Gruppi di sicurezza per il VPC - Amazon Virtual Private Cloud

Gruppi di sicurezza per il VPC

Un gruppo di sicurezza funge da firewall virtuale di un'istanza per controllare il traffico in entrata e quello in uscita. Quando avvii un'istanza in un VPC, puoi assegnarle fino a cinque gruppi di sicurezza. I gruppi di sicurezza operano a livello di istanza, non di sottorete. Perciò, ciascuna istanza presente in una sottorete del VPC può ricevere un set diverso di gruppi di sicurezza.

Se avvii un'istanza utilizzando l'API Amazon EC2 o uno strumento da riga di comando e non specifichi un gruppo di sicurezza, l'istanza viene automaticamente assegnata al gruppo di sicurezza predefinito per il VPC. Se avvii un'istanza utilizzando la console Amazon EC2, puoi creare un nuovo gruppo di sicurezza per l'istanza.

Per ogni gruppo di sicurezza puoi aggiungere regole che controllano il traffico in entrata verso le istanze E un set distinto di regole che controllano il traffico in uscita. Questa sezione descrive le nozioni di base relative ai gruppi di sicurezza del VPC e alle loro regole.

Si possono impostare liste di controllo accessi di rete con regole simili a quelle del gruppo di sicurezza, in modo tale da aggiungere un ulteriore livello di sicurezza al VPC. Per ulteriori informazioni sulle differenze tra gruppi di sicurezza e liste di controllo accessi di rete, consulta Raffronto tra i gruppi di sicurezza e le liste di controllo accessi di rete.

Nozioni di base sui gruppi di sicurezza

Di seguito sono riportate le caratteristiche di base dei gruppi di sicurezza del VPC:

  • Puoi specificare regole che autorizzano, non regole che negano.

  • Puoi specificare regole separate per il traffico in entrata e quello in uscita.

  • Le regole dei gruppi di sicurezza consentono di filtrare il traffico in base ai protocolli e ai numeri di porta.

  • I gruppi di sicurezza sono stateful: se invii una richiesta da un'istanza, il traffico in risposta alla richiesta è autorizzato a entrare, indipendentemente dalle regole dei gruppi di sicurezza in entrata. Le risposte al traffico in entrata autorizzato possono uscire indipendentemente dalle regole in uscita.

    Nota

    Alcuni tipi di traffico vengono monitorati in maniera diversa da altri. Per maggiori informazioni, consulta Tracciamento delle connessioni nella Guida dell'utente di Amazon EC2 per le istanze Linux.

  • Al momento della sua creazione, un nuovo gruppo di sicurezza è privo di regole in entrata. Di conseguenza, non è consentito alcun traffico in entrata da un altro host verso l'istanza fino a quando al gruppo di sicurezza non vengono aggiunte regole in entrata.

  • Per impostazione predefinita, un gruppo di sicurezza include una regola in uscita che autorizza tutto il traffico in uscita. Puoi rimuovere la regola e aggiungere regole in uscita che autorizzano l'uscita solo di un determinato tipo di traffico. Se un gruppo di sicurezza è privo di regole in uscita, non viene autorizzato alcun traffico in uscita proveniente dalla tua istanza.

  • Esistono delle quote per il numero di gruppi di sicurezza che si possono creare per ogni VPC, al numero di regole che si possono aggiungere a ciascun gruppo di sicurezza e al numero di gruppi di sicurezza che si possono associare a un'interfaccia di rete. Per ulteriori informazioni, consulta Quote Amazon VPC.

  • Le istanze associate a un gruppo di sicurezza non possono comunicare tra loro a meno che tu non aggiunga regole che consentono il traffico (eccezione: il gruppo di sicurezza predefinito ha già queste regole per impostazione predefinita).

  • I gruppi di sicurezza sono associati alle interfacce di rete. Dopo l'avvio di un'istanza puoi modificare i gruppi di sicurezza a essa associati, il che comporta anche la modifica dei gruppi di sicurezza associati all'interfaccia di rete primaria (eth0). Si possono specificare o modificare anche i gruppi di sicurezza associati a qualunque altra interfaccia di rete. Per impostazione predefinita, quando si crea un'interfaccia di rete, questa viene associata al gruppo di protezione predefinito per il VPC, a meno che non si specifichi un gruppo di protezione diverso. Per ulteriori informazioni sulle interfacce di rete, consulta Interfacce di rete Elastiche.

  • Quando crei un gruppo di sicurezza, devi indicarne il nome e la descrizione. Si applicano le regole seguenti:

    • I nomi e le descrizioni possono avere una lunghezza massima di 255 caratteri.

    • I nomi e le descrizioni possono contenere solo i seguenti caratteri: a-z, A-Z, 0-9, spazi e ._-:/()#,@[]+=&;{}!$*.

    • Quando il nome contiene spazi finali, eliminiamo gli spazi quando salviamo il nome. Ad esempio, se inserisci “Test Security Group " per il nome, lo memorizziamo come “Test Security Group”.

    • Il nome di un gruppo di sicurezza non può iniziare con sg-, poiché indica un gruppo di sicurezza predefinito.

    • Il nome di un gruppo di sicurezza deve Essere univoco all'interno del VPC.

  • Un gruppo di sicurezza può essere utilizzato solo nel VPC specificato quando si crea il gruppo di sicurezza.

Gruppo di sicurezza predefinito per VPC

Il tuo VPC include automaticamente un gruppo di sicurezza predefinito. Se non specifichi un gruppo di sicurezza diverso quando avvii un'istanza, questa viene automaticamente associata al gruppo di sicurezza predefinito.

Nota

Se avvii un'istanza nella console Amazon EC2, la procedura guidata di avvio dell'istanza definisce automaticamente un gruppo di sicurezza “launch-wizard-xx”, che puoi associare all'istanza al posto del gruppo di sicurezza predefinito.

La tabella seguente descrive le regole predefinite di un gruppo di sicurezza predefinito.

Inbound
Source Protocol Port range Description

L'ID del gruppo di sicurezza (sg-xxxxxxxx)

Tutti

Tutti

Consenti il traffico in ingresso dalle interfacce di rete (e le relative istanze associate) assegnate allo stesso gruppo di sicurezza.

Outbound

Destination Protocol Port range Description

0.0.0.0/0

Tutti

Tutti

Autorizza tutto il traffico IPv4 in uscita.

::/0 Tutti Tutti Autorizza tutto il traffico IPv6 in uscita. Questa regola viene aggiunta per impostazione predefinita se crei un VPC con un blocco CIDR IPv6 o se associ un blocco CIDR IPv6 a un VPC esistente.

Puoi modificare le regole del gruppo di sicurezza predefinito.

Non è possibile eliminare un gruppo di sicurezza predefinito. Se provi a eliminare il gruppo di sicurezza predefinito, visualizzi il seguente errore: Client.CannotDelete: the specified group: "sg-51530134" name: "default" cannot be deleted by a user.

Nota

Se hai modificato le regole in uscita del gruppo di sicurezza, Amazon non aggiunge automaticamente una regola in uscita per il traffico IPv6 quando associ un blocco IPv6 al VPC.

Regole del gruppo di sicurezza

Puoi aggiungere o rimuovere le regole di un gruppo di sicurezza (autorizzazione o revoca dell'accesso in entrata o in uscita). Una regola si applica al traffico in entrata (ingresso) o al traffico in uscita (uscita). Puoi autorizzare l'accesso a un intervallo CIDR specifico o a un altro gruppo di sicurezza nel VPC o in un VPC in peering (richiede una connessione peering VPC).

Di seguito sono riportate le componenti di base di una regola di un gruppo di sicurezza in un VPC:

  • (Solo regole in entrata) L'origine del traffico e la porta o l'intervallo di porte di destinazione. L'origine può essere un altro gruppo di sicurezza, un blocco CIDR IPv4 o IPv6, un indirizzo IPv4 o IPv6 singolo oppure un ID dell'elenco dei prefissi.

  • (Solo regole in uscita) La destinazione del traffico e la porta o l'intervallo di porte di destinazione. La destinazione può essere un altro gruppo di sicurezza, un blocco CIDR IPv4 o IPv6, un indirizzo IPv4 o IPv6 singolo oppure un ID dell'elenco dei prefissi.

  • Qualsiasi protocollo che abbia un numero di protocollo standard (per un elenco, consulta Numeri di protocollo). Se specifichi ICMP come protocollo, puoi specificare qualcuno o tutti dei tipi e dei codici ICMP.

  • Una descrizione opzionale della regola del gruppo di sicurezza per semplificarne la successiva identificazione. Una descrizione può essere lunga fino a 255 caratteri. I caratteri consentiti sono a-z, A-Z, 0-9, spazi e ._-:/()#,@[]+=;{}!$*.

  • Se si aggiunge una regola del gruppo di sicurezza utilizzando AWS CLI, la console o l'API, viene automaticamente impostato il blocco CIDR di origine o di destinazione nel formato canonico. Ad esempio, se si specifica 100.68.0.18/18 per il blocco CIDR, viene creata una regola con un blocco CIDR di 100.68.0.0/18.

Quando specifichi un blocco CIDR come origine di una regola, viene autorizzato il traffico proveniente dagli indirizzi della porta e del protocollo specificati.

Quando specifichi un gruppo di sicurezza come origine di una regola, viene autorizzato il traffico proveniente dalle interfacce di rete associate al gruppo di sicurezza di origine della porta e del protocollo specificati. Il traffico in entrata è autorizzato in base agli indirizzi IP privati delle interfacce di rete associate al gruppo di sicurezza di origine (e non in base agli indirizzi IP elastici o pubblici). L'aggiunta di un gruppo di sicurezza come origine non aggiunge regole dal gruppo di sicurezza di origine. Per un esempio, consulta Gruppo di sicurezza predefinito per VPC.

Se specifichi un solo indirizzo IPv4, specifica l'indirizzo utilizzando la lunghezza del prefisso /32. Se specifichi un solo indirizzo IPv6, specifica l'indirizzo utilizzando la lunghezza del prefisso /128.

Alcuni sistemi per configurare i firewall ti permettono di filtrare le porte di origine. I gruppi di sicurezza ti permettono di filtrare solo le porte di destinazione.

Quando aggiungi o rimuovi delle regole, queste si applicano automaticamente a tutte le istanze associate al gruppo di sicurezza.

Il tipo di regole aggiunte può dipendere dallo scopo del gruppo di sicurezza. Nella tabella seguente vengono descritte le regole di esempio per un gruppo di sicurezza associato ai server Web. I server Web possono ricevere traffico HTTP e HTTPS da tutti gli indirizzi IPv4 e IPv6 e possono inviare traffico SQL o MySQL a un server di database.

Inbound
Source Protocol Port range Description

0.0.0.0/0

TCP

80

Autorizza l'accesso HTTP in entrata da tutti gli indirizzi IPv4.

::/0 TCP 80 Autorizza l'accesso HTTP in entrata da tutti gli indirizzi IPv6.

0.0.0.0/0

TCP

443

Autorizza l'accesso HTTPS in entrata da tutti gli indirizzi IPv4.

::/0 TCP 443 Autorizza l'accesso HTTPS in entrata da tutti gli indirizzi IPv6.

Intervallo di indirizzi IPv4 pubblici della tua rete

TCP

22

Autorizza l'accesso SSH in entrata alle istanze Linux dagli indirizzi IP IPv4 nella rete (su Internet gateway)

Intervallo di indirizzi IPv4 pubblici della tua rete

TCP

3389

Autorizza l'accesso RDP in entrata alle istanze Windows dagli indirizzi IP IPv4 nella rete (su Internet gateway)

Outbound

Destination Protocol Port range Description

L'ID del gruppo di sicurezza dei server di database Microsoft SQL Server

TCP

1433

Autorizza l'accesso Microsoft SQL Server in uscita alle istanze presenti nel gruppo di sicurezza specificato

L'ID del gruppo di sicurezza dei server di database MySQL

TCP

3306

Autorizza l'accesso MySQL alle istanze presenti nel gruppo di sicurezza specificato

Un server di database avrebbe bisogno di un diverso set di regole. Ad esempio, invece del traffico HTTP e HTTPS in ingresso, è possibile aggiungere una regola che consente l'accesso a MySQL o Microsoft SQL Server in ingresso. Per un esempio di regole di un gruppo di sicurezza nei server Web e nei server di database, consulta Sicurezza. Per maggiori informazioni sui gruppi di sicurezza per le istanze di Amazon RDS DB, consulta Controllo dell'accesso con i gruppi di sicurezza nella Guida dell'utente di Amazon RDS.

Per gli esempi di regole del gruppo di sicurezza per specifici tipi di accesso, consulta la sezione relativa al Riferimento alle regole del gruppo di sicurezza nella Guida per l’utente di Amazon EC2 per le istanze Linux.

Regole obsolete del gruppo di sicurezza

Se il VPC ha una connessione peering VPC con un altro VPC, una regola del gruppo di sicurezza potrebbe fare riferimento all'altro gruppo di sicurezza nel VPC in peering. Ciò consente alle istanze associate al gruppo di sicurezza e a quelle associate al gruppo di protezione di riferimento di comunicare tra loro.

Se il titolare del VPC in peering elimina il gruppo di sicurezza di riferimento o se tu o il titolare del VPC in peering elimina la connessione peering VPC, il gruppo di sicurezza viene contrassegnato come stale. Le regole obsolete possono essere Eliminate nello stesso modo delle altre regole del gruppo di sicurezza.

Per ulteriori informazioni, consulta la sezione relativa all'utilizzo di gruppi di sicurezza obsoleti nella Guida di Amazon VPC Peering.

Differenze tra i gruppi di sicurezza per EC2-Classic e per EC2-VPC

Non puoi usare i gruppi di sicurezza creati per essere utilizzati con EC2-Classic con le istanze presenti nel VPC. Devi utilizzare gruppi di sicurezza creati appositamente per essere usati con le istanze nel VPC. Le regole create per l'utilizzo con un gruppo di sicurezza di un VPC non possono fare riferimento a un gruppo di sicurezza di EC2-Classic e viceversa. Per ulteriori informazioni sulle differenze tra i gruppi di sicurezza da utilizzare con EC2-Classic e quelli da usare con un VPC, consulta Differenze tra istanze in EC2-Classic e un VPC nella Guida utente di Amazon EC2 per le istanze Linux.

Utilizzo dei gruppi di sicurezza

Le attività seguenti mostrano come utilizzare i gruppi di sicurezza tramite la console Amazon VPC.

Per le policy IAM di esempio da utilizzare con i gruppi di sicurezza, consulta Gestione di gruppi di sicurezza.

Modifica del gruppo di sicurezza predefinito

Il VPC include un gruppo di sicurezza predefinito. Non si può eliminare questo gruppo; tuttavia puoi modificarne le regole. La procedura è la stessa della modifica di qualsiasi altro gruppo di sicurezza. Per ulteriori informazioni, consulta Aggiunta, rimozione E aggiornamento di regole.

Creazione di un gruppo di sicurezza

Anche se puoi utilizzare il gruppo di sicurezza predefinito per le istanze, è consigliabile creare gruppi personalizzati per rispecchiare i diversi ruoli eseguiti dalle istanze nel sistema.

Nella procedura seguente viene creato un gruppo di sicurezza senza regole in ingresso e la regola in uscita predefinita.

Per creare un gruppo di sicurezza tramite console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Fai clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione..

  3. Scegliere Create Security Group (Crea gruppo di sicurezza).

  4. Immettere un nome per il gruppo di sicurezza (ad esempio my-security-group) e fornire una descrizione.

  5. Da VPC, selezionare l'ID del VPC.

  6. (Facoltativo) Aggiungere o rimuovere un tag.

    [Aggiungere un tag] Scegliere Aggiungi nuovo tag e procedere come segue:

    • In Key (Chiave), immettere il nome della chiave.

    • In Value (Valore), immettere il valore della chiave.

    [Rimuovi un tag] Scegli Rimuovi a destra della Chiave e del Valore del tag.

  7. Scegliere Create (Crea).

Per creare un gruppo di sicurezza tramite la riga di comando

Per descrivere uno o più gruppi di sicurezza tramite la riga di comando

Per impostazione predefinita, i nuovi gruppi di sicurezza hanno solo una regola in uscita che autorizza tutto il traffico a lasciare le istanze. Devi aggiungere le regole per autorizzare qualsiasi tipo di traffico in entrata o per limitare quello in uscita.

Aggiunta, rimozione E aggiornamento di regole

Quando aggiungi o rimuovi una regola, tutte le istanze già assegnate al gruppo di sicurezza sono soggette alla modifica.

Se disponi di una connessione peering VPC, puoi fare riferimento ai gruppi di sicurezza del VPC in peering come origine o destinazione delle regole del gruppo di sicurezza. Per ulteriori informazioni, consulta la sezione relativa all'Aggiornamento dei gruppi di sicurezza ai gruppi di sicurezza del VPC in peering di riferimento nella Guida di Amazon VPC Peering.

Per aggiungere una regola tramite la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Fai clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

  3. Selezionare il gruppo di sicurezza da aggiornare.

  4. Scegliere Actions (Operazioni), Edit inbound rules (Modifica regole in entrata) o Actions (Operazioni), Edit outbound rules (Modifica regole in uscita).

  5. Scegliere Add rule (Aggiungi regola). Per Tipo, selezionare il tipo di traffico e quindi specificare l'origine (regole in ingresso) o la destinazione (regole in uscita). Ad esempio, per un server Web pubblico, selezionare HTTP o HTTPS e specificare un valore per Source (Origine) ad esempio 0.0.0.0/0.

    Se si utilizza 0.0.0.0/0, tutti gli indirizzi IPv4 possono accedere all'istanza utilizzando HTTP o HTTPS. Per limitare l'accesso, immettere un indirizzo IP specifico o un intervallo di indirizzi.

  6. Puoi anche autorizzare la comunicazione tra tutte le istanze associate a questo gruppo di sicurezza. Creare una regola in entrata con le seguenti opzioni:

    • Type (Tipo): All Traffic (Tutto il traffico)

    • Source (Origine): immettere l'ID del gruppo di sicurezza.

  7. Scegliere Save rules (Salva regole).

Per eliminare una regola utilizzando la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Fai clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

  3. Selezionare il gruppo di sicurezza da aggiornare.

  4. Scegliere Actions (Operazioni), Edit inbound rules (Modifica regole in entrata) o Actions (Operazioni), Edit outbound rules (Modifica regole in uscita).

  5. Scegliere Elimina per la regola che si desidera eliminare.

  6. Scegliere Save rules (Salva regole).

Quando modifichi il protocollo, l'intervallo di porte, l'origine o la destinazione di una regola di un gruppo di sicurezza esistente tramite console, la console elimina la regola esistente e ne aggiunge una nuova.

Per aggiornare una regola utilizzando la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Fai clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

  3. Selezionare il gruppo di sicurezza da aggiornare.

  4. Scegliere Actions (Operazioni), Edit inbound rules (Modifica regole in entrata) o Actions (Operazioni), Edit outbound rules (Modifica regole in uscita).

  5. Modificare la voce della regola come richiesto.

  6. Scegliere Save rules (Salva regole).

Per aggiornare il protocollo, l'intervallo di porte, l'origine o la destinazione di una regola esistente tramite API di Amazon EC2 o lo strumento a riga di comando, non è possibile modificare la regola. Devi invece eliminare la regola esistente e aggiungerne una nuova. Per aggiornare solo la descrizione della regola, puoi utilizzare i comandi update-security-group-rule-descriptions-ingress e update-security-group-rule-descriptions-egress.

Per aggiungere una regola a un gruppo di sicurezza tramite la riga di comando

Per eliminare una regola da un gruppo di sicurezza tramite la riga di comando

Per aggiornare la descrizione di una regola di un gruppo di sicurezza tramite la riga di comando

Modifica dei gruppi di sicurezza di un'istanza

Dopo l'avvio di un'istanza in un VPC è possibile modificare i gruppi di sicurezza associati all'istanza. I gruppi di sicurezza di un'istanza sono modificabili se questa è running o stopped.

Nota

Questa procedura modifica i gruppi di sicurezza associati all'interfaccia di rete primaria (eth0) dell'istanza. Per modificare i gruppi di sicurezza di altre interfacce di rete, consulta Modifica del gruppo di sicurezza.

Per modificare i gruppi di sicurezza di un'istanza utilizzando la console

  1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione, scegliere Instances (Istanze).

  3. Scegliere Azioni, Sicurezza, Modifica gruppi di sicurezza.

  4. Per Gruppi di sicurezza associati, selezionare un gruppo di sicurezza dall'elenco e scegliere Aggiungi gruppo di sicurezza.

    Per rimuovere un gruppo di sicurezza già associato, scegliere Rimuovi per tale gruppo di sicurezza.

  5. Scegliere Salva.

Per modificare i gruppi di sicurezza di un'istanza utilizzando la riga di comando

Eliminazione di un gruppo di sicurezza

Puoi eliminare un gruppo di sicurezza solo se non ha istanze assegnate (in esecuzione o arrestate). Puoi assegnare le istanze a un altro gruppo di sicurezza prima di eliminare un gruppo di sicurezza (consulta Modifica dei gruppi di sicurezza di un'istanza). Non è possibile eliminare un gruppo di sicurezza predefinito.

Se utilizzi la console, puoi eliminare più di un gruppo di sicurezza alla volta. Se utilizzi la riga di comando o l'API, puoi eliminare solo un gruppo di sicurezza alla volta.

Per eliminare un gruppo di sicurezza tramite console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Fai clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

  3. Selezionare uno o più gruppi di sicurezza e scegliere Security Group Actions (Operazioni gruppo di sicurezza), Delete Security Group (Elimina gruppo di sicurezza).

  4. Nella finestra di dialogo Delete Security Group (Elimina gruppo di sicurezza), scegliere Yes, Delete (Sì, elimina).

Per eliminare un gruppo di sicurezza tramite la riga di comando

Eliminazione del gruppo di sicurezza predefinito del 15/7/2009

Tutti i VPC creati con una versione dell'API antecedente al 1/1/2011 hanno il gruppo di sicurezza 2009-07-15-default. Questo gruppo di sicurezza è presente in aggiunta al normale gruppo di sicurezza default disponibile in ogni VPC. Non si può associare un Internet gateway a un VPC che abbia il gruppo di sicurezza 2009-07-15-default. Di conseguenza, questo gruppo di sicurezza va eliminato prima di poter associare un Internet gateway al VPC.

Nota

Se hai assegnato questo gruppo di sicurezza a un'istanza, devi assegnarla a un gruppo di sicurezza diverso prima di poter eliminare il gruppo di sicurezza.

Per eliminare il gruppo di sicurezza 2009-07-15-default

  1. Verificare che questo gruppo di sicurezza non sia assegnato a istanze.

    1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

    2. Nel riquadro di navigazione, selezionare Network Interfaces (Interfacce di rete).

    3. Selezionare l'interfaccia di rete dell'istanza dall'elenco e scegliere Change Security Groups (Modifica gruppi di sicurezza), Actions (Operazioni).

    4. Nella finestra di dialogo Change Security Groups (Modifica gruppi di sicurezza), selezionare un nuovo gruppo di sicurezza dall'elenco e scegliere Save (Salva).

      Quando si modifica il gruppo di sicurezza di un'istanza, si possono selezionare più gruppi dall'elenco. I gruppi di sicurezza selezionati sostituiscono quelli attuali dell'istanza.

    5. Ripetere le fasi precedenti per ciascuna istanza.

  2. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  3. Fai clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

  4. Selezionare il gruppo di sicurezza 2009-07-15-default, quindi selezionare Security Group Actions (Operazioni gruppo di sicurezza), Delete Security Group (Elimina gruppo di sicurezza).

  5. Nella finestra di dialogo Delete Security Group (Elimina gruppo di sicurezza), scegliere Yes, Delete (Sì, elimina).

Gestione centralizzata dei gruppi di sicurezza VPC utilizzando AWS Firewall Manager

AWS Firewall Manager semplifica le attività di amministrazione e manutenzione dei gruppi di sicurezza VPC su più account e risorse. Con Firewall Manager è possibile configurare e controllare i gruppi di sicurezza per l'organizzazione da un unico account amministratore centrale. AWS Firewall Manager applica automaticamente le regole e le protezioni su tutti gli account e le risorse, anche quando vengono aggiunte nuove risorse. Firewall Manager è particolarmente utile quando si desidera proteggere l'intera organizzazione o se si aggiungono spesso nuove risorse che si desidera proteggere da un account amministratore centrale.

È possibile utilizzare Firewall Manager per gestire centralmente i gruppi di sicurezza nei seguenti modi:

  • Configurazione dei gruppi di sicurezza di base comuni nell'organizzazione: è possibile utilizzare una policy di gruppo di sicurezza comune per fornire un'associazione controllata centralmente di gruppi di sicurezza agli account e alle risorse dell'organizzazione. Specificare dove e come applicare i criteri nell'organizzazione.

  • Controllo dei gruppi di sicurezza esistenti nell'organizzazione: è possibile utilizzare una policy di gruppo di sicurezza di controllo per controllare le regole esistenti in uso nei gruppi di sicurezza dell'organizzazione. È possibile definire l'ambito del criterio per controllare tutti gli account, gli account specifici o le risorse contrassegnate all'interno dell'organizzazione. Firewall Manager rileva automaticamente nuovi account e risorse e li controlla. È possibile creare regole di controllo per impostare i guardrail per quali regole dei gruppi di sicurezza consentire o non consentire all'interno dell'organizzazione e per verificare la presenza di gruppi di sicurezza inutilizzati o ridondanti.

  • Ottenimento di report sulle risorse non conformi e correggerle: è possibile ottenere report e avvisi per le risorse non conformi per le policy di base e di controllo. È inoltre possibile impostare flussi di lavoro di correzione automatica per correggere eventuali risorse non conformi rilevate da Firewall Manager.

Per ulteriori informazioni sull'utilizzo di Firewall Manager per gestire i gruppi di sicurezza, vedere i seguenti argomenti nella Guida per gli sviluppatori di AWS WAF: