Utilizzo dei gruppi di sicurezza

Puoi assegnare un gruppo di sicurezza a un'istanza quando la avvii. Quando aggiungi o rimuovi regole, queste modifiche vengono applicate automaticamente a tutte le istanze a cui hai assegnato il gruppo di sicurezza. Per ulteriori informazioni, consulta Assegnazione di un gruppo di sicurezza a un'istanza.

Dopo l'avvio di un'istanza, è possibile modificare i relativi gruppi di sicurezza. Per ulteriori informazioni, consulta Modifica del gruppo di sicurezza di un'istanza.

Puoi creare, visualizzare, aggiornare ed eliminare i gruppi di sicurezza e le relative regole mediante la console Amazon EC2 e gli strumenti a riga di comando.

Creazione di un gruppo di sicurezza

Anche se puoi utilizzare il gruppo di sicurezza predefinito per le istanze, è consigliabile creare gruppi personalizzati per rispecchiare i diversi ruoli eseguiti dalle istanze nel sistema.

Per impostazione predefinita, i nuovi gruppi di sicurezza hanno solo una regola in uscita che autorizza tutto il traffico a lasciare le istanze. Devi aggiungere le regole per autorizzare qualsiasi tipo di traffico in entrata o per limitare quello in uscita.

Un gruppo di sicurezza può essere utilizzato solo nel VPC in cui viene creato.

Console

Per creare un gruppo di sicurezza

1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

2. Fare clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

3. Scegliere Create Security Group (Crea gruppo di sicurezza).

4. Nella sezione Basic details (Dettagli di base), eseguire le operazioni descritte di seguito.

   1. Immettere un nome descrittivo e una breve descrizione del gruppo di sicurezza. Non possono essere modificati dopo la creazione del gruppo di sicurezza. Il nome e la descrizione possono contenere fino a 255 caratteri. I caratteri validi sono a-z, A-Z, 0-9, spazi e ._-:/()#,@[]+=&;{}!$*.

   2. Per VPC, scegliere il VPC.

5. È possibile aggiungere le regole del gruppo di sicurezza a questo punto oppure in un secondo momento. Per ulteriori informazioni, consulta Aggiunta di regole a un gruppo di sicurezza.

6. È possibile aggiungere tag a questo punto oppure in un secondo momento. Per aggiungere un tag, sceglie Aggiungi tag, quindi specifica la chiave e il valore del tag.

7. Scegliere Create Security Group (Crea gruppo di sicurezza).

Command line

Per creare un gruppo di sicurezza

Utilizzare uno dei seguenti comandi:

• create-security-group (AWS CLI)

• New-EC2SecurityGroup (AWS Tools for Windows PowerShell)

Copia di un gruppo di sicurezza

Puoi creare un nuovo gruppo di sicurezza creando una copia di uno esistente. Quando copi un gruppo di sicurezza, le regole in entrata e in uscita della copia sono identiche a quelle del gruppo di sicurezza originale. Se il gruppo di sicurezza originale si trova in un VPC, la copia viene creata nello stesso VPC, a meno che non specifichi un VPC diverso.

La copia riceve un nuovo ID del gruppo di sicurezza univoco a cui occorre assegnare un nome. Puoi anche aggiungere una descrizione.

Non è possibile copiare un gruppo di sicurezza da una regione a un'altra.

Puoi creare una copia di un gruppo di sicurezza tramite la console Amazon EC2.

Per copiare un gruppo di sicurezza

1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

2. Fare clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

3. Selezionare il gruppo di sicurezza da copiare e scegliere Actions (Operazioni), Copy to new security group (Copia in nuovo gruppo di sicurezza).

4. Specificare un nome e una descrizione opzionale, quindi modificare il VPC e le regole del gruppo di sicurezza, se necessario.

5. Scegliere Create (Crea).

Visualizzazione dei gruppi di sicurezza

Puoi visualizzare informazioni relative ai gruppi di sicurezza mediante uno dei metodi seguenti.

Console

Per visualizzare i gruppi di sicurezza

1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

2. Fare clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

3. I gruppi di sicurezza vengono elencati. Per visualizzare i dettagli di un gruppo di sicurezza specifico, incluse le regole in entrata e in uscita, scegliere il relativo ID nella colonna Security group ID (ID gruppo di sicurezza).

Command line

Per visualizzare i gruppi di sicurezza

Utilizzare uno dei seguenti comandi.

• describe-security-groups (AWS CLI)

• describe-security-group-rules (AWS CLI)

• Get-EC2SecurityGroup (AWS Tools for Windows PowerShell)

Amazon EC2 Global View

Puoi utilizzare Amazon EC2 Global View per visualizzare i tuoi gruppi di sicurezza in tutte le regioni per le quali il tuo AWS account è abilitato. Per ulteriori informazioni, consulta Amazon EC2 Global View.

Aggiunta di regole a un gruppo di sicurezza

Quando aggiungi una regola a un gruppo di sicurezza, la nuova regola viene applicata automaticamente a tutte le istanze associate al gruppo di sicurezza. Prima che la regola venga applicata si potrebbe verificare un breve ritardo. Per ulteriori informazioni, consulta Regole del gruppo di sicurezza per diversi casi d'uso e Regole del gruppo di sicurezza.

Console

Per aggiungere una regola in entrata a un gruppo di sicurezza

1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

2. Fai clic su Gruppi di sicurezza nel pannello di navigazione.

3. Seleziona il gruppo di sicurezza e scegli Operazioni, Modifica regole in entrata.

4. Per ogni regola, seleziona Aggiungi regola e completa le attività riportate di seguito.

   1. Per Type (Tipo), scegliere il tipo di protocollo consentito.

      • Per Custom TCP o Custom UDP, devi inserire l'intervallo di porte da consentire. Ad esempio, 0-99.

      • Per Custom ICMP, è necessario scegliere il tipo ICMP da Protocol. L'intervallo di porte è configurato per te. Ad esempio, per consentire i comandi ping, scegli Echo Request (Richiesta Echo) da Protocol (Protocollo).

      • Se scegli qualsiasi altro tipo, il protocollo e l'intervallo di porte vengono configurati automaticamente.

   2. In Origine, per consentire il traffico, esegui una delle operazioni riportate di seguito.

      • Scegli Personalizzato, quindi immetti un indirizzo IP in notazione CIDR, un blocco CIDR, un altro gruppo di sicurezza o un elenco di prefissi.

      • Seleziona Ovunque per permettere a tutto il traffico per il protocollo specificato di raggiungere l'istanza. Questa opzione aggiunge automaticamente il blocco CIDR IPv4 0.0.0.0/0 come origine. Se il gruppo di sicurezza si trova in un VPC abilitato per IPv6, questa opzione aggiunge automaticamente una regola per il blocco CIDR IPv6 ::/0.

        avvertimento

        Se scegli Anywhere (Ovunque), abiliti tutti gli indirizzi IPv4 e IPv6 per fare in modo che l'istanza acceda al protocollo specificato. Se si aggiungono regole per le porte 22 (SSH) o 3389 (RDP), è consigliabile autorizzare solo un indirizzo IP specifico o un intervallo di indirizzi per accedere all'istanza.

      • Scegliere My IP (Il mio IP) per permettere il traffico in entrata solo dall'indirizzo IPv4 pubblico del computer locale.

   3. Per Description (Descrizione), specificare facoltativamente una breve descrizione della regola.

5. Scegliere Anteprima modifiche, Salva regole.

Per aggiungere una regola in uscita a un gruppo di sicurezza

1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

2. Fai clic su Gruppi di sicurezza nel pannello di navigazione.

3. Seleziona il gruppo di sicurezza e scegli Operazioni, Modifica regole in uscita.

4. Per ogni regola, seleziona Aggiungi regola e completa le attività riportate di seguito.

   1. Per Type (Tipo), scegliere il tipo di protocollo consentito.

      • Per Custom TCP o Custom UDP, devi inserire l'intervallo di porte da consentire. Ad esempio, 0-99.

      • Per Custom ICMP, è necessario scegliere il tipo ICMP da Protocol. L'intervallo di porte è configurato per te.

      • Se si sceglie qualsiasi altro tipo, il protocollo e l'intervallo di porte vengono configurati automaticamente.

   2. Per Destination (Destinazione), eseguire una delle operazioni seguenti.

      • Scegli Personalizzato quindi immetti un indirizzo IP in notazione CIDR, un blocco CIDR, un altro gruppo di sicurezza o un elenco di prefissi per cui consentire il traffico in uscita.

      • Scegliere Anywhere (Ovunque) per consentire il traffico in uscita verso tutti gli indirizzi IP. Questa opzione aggiunge automaticamente il blocco CIDR IPv4 0.0.0.0/0 come destinazione.

        Se il gruppo di sicurezza si trova in un VPC abilitato per IPv6, questa opzione aggiunge automaticamente una regola per il blocco CIDR IPv6 ::/0.

      • Scegliere My IP (Il mio IP) per consentire il traffico in uscita solo verso l'indirizzo IPv4 pubblico del computer locale.

   3. (Facoltativo) Per Descrizione, specifica una breve descrizione della regola.

5. Scegliere Preview changes (Anteprima modifiche), Confirm (Conferma).

Command line

Per aggiungere regole a un gruppo di sicurezza

Utilizzare uno dei seguenti comandi.

• authorize-security-group-ingress (AWS CLI)

• Grant-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)

Per aggiungere una o più regole in uscita a un gruppo di sicurezza

Utilizzare uno dei seguenti comandi.

• authorize-security-group-egress (AWS CLI)

• Grant-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)

Aggiornamento delle regole del gruppo di sicurezza

Puoi aggiornare una regola del gruppo di sicurezza mediante uno dei metodi descritti di seguito. La regola aggiornata viene applicata automaticamente a tutte le istanze associate al gruppo di sicurezza.

Console

Quando modifichi il protocollo, l'intervallo di porte, l'origine o la destinazione di una regola di un gruppo di sicurezza esistente tramite console, la console elimina la regola esistente e ne aggiunge una nuova.

Per aggiornare una regola del gruppo di sicurezza

1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

2. Fai clic su Gruppi di sicurezza nel pannello di navigazione.

3. Selezionare il gruppo di sicurezza.

4. Scegli Actions (Operazioni), Edit inbound rules (Modifica le regole in entrata) per aggiornare una regola per il traffico in entrata oppure Actions (Operazioni), Edit outbound rules (Modifica le regole in uscita) per aggiornare una regola per il traffico in uscita.

5. Aggiornare la regola come richiesto.

6. Scegliere Preview changes (Anteprima modifiche), Confirm (Conferma).

Come aggiungere i tag a una regola del gruppo di sicurezza

1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

2. Fai clic su Gruppi di sicurezza nel pannello di navigazione.

3. Selezionare il gruppo di sicurezza.

4. In Regole in entrata o Regole in uscita, seleziona la casella di controllo della regola e quindi scegli Gestisci tag.

5. La pagina Gestisci tag visualizza tutti i tag assegnati alla regola. Per aggiungere un tag, selezionare Add tag (Aggiungi tag), quindi specifica la chiave del tag e il suo valore. Per eliminare un tag, scegliere Remove (Rimuovi) accanto al tag che desideri eliminare.

6. Selezionare Save changes (Salva modifiche).

Command line

Non è possibile modificare il protocollo, l'intervallo di porte o l'origine o la destinazione di una regola esistente mediante l'API di Amazon EC2 o uno strumento a riga di comando. Devi invece eliminare la regola esistente e aggiungerne una nuova. Tuttavia, puoi aggiornare la descrizione di una regola esistente.

Per aggiornare una regola

Utilizza uno dei seguenti comandi.

• modify-security-group-rules (AWS CLI)

Per aggiornare la descrizione di una regola in entrata esistente

Utilizzare uno dei seguenti comandi.

• update-security-group-rule-descrizioni-ingress ()AWS CLI

• Update-EC2SecurityGroupRuleIngressDescription (AWS Tools for Windows PowerShell)

Per aggiornare la descrizione di una regola in uscita esistente

Utilizzare uno dei seguenti comandi.

• update-security-group-rule-descrizioni-uscita ()AWS CLI

• Update-EC2SecurityGroupRuleEgressDescription (AWS Tools for Windows PowerShell)

Come aggiungere i tag a una regola del gruppo di sicurezza

Utilizzare uno dei seguenti comandi.

• create-tags (AWS CLI)

• New-EC2Tag (AWS Tools for Windows PowerShell)

Eliminazione delle regole da un gruppo di sicurezza

Quando elimini una regola da un gruppo di sicurezza, la modifica viene applicata automaticamente a tutte le istanze associate al gruppo di sicurezza.

Puoi eliminare regole da un gruppo di sicurezza mediante uno dei metodi descritti di seguito.

Console

Per eliminare una regola del gruppo di sicurezza

1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

2. Fare clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

3. Selezionare il gruppo di sicurezza da aggiornare, scegliere Actions (Operazioni), quindi selezionare Edit inbound rules (Modifica regole in entrata) per rimuovere una regola in entrata o Edit outbound rules (Modifica regole in uscita) per rimuovere una regola in uscita.

4. Scegliere il pulsante Delete (Elimina) a destra della regola da eliminare.

5. Scegliere Salva regole. In alternativa, scegli Anteprima modifiche, rivedi le modifiche e scegli Conferma.

Command line

Per rimuovere una o più regole in entrata da un gruppo di sicurezza

Utilizzare uno dei seguenti comandi.

• revoke-security-group-ingress (AWS CLI)

• Revoke-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)

Per rimuovere una o più regole in uscita da un gruppo di sicurezza

Utilizzare uno dei seguenti comandi.

• revoke-security-group-egress (AWS CLI)

• Revoke-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)

Eliminare un gruppo di sicurezza

Non è possibile eliminare un gruppo di sicurezza collegato a un'istanza. Non è possibile eliminare il gruppo di sicurezza predefinito. Non è possibile eliminare un gruppo di sicurezza a cui fa riferimento una regola di un altro gruppo di sicurezza nello stesso VPC. Se una delle regole fa riferimento al tuo gruppo di sicurezza, devi eliminarla prima di poter eliminare il gruppo di sicurezza.

Console

Per eliminare un gruppo di sicurezza

1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

2. Fai clic su Gruppi di sicurezza nel pannello di navigazione.

3. Seleziona il gruppo di sicurezza e scegli Operazioni, Elimina gruppi di sicurezza.

4. Quando viene richiesta la conferma, seleziona Delete (Elimina).

Command line

Per eliminare un gruppo di sicurezza

Utilizzare uno dei seguenti comandi.

• delete-security-group (AWS CLI)

• Remove-EC2SecurityGroup (AWS Tools for Windows PowerShell)

Assegnazione di un gruppo di sicurezza a un'istanza

Quando si avvia l'istanza, è possibile assegnare uno o più gruppi di sicurezza a un'istanza. È inoltre possibile specificare uno o più gruppi di sicurezza in un modello di avvio. I gruppi di sicurezza sono assegnati a tutte le istanze avviate utilizzando il modello di avvio.

• Per assegnare un gruppo di sicurezza a un'istanza quando la avvii, consulta Impostazioni di rete di Avvio di un'istanza utilizzando parametri definiti (nuova console) o Fase 6: configura il gruppo di sicurezza (vecchia console).

• Per specificare un gruppo di sicurezza in un modello di avvio, consulta Impostazioni di rete di Crea un modello di lancio dai parametri.

Modifica del gruppo di sicurezza di un'istanza

Dopo avere avviato un'istanza, è possibile modificarne i gruppi di sicurezza aggiungendoli o rimuovendoli.

Requisiti

• L'istanza deve trovarsi nello stato running o stopped.

• Un gruppo di sicurezza è specifico di un VPC. Puoi assegnare un gruppo di sicurezza a una o più istanze avviate nel VPC per cui hai creato il gruppo di sicurezza.

Console

Per modificare i gruppi di sicurezza per un'istanza

1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

2. Nel riquadro di navigazione, seleziona Instances (Istanze).

3. Selezionare l'istanza, quindi scegliere Actions (Operazioni), Security (Sicurezza), Change security groups (Cambia gruppi di sicurezza).

4. Per Gruppi di sicurezza associati, selezionare un gruppo di sicurezza dall'elenco e scegliere Aggiungi gruppo di sicurezza.

   Per rimuovere un gruppo di sicurezza già associato, scegliere Rimuovi per tale gruppo di sicurezza.

5. Scegliere Save (Salva).

Command line

Per modificare i gruppi di sicurezza per un'istanza

Utilizzare uno dei seguenti comandi.

• modify-instance-attribute (AWS CLI)

• Edit-EC2InstanceAttribute (AWS Tools for Windows PowerShell)