Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gruppi di sicurezza: regole in entrata e in uscita
Un gruppo di sicurezza funge da firewall virtuale di un'istanza per controllare il traffico in entrata e quello in uscita. Per ogni gruppo di sicurezza puoi aggiungere regole che controllano il traffico in entrata verso le istanze E un set distinto di regole che controllano il traffico in uscita.
Per la connessione VPC, crea un nuovo gruppo di sicurezza con la descrizione QuickSight-VPC. Questo gruppo di sicurezza deve consentire tutto il traffico TCP in ingresso dai gruppi di sicurezza delle destinazioni dati che si desidera raggiungere. Nell'esempio seguente viene creato un nuovo gruppo di sicurezza nel VPC e viene restituito l'ID del nuovo gruppo di sicurezza.
aws ec2 create-security-group \ --name QuickSight-VPC \ --group-name quicksight-vpc \ --description "QuickSight-VPC" \ --vpc-idvpc-0daeb67adda59e0cd
Importante
La configurazione di rete è sufficientemente complessa e ti consigliamo vivamente di creare un nuovo gruppo di sicurezza con cui utilizzarla. QuickSight Inoltre, semplifica l'assistenza per il Supporto AWS nel caso in cui sia necessario contattarlo. La creazione di un nuovo gruppo non è assolutamente necessaria. Tuttavia, i seguenti argomenti si basano sul presupposto che tu segua questa raccomandazione.
Per consentire QuickSight ad Amazon di connettersi correttamente a un'istanza nel tuo VPC, configura le regole del gruppo di sicurezza per consentire il traffico tra l'interfaccia di QuickSight rete e l'istanza che contiene i tuoi dati. A tale scopo, configurare il gruppo di sicurezza collegato alle regole in ingresso dell'istanza del database in modo da consentire il traffico seguente:
-
Dalla porta a cui ci QuickSight si connette
-
Seleziona una delle seguenti opzioni:
-
L'ID del gruppo di sicurezza associato all'interfaccia QuickSight di rete (consigliato)
oppure
-
L'indirizzo IP privato dell'interfaccia QuickSight di rete
-
Per ulteriori informazioni, consulta Gruppi di sicurezza per il VPC e VPC e sottoreti nella Guida per l'utente di Amazon VPC.
Regole in entrata
Importante
La sezione seguente si applica alla tua connessione VPC se la connessione è stata creata prima del 27 aprile 2023.
Al momento della sua creazione, un gruppo di sicurezza è privo di regole in entrata. Di conseguenza, non è consentito alcun traffico in entrata da un altro host verso l'istanza fino a quando al gruppo di sicurezza non vengono aggiunte regole in entrata.
Il gruppo di sicurezza collegato all'interfaccia di QuickSight rete si comporta in modo diverso rispetto alla maggior parte dei gruppi di sicurezza, perché non è dotato di stato. Gli altri gruppi di sicurezza sono in genere stateful. Ciò significa che, una volta stabilita una connessione in uscita al gruppo di sicurezza di una risorsa, consentono automaticamente il traffico di ritorno. Al contrario, il gruppo di sicurezza dell'interfaccia di QuickSight rete non consente automaticamente il traffico di ritorno. Per questo motivo, l'aggiunta di una regola di uscita al gruppo di sicurezza dell'interfaccia di QuickSight rete non funziona. Per farlo funzionare per il gruppo di sicurezza dell'interfaccia di QuickSight rete, assicurati di aggiungere una regola in entrata che autorizzi esplicitamente il traffico di ritorno dall'host del database.
La regola in entrata nel gruppo di sicurezza deve consentire il traffico su tutte le porte. È necessario eseguire questa operazione perché il numero di porta di destinazione di tutti i pacchetti di ritorno in entrata è impostato su un numero di porta assegnato casualmente.
Per limitare la QuickSight connessione solo a determinate istanze, puoi specificare l'ID del gruppo di sicurezza (consigliato) o l'indirizzo IP privato delle istanze che desideri consentire. In entrambi i casi, la regola del gruppo di sicurezza in entrata deve comunque consentire il traffico su tutte le porte (0-65535).
Per consentire QuickSight la connessione a qualsiasi istanza nel VPC, puoi configurare il gruppo di sicurezza dell'interfaccia QuickSight di rete. In questo caso, assegnagli una regola in entrata per consentire il traffico su 0.0.0.0/0 su tutte le porte (0-65.535). Il gruppo di sicurezza utilizzato dall'interfaccia QuickSight di rete deve essere diverso dai gruppi di sicurezza utilizzati per i database. Si consiglia di utilizzare gruppi di sicurezza separati per la connessione VPC.
Importante
Importante: se utilizzi un'istanza database di Amazon RDS di lunga data, controlla la configurazione per verificare se utilizzi un gruppo di sicurezza del database. I gruppi di sicurezza DB vengono utilizzati con le istanze database che non sono all'interno del VPC e si trovano sulla piattaforma EC2-Classic.
Se questa è la tua configurazione e non intendi spostare l'istanza DB nel VPC per usarla QuickSight, assicurati di aggiornare le regole in entrata del tuo gruppo di sicurezza DB. Aggiornali per consentire il traffico in entrata dal gruppo di sicurezza VPC per cui stai utilizzando. QuickSight Per ulteriori informazioni, consulta Controllo dell'accesso con i gruppi di sicurezza nella Guida per l'utente di Amazon RDS.
Regole in uscita
Importante
La sezione seguente si applica alla tua connessione VPC se la connessione è stata creata prima del 27 aprile 2023.
Per impostazione predefinita, un gruppo di sicurezza include una regola in uscita che autorizza tutto il traffico in uscita. È consigliabile rimuovere questa regola predefinita e aggiungere regole in uscita che consentono solo traffico in uscita specifico.
avvertimento
Non configurate il gruppo di sicurezza sull'interfaccia di QuickSight rete con una regola in uscita per consentire il traffico su tutte le porte. Per informazioni su considerazioni e raccomandazioni chiave per la gestione del traffico di rete in uscita dai VPC, consulta Best practice di sicurezza per il tuo VPC nella Guida per l'utente di Amazon VPC
Il gruppo di sicurezza collegato all'interfaccia di QuickSight rete dovrebbe avere regole in uscita che consentano il traffico verso ciascuna istanza del database nel VPC a cui desideri QuickSight connetterti. Per limitare la QuickSight connessione solo a determinate istanze, specifica l'ID del gruppo di sicurezza (consigliato) o l'indirizzo IP privato delle istanze da consentire. Con questa impostazione, è necessario specificare anche i numeri di porta appropriati per le istanze (la porta su cui le istanze sono in ascolto), nella regola in uscita.
Il gruppo di sicurezza VPC deve inoltre consentire il traffico in uscita verso i gruppi di sicurezza delle destinazioni dati, in particolare sulla porta o sulle porte su cui il database è in ascolto.
