Autorizar tráfego de entrada para suas instâncias do Linux - Amazon Elastic Compute Cloud

Autorizar tráfego de entrada para suas instâncias do Linux

Os grupos de segurança permitem controlar o tráfego para sua instância incluindo o tipo de tráfego que pode acessar sua instância. Por exemplo, é possível permitir que apenas os computadores de sua rede local acessem sua instância usando SSH. Se sua instância for um servidor Web, será possível permitir que todos os endereços IP acessem sua instância usando HTTP ou HTTPS, para que os usuários externos possam navegar pelo conteúdo de seu servidor Web.

Os grupos de segurança padrão e os grupos de segurança recém-criados incluem regras padrão que não permitem que você acesse a instância pela internet. Para obter mais informações, consulte Grupos de segurança padrão e Os grupos de segurança personalizados. Para permitir acesso da rede para sua instância, você deverá permitir o tráfego de entrada para sua instância. Para abrir uma porta para o tráfego de entrada, adicione uma regra a um grupo de segurança que você associou à instância quando a executou.

Para conectar-se à instância, configure uma regra para autorizar trafego do SSH no endereço IPv4 público de seu computador. Para permitir tráfego do SSH de intervalos de endereços IP adicionais, adicione outra regra para cada intervalo que você precisar autorizar.

Se você tiver habilitado sua VPC para IPv6 e executou a instância com um endereço IPv6, será possível conectar-se à instância usando seu endereço IPv6 em vez de um endereço IPv4 público. Seu computador local deve ter um endereço IPv6 e configurado para usar IPv6.

Se você precisar permitir acesso de rede a uma instância do Windows, consulte Como autorizar tráfego de entrada para suas instâncias do Windows no Guia do usuário do Amazon EC2 para instâncias do Windows.

Antes de começar

Decida quem requer acesso à instância. Por exemplo, um único host ou uma rede específica em que você confia, como o endereço IPv4 público de seu computador local. O editor do grupo de segurança no console do Amazon EC2 pode detectar automaticamente o endereço IPv4 público de seu computador local. Como alternativa, é possível usar a frase de pesquisa "qual é meu endereço IP" em um navegador de Internet ou o serviço a seguir: Verificar IP. Se estiver conectado por meio de um ISP ou atrás de um firewall sem um endereço IP estático, localize o intervalo de endereços IP usado por computadores cliente.

Atenção

Se usar 0.0.0.0/0, permitirá que todos os endereços IPv4 acessem sua instância usando SSH. Se usar ::/0, você permitirá que todos os endereços IPv6 acessem sua instância. Isso é aceitável para um período curto em um ambiente de teste, mas não é seguro em ambientes de produção. Na produção, você autorizará somente um endereço IP específico ou intervalo de endereços para acessar a instância.

Decida se você oferecerá suporte ao acesso SSH às suas instâncias usando o EC2 Instance Connect. Se não usar o EC2 Instance Connect, considere desinstalá-lo ou negar a seguinte ação em suas políticas do IAM: ec2-instance-connect:SendSSHPublicKey. Para obter mais informações, consulte Desinstalar o EC2 Instance Connect e Configurar permissões do IAM para o EC2 Instance Connect.

Adicione uma regra para o tráfego de entrada de SSH para uma instância do Linux

Os security groups atuam como firewall para instâncias associadas, controlando o tráfego de entrada e de saída no nível da instância. Adicione regras a um grupo de segurança que permitam que você se conecte à instância do Linux no seu endereço IP usando o SSH.

New console

Para adicionar uma regra a um grupo de segurança para tráfego de entrada do SSH por meio de IPv4 (console)

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. Na barra de navegação superior, selecione uma região para o grupo de segurança. Os grupos de segurança são específicos para uma região, portanto, selecione a mesma região em que criou sua instância.

  3. No painel de navegação, escolha Instances (Instâncias).

  4. Selecione sua instância e, na metade inferior da tela, escolha a guia Security (Segurança) . O parâmetro Security groups (Grupos de segurança) lista os grupos de segurança associados à instância. O parâmetroInbound rules (Regras de entrada) exibem uma lista das regras de entrada que estão em vigor para a instância.

  5. Para o grupo de segurança ao qual você adicionará a nova regra, escolha o link ID do grupo de segurança para abrir o grupo de segurança.

  6. Na guia Inbound Rules (Regras de entrada), selecione Edit inbound rules (Editar regras de entrada).

  7. Na página Edit inbound rules (Editar regras de entrada) , faça o seguinte:

    1. Escolha Add rule (Adicionar regra).

    2. Em Type, escolha SSH.

    3. Na caixa Source (Fonte), escolha My IP (Meu IP) para preencher automaticamente o campo com o endereço IPv4 público do computador local.

      Como alternativa, para Source (Fonte), escolha Custom (Personalizado) e insira o endereço IPv4 público do computador ou da rede em notação CIDR. Por exemplo, se o endereço IPv4 for 203.0.113.25, insira 203.0.113.25/32 para listar esse único endereço IPv4 em notação CIDR. Se sua empresa alocar endereços com base em um intervalo, insira o intervalo inteiro, como 203.0.113.0/24.

      Para obter informações sobre como localizar seu endereço IP, consulte Antes de começar.

    4. Selecione Save rules (Salvar regras).

Old console

Para adicionar uma regra a um grupo de segurança para tráfego de entrada do SSH por meio de IPv4 (console)

  1. No painel de navegação do console do Amazon EC2, escolha Instances (Instâncias). Selecione a instância e procure a guia Description. A opção Security groups (Grupos de segurança) lista os grupos de segurança associados à instância. Escolha view inbound rules (exibir regras de entrada) para exibir uma lista das regras que estão em vigor na instância.

  2. No painel de navegação, selecione Grupos de segurança. Selecione um dos grupos de segurança associados à instância.

  3. No painel de detalhes, na guia Inbound, escolha Edit. Na caixa de diálogo, escolha Add Rule (Adicionar regra) e, em seguida, escolha SSH na lista Type (Tipo).

  4. No campo Source, escolha My IP para preencher automaticamente o campo com o endereço IPv4 público do computador local. Como alternativa, escolha Custom e especifique o endereço IPv4 público do computador ou da rede em notação CIDR. Por exemplo, se o endereço IPv4 for 203.0.113.25, especifique 203.0.113.25/32 para listar esse único endereço IPv4 em notação CIDR. Se sua empresa alocar endereços de um intervalo, especifique o intervalo inteiro, como 203.0.113.0/24.

    Para obter informações sobre como localizar seu endereço IP, consulte Antes de começar.

  5. Escolha Save (Salvar).

Se você executou uma instância com um endereço IPv6 e desejar conectar-se à sua instância usando seu endereço IPv6, você deverá adicionar regras que permitam o tráfego IPv6 de entrada via SSH.

New console

Para adicionar uma regra a um grupo de segurança para tráfego de entrada do SSH por meio de IPv6 (console)

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. Na barra de navegação superior, selecione uma região para o grupo de segurança. Os grupos de segurança são específicos para uma região, portanto, selecione a mesma região em que criou sua instância.

  3. No painel de navegação, escolha Instances (Instâncias).

  4. Selecione sua instância e, na metade inferior da tela, escolha a guia Security (Segurança) . O parâmetro Security groups (Grupos de segurança) lista os grupos de segurança associados à instância. O parâmetroInbound rules (Regras de entrada) exibem uma lista das regras de entrada que estão em vigor para a instância.

  5. Para o grupo de segurança ao qual você adicionará a nova regra, escolha o link ID do grupo de segurança para abrir o grupo de segurança.

  6. Na guia Inbound Rules (Regras de entrada), selecione Edit inbound rules (Editar regras de entrada).

  7. Na página Edit inbound rules (Editar regras de entrada) , faça o seguinte:

    1. Escolha Add rule (Adicionar regra).

    2. Em Type, escolha SSH.

    3. Em Source (Origem), escolha Custom (Personalizado) e insira o endereço IPv6 do computador em notação CIDR. Por exemplo, se seu endereço IPv6 for 2001:db8:1234:1a00:9691:9503:25ad:1761, insira 2001:db8:1234:1a00:9691:9503:25ad:1761/128 para listar este único endereço IP em notação CIDR. Se sua empresa alocar endereços com base em um intervalo, insira o intervalo inteiro, como 2001:db8:1234:1a00::/64.

    4. Selecione Save rules (Salvar regras).

Old console

Para adicionar uma regra a um grupo de segurança para tráfego de entrada do SSH por meio de IPv6 (console)

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Grupos de segurança. Selecione o grupo de segurança de sua instância.

  3. Escolha Inbound, Edit, Add Rule.

  4. Em Type, escolha SSH.

  5. No campo Source, especifique o endereço IPv6 de seu computador em notação CIDR. Por exemplo, se seu endereço IPv6 for 2001:db8:1234:1a00:9691:9503:25ad:1761, especifique 2001:db8:1234:1a00:9691:9503:25ad:1761/128 para listar esse único endereço IP em notação CIDR. Se sua empresa alocar endereços de um intervalo, especifique o intervalo inteiro, como 2001:db8:1234:1a00::/64.

  6. Escolha Save (Salvar).

nota

Execute os comandos a seguir no sistema local, não na própria instância. Para obter mais informações sobre essas interfaces de linha de comando, consulte Acessar o Amazon EC2.

Para adicionar uma regra a um grupo de segurança usando a linha de comando

  1. Encontre o grupo de segurança que está associado à sua instância usando um dos seguintes comandos:

    • describe-instance-attribute (AWS CLI)

      aws ec2 describe-instance-attribute --region region --instance-id instance_id --attribute groupSet
    • Get-EC2InstanceAttribute (AWS Tools for Windows PowerShell)

      PS C:\> (Get-EC2InstanceAttribute -Region region -InstanceId instance_id -Attribute groupSet).Groups

    Os dois comandos retornam um ID de grupo de segurança que será usado na próxima etapa.

  2. Adicione a regra ao grupo de segurança usando um dos seguintes comandos:

    • authorize-security-group-ingress (AWS CLI)

      aws ec2 authorize-security-group-ingress --region region --group-id security_group_id --protocol tcp --port 22 --cidr cidr_ip_range
    • Grant-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)

      O comando Grant-EC2SecurityGroupIngress precisa de um parâmetro IpPermission que descreve o protocolo, o intervalo de portas e o intervalo de endereços IP a serem usados para a regra de grupo de segurança. O comando a seguir cria o parâmetro IpPermission:

      PS C:\> $ip1 = @{ IpProtocol="tcp"; FromPort="22"; ToPort="22"; IpRanges="cidr_ip_range" }
      PS C:\> Grant-EC2SecurityGroupIngress -Region region -GroupId security_group_id -IpPermission @($ip1)

Atribuir um grupo de segurança a uma instância

É possível atribuir um security group a uma instância ao executá-la. Quando você adiciona ou remove regras, essas alterações são aplicadas automaticamente a todas as instâncias às quais você atribuiu o security group.

Depois de executar uma instância, é possível alterar seus grupos de segurança. Para obter mais informações, consulte Alterar os grupos de segurança de uma instância no Guia do usuário da Amazon VPC.