibile creare regole che negano l'accesso.

  • Le regole dei gruppi di sicurezza consentono di filtrare il traffico in base ai protocolli e ai numeri di porta.

  • I gruppi di sicurezza sono stateful — Se invii una richiesta da un'istanza, il traffico in risposta alla richiesta è autorizzato a entrare, indipendentemente dalle regole dei gruppi di sicurezza in entrata. Per i gruppi di sicurezza VPC, ciò significa anche che le risposte al traffico in entrata sono autorizzate a uscire, indipendentemente dalle regole in uscita. Per ulteriori informazioni, consulta Monitoraggio della connessione al gruppo di sicurezza.

  • Si possono aggiungere e rimuovere regole in qualunque momento. Le modifiche vengono applicate automaticamente alle istanze associate al gruppo di sicurezza.

    Gli effetti di alcune modifiche delle regole possono dipendere dalle modalità di monitoraggio del traffico. Per ulteriori informazioni, consulta Monitoraggio della connessione al gruppo di sicurezza.

  • Se associ a un'istanza più gruppi di sicurezza, le regole di ciascun gruppo di sicurezza vengono aggregate efficacemente per creare un unico set di regole. Amazon EC2 utilizza questo set di regole per determinare se consentire l'accesso o meno.

    Puoi assegnare più gruppi di sicurezza a un'istanza. Pertanto, un'istanza può disporre di centinaia di regole valide. Questo può causare problemi nell'accesso all'istanza. È consigliabile comprimere le regole il più possibile.

Nota

I gruppi di sicurezza non possono bloccare le richieste DNS da o verso il Route 53 Resolver, a volte indicato come «indirizzo IP VPC+2» (vedi Cos'è Amazon Route 53 Resolver? nella Amazon Route 53 Developer Guide) o nella 'AmazonProvidedDNS' (consulta Work with DHCP option sets nella Amazon Virtual Private Cloud User Guide). Se desideri filtrare le richieste DNS tramite il risolutore Route 53, puoi abilitare DNS Firewall per il risolutore Route 53 (consulta DNS Firewall per il risolutore Route 53 nella Guida per sviluppatori di Amazon Route 53).

Per ogni regola, occorre specificare quanto segue:

  • Nome: il nome del gruppo di sicurezza (ad esempio, "my-security-group«).

    Questo valore può contenere al massimo 255 caratteri. I caratteri consentiti sono a-z, A-Z, 0-9, spazi e ._-:/()#,@[]+=;{}!$*. Quando il nome contiene spazi finali, eliminiamo gli spazi quando salviamo il nome. Ad esempio, se inserisci “Test Security Group ". per il nome, lo memorizziamo come “Test Security Group”.

  • Protocollo: il protocollo da autorizzare. I protocolli più comuni sono 6 (TCP) 17 (UDP) e 1 (ICMP).

  • Intervallo di porte: per un protocollo personalizzato o per TCP e UDP, l'intervallo di porte da autorizzare. Puoi specificare un solo numero di porta (ad esempio 22) o un intervallo dei numeri di porta (ad esempio 7000-8000).

  • Tipo e codice ICMP: per ICMP, il tipo e il codice ICMP. Ad esempio, utilizza il tipo 8 per la richiesta Echo ICMP o il tipo 128 per la richiesta Echo ICMPv6.

  • Origine o destinazione: l'origine (regole in entrata) o la destinazione (regole in uscita) del traffico da consentire. Specifica una delle seguenti proprietà:

    • Un singolo indirizzo IPv4. Devi utilizzare la lunghezza del prefisso /32. Ad esempio, 203.0.113.1/32.

    • Un singolo indirizzo IPv6. Devi utilizzare la lunghezza del prefisso /128. Ad esempio, 2001:db8:1234:1a00::123/128.

    • Un intervallo di indirizzi IPv4 in notazione a blocco CIDR. Ad esempio, 203.0.113.0/24.

    • Un intervallo di indirizzi IPv6 in notazione a blocco CIDR. Ad esempio, 2001:db8:1234:1a00::/64.

    • L'ID di un elenco di prefissi. Ad esempio, pl-1234abc1234abc123. Per ulteriori informazioni, consulta Elenchi di prefissi nella Guida per l'utente di Amazon VPC.

    • L'ID di un gruppo di sicurezza (indicato di seguito come il gruppo di sicurezza specificato). Ad esempio, il gruppo di sicurezza corrente, un gruppo di sicurezza dello stesso VPC o un gruppo di sicurezza per un VPC in peering. Questo consente il traffico basato sugli indirizzi IP privati delle risorse associate al gruppo di sicurezza specificato. Non aggiunge regole dal gruppo di sicurezza specificato al gruppo di sicurezza corrente.

  • (Opzionale) Descrizione: puoi aggiungere una descrizione della regola, per semplificarne l'identificazione in un secondo momento. Una descrizione può essere lunga fino a 255 caratteri. I caratteri consentiti sono a-z, A-Z, 0-9, spazi e ._-:/()#,@[]+=;{}!$*.

Quando crei una regola del gruppo di sicurezza, AWS assegna un ID univoco alla regola. È possibile utilizzare l'ID di una regola quando si utilizza l'API o la CLI per modificare o eliminare la regola.

Quando specifichi un gruppo di sicurezza come l'origine o la destinazione di una regola, la regola influenza tutte le istanze associate al gruppo di sicurezza. Il traffico in entrata è autorizzato in base agli indirizzi IP privati delle istanze associate al gruppo di sicurezza di origine (e non in base agli indirizzi IP elastici o pubblici). Per ulteriori informazioni sugli indirizzi IP, consulta Indirizzamento IP per le istanze Amazon EC2. Una regola di gruppo di sicurezza obsoleta è una regola che fa riferimento a un gruppo di sicurezza eliminato nello stesso VPC o in un VPC simile, o che fa riferimento a un gruppo di sicurezza in un VPC simile per il quale la connessione peering VPC è stata eliminata. Per ulteriori informazioni, consulta Utilizzo di regole di gruppo di sicurezza obsolete nella Amazon VPC Peering Guide.

Se esistono più regole per una determinata porta, Amazon EC2 applica la regola più permissiva. Ad esempio, se disponi di una regola che consente l'accesso alla porta TCP 22 (SSH) dall'indirizzo IP 203.0.113.1 e un'altra regola che consente l'accesso alla porta TCP 22 da parte di tutti, tutti hanno accesso alla porta TCP 22.

Quando aggiungi, aggiorni o rimuovi delle regole, queste si applicano automaticamente a tutte le istanze associate al gruppo di sicurezza.