Aggiornamento dei gruppi di sicurezza per fare riferimento a gruppi di sicurezza peer di riferimento - Amazon Virtual Private Cloud
Identificazione dei gruppi di sicurezza a cui si fa riferimentoVisualizzazione ed eliminazione di regole del gruppo di sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiornamento dei gruppi di sicurezza per fare riferimento a gruppi di sicurezza peer di riferimento

Puoi aggiornare le regole in entrata o in uscita per i tuoi gruppi di sicurezza VPC per fare riferimento ai gruppi di sicurezza per il peering. VPCs In questo modo, si consente il traffico verso e da istanze associate al gruppo di sicurezza a cui si fa riferimento nel VPC collegato in peering.

Nota

I gruppi di sicurezza in un VPC in peering non sono visualizzati nella console e possono essere selezionati dall'utente.

Requisiti

  • Per fare riferimento a un gruppo di sicurezza in un VPC in peering, lo stato della connessione peering VPC deve Essere active.

  • Il VPC peer può essere un VPC nel tuo account o un VPC in un altro account. AWS Per fare riferimento a un gruppo di sicurezza che si trova in un altro AWS account ma nella stessa regione, includi il numero di account con l'ID del gruppo di sicurezza. Ad esempio 123456789012/sg-1a2b3c4d.

  • Non puoi fare riferimento al gruppo di sicurezza di un VPC in peering che si trova in una Regione differente. Puoi invece utilizzare il blocco CIDR del VPC in peering.

  • Se le route vengono configurate per inoltrare il traffico tra due istanze in sottoreti diverse attraverso un'appliance middlebox, è necessario assicurarsi che i gruppi di sicurezza per entrambe le istanze consentano il flusso del traffico tra le istanze. Il gruppo di sicurezza per ogni istanza deve fare riferimento all'indirizzo IP privato dell'altra istanza o all'intervallo CIDR della sottorete che contiene l'altra istanza come origine. Se si fa riferimento al gruppo di sicurezza dell'altra istanza come origine, allora il flusso del traffico tra le istanze non sarà consentito.

Per aggiornare le regole di gruppo di sicurezza tramite la console

  1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Fai clic su Security Groups (Gruppi di sicurezza) nel pannello di navigazione.

  3. Seleziona il gruppo di sicurezza ed esegui una delle seguenti operazioni:

    • Per modificare le regole in entrata, scegli Operazioni, Modifica regole in entrata.

    • Per modificare le regole in uscita, scegli Operazioni, Modifica regole in uscita.

  4. Per aggiungere una regola, scegli Aggiungi regola e specifica il tipo, il protocollo e l'intervallo di porte. Per Origine (regole in entrata) o Destinazione (regole in uscita), effettua una delle seguenti operazioni:

    • Per un VPC in peering nello stesso account e nella stessa Regione, inserisci l'ID del gruppo di sicurezza.

    • Per un VPC in peering in un account diverso ma nella stessa Regione, inserisci l'ID dell'account e l'ID del gruppo di sicurezza, separati da una barra (ad esempio, 123456789012/sg-1a2b3c4d).

    • Per un VPC in peering in un'altra regione, inserisci il blocco CIDR del VPC in peering.

  5. Per modificare una regola esistente, cambia i relativi valori (ad esempio, l'origine o la descrizione).

  6. Per eliminare una regola, seleziona il pulsante Elimina accanto alla regola corrispondente.

  7. Scegliere Salva regole.

Per aggiornare le regole in entrata tramite la riga di comando

Ad esempio, per aggiornare il gruppo di sicurezza sg-aaaa1111 allo scopo di consentire l'accesso in entrata su HTTP da sg-bbbb2222 per un VPC in peering, utilizza il seguente comando. Se il VPC peer si trova nella stessa regione ma con un account diverso, aggiungi. --group-owner aws-account-id

aws ec2 authorize-security-group-ingress --group-id sg-aaaa1111 --protocol tcp --port 80 --source-group sg-bbbb2222
Per aggiornare le regole in uscita tramite la riga di comando

Dopo aver aggiornato le regole del gruppo di sicurezza, utilizza il describe-security-groupscomando per visualizzare il gruppo di sicurezza di riferimento nelle regole del gruppo di sicurezza.

Identificazione dei gruppi di sicurezza a cui si fa riferimento

Per determinare se si fa riferimento al tuo gruppo di sicurezza nelle regole di un gruppo di sicurezza in un VPC in peering, utilizza uno dei seguenti comandi per uno o più gruppi di sicurezza nel tuo account.

Nell'esempio seguente, la risposta indica che un gruppo di sicurezza nel VPC sg-bbbb2222 fa riferimento al gruppo di sicurezza vpc-aaaaaaaa:

aws ec2 describe-security-group-references --group-id sg-bbbb2222
{    
  "SecurityGroupsReferenceSet": [
    {
      "ReferencingVpcId": "vpc-aaaaaaaa",
      "GroupId": "sg-bbbb2222",
      "VpcPeeringConnectionId": "pcx-b04deed9"       
    }   
  ]
}

Se la connessione peering VPC viene Eliminata o se il proprietario del VPC in peering elimina il gruppo di sicurezza a cui si fa riferimento, la regola di gruppo di sicurezza diventa obsoleta.

Visualizzazione ed eliminazione di regole del gruppo di sicurezza

Una regola di gruppo di sicurezza obsoleta è una regola che fa riferimento a un gruppo di sicurezza eliminato nello stesso VPC o in un VPC simile, o che fa riferimento a un gruppo di sicurezza in un VPC simile per il quale la connessione peering VPC è stata eliminata. Quando una regola di gruppo di sicurezza diventa obsoleta, non viene automaticamente rimossa dal gruppo di sicurezza, ma deve essere eliminata manualmente. Se una regola del gruppo di sicurezza è obsoleta perché la connessione peering VPC è stata eliminata, la regola non verrà più contrassegnata come obsoleta se si crea una nuova connessione peering VPC con la stessa. VPCs

Puoi visualizzare ed eliminare le regole di gruppo di sicurezza obsolete per un VPC tramite la console Amazon VPC.

Per visualizzare Ed eliminare regole di gruppo di sicurezza obsolete

  1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Fai clic su Security Groups (Gruppi di sicurezza) nel pannello di navigazione.

  3. Seleziona Actions (Operazioni), Manage stale rules (Gestisci regole obsolete).

  4. Per VPC, seleziona il VPC con le regole obsolete.

  5. Seleziona Edit (Modifica).

  6. Scegliere il pulsante Delete (Elimina) a destra della regola da eliminare. Scegliere Preview changes (Anteprima modifiche), Save rules (Salva regole).

Per descrivere le regole obsolete del gruppo di sicurezza utilizzando la riga di comando

Nell'esempio seguente, VPC A (vpc-aaaaaaaa) e VPC B erano collegati in peering e la connessione peering VPC è stata eliminata. Il gruppo di sicurezza sg-aaaa1111 in VPC A fa riferimento a sg-bbbb2222 in VPC B. Quando esegui il comando describe-stale-security-groups per il tuo VPC, la risposta indica che il gruppo di sicurezza sg-aaaa1111 ha una regola SSH obsoleta che fa riferimento a sg-bbbb2222.

aws ec2 describe-stale-security-groups --vpc-id vpc-aaaaaaaa
{
    "StaleSecurityGroupSet": [
        {
            "VpcId": "vpc-aaaaaaaa", 
            "StaleIpPermissionsEgress": [], 
            "GroupName": "Access1", 
            "StaleIpPermissions": [
                {
                    "ToPort": 22, 
                    "FromPort": 22, 
                    "UserIdGroupPairs": [
                        {
                            "VpcId": "vpc-bbbbbbbb", 
                            "PeeringStatus": "deleted", 
                            "UserId": "123456789101", 
                            "GroupName": "Prod1", 
                            "VpcPeeringConnectionId": "pcx-b04deed9", 
                            "GroupId": "sg-bbbb2222"
                        }
                    ], 
                    "IpProtocol": "tcp"
                }
            ], 
            "GroupId": "sg-aaaa1111", 
            "Description": "Reference remote SG"
        }
    ]
}

Dopo aver identificato le regole obsolete del gruppo di sicurezza, potete eliminarle utilizzando i comandi revoke-security-group-ingresso revoke-security-group-egress.