Autorizar tráfego de entrada para suas instâncias do Linux - Amazon Elastic Compute Cloud

Autorizar tráfego de entrada para suas instâncias do Linux

Os security groups permitem controlar o tráfego para sua instância incluindo o tipo de tráfego que pode acessar sua instância. Por exemplo, você pode permitir que apenas os computadores de sua rede local acessem sua instância usando SSH. Se sua instância for um servidor web, você poderá permitir que todos os endereços IP acessem sua instância usando HTTP ou HTTPS, para que os usuários externos possam navegar pelo conteúdo de seu servidor web.

Os grupos de segurança padrão e os grupos de segurança recém-criados incluem regras padrão que não permitem que você acesse a instância pela internet. Para obter mais informações, consulte Grupos de segurança padrão e Os security groups personalizados. Para permitir acesso da rede para sua instância, você deverá permitir o tráfego de entrada para sua instância. Para abrir uma porta para o tráfego de entrada, adicione uma regra a um security group que você associou à instância quando a executou.

Para conectar-se à instância, você deve configurar uma regra para autorizar trafego do SSH no endereço IPv4 público de seu computador. Para permitir tráfego do SSH de intervalos de endereços IP adicionais, adicione outra regra para cada intervalo que você precisar autorizar.

Se você tiver habilitado sua VPC para IPv6 e executou a instância com um endereço IPv6, você poderá conectar-se à instância usando seu endereço IPv6 em vez de um endereço IPv4 público. Seu computador local deve ter um endereço IPv6 e configurado para usar IPv6.

Se você precisar permitir acesso de rede a uma instância Windows, consulte Como autorizar tráfego de entrada para suas instâncias Windows no Guia do usuário do Amazon EC2 para instâncias do Windows.

Antes de começar

Decida quem requer acesso à instância. Por exemplo, um único host ou uma rede específica em que você confia, como o endereço IPv4 público de seu computador local. O editor do security group no console do Amazon EC2 pode detectar automaticamente o endereço IPv4 público de seu computador local. Como alternativa, você pode usar a frase de pesquisa "qual é meu endereço IP" em um navegador de Internet ou o serviço a seguir: Verificar IP. Se estiver conectado por meio de um ISP ou atrás de um firewall sem um endereço IP estático, localize o intervalo de endereços IP usado por computadores cliente.

Atenção

Se usar 0.0.0.0/0, permitirá que todos os endereços IPv4 acessem sua instância usando SSH. Se usar ::/0, você permitirá que todos os endereços IPv6 acessem sua instância. Isso é aceitável para um período curto em um ambiente de teste, mas não é seguro em ambientes de produção. Na produção, você autorizará somente um endereço IP específico ou intervalo de endereços para acessar a instância.

Decida se você oferecerá suporte ao acesso SSH às suas instâncias usando o EC2 Instance Connect. Se não usar o EC2 Instance Connect, considere desinstalá-lo ou negar a seguinte ação em suas políticas do IAM: ec2-instance-connect:SendSSHPublicKey. Para obter mais informações, consulte Desinstalar o EC2 Instance Connect e Configurar permissões do IAM para o EC2 Instance Connect.

Adicionar uma regra para o tráfego de entrada do SSH a uma instância do Linux

Os security groups atuam como firewall para instâncias associadas, controlando o tráfego de entrada e de saída no nível da instância. Você deve adicionar regras a um grupo de segurança que permitam que você se conecte à instância do Linux no seu endereço IP usando o SSH.

New console

Para adicionar uma regra a um grupo de segurança para tráfego de entrada do SSH por meio de IPv4 (console)

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Instances (Instâncias).

  3. Selecione sua instância e, na metade inferior da tela, escolha a guia Security (Segurança) . O parâmetro Security groups (Grupos de segurança) lista os grupos de segurança associados à instância. O parâmetroInbound rules (Regras de entrada) exibem uma lista das regras de entrada que estão em vigor para a instância.

  4. Para o grupo de segurança ao qual você adicionará a nova regra, escolha o link ID do grupo de segurança para abrir o grupo de segurança.

  5. Na guia Inbound Rules (Regras de entrada), selecione Edit inbound rules (Editar regras de entrada).

  6. Na página Edit inbound rules (Editar regras de entrada) , faça o seguinte:

    1. Escolha Add rule (Adicionar regra).

    2. Em Type, escolha SSH.

    3. Na caixa Source (Fonte), escolha My IP (Meu IP) para preencher automaticamente o campo com o endereço IPv4 público do computador local.

      Como alternativa, para Source (Fonte), escolha Custom (Personalizado) e insira o endereço IPv4 público do computador ou da rede em notação CIDR. Por exemplo, se o endereço IPv4 for 203.0.113.25, insira 203.0.113.25/32 para listar esse único endereço IPv4 em notação CIDR. Se sua empresa alocar endereços com base em um intervalo, insira o intervalo inteiro, como 203.0.113.0/24.

      Para obter informações sobre como localizar seu endereço IP, consulte Antes de começar.

    4. Selecione Save rules (Salvar regras).

Old console

Para adicionar uma regra a um grupo de segurança para tráfego de entrada do SSH por meio de IPv4 (console)

  1. No painel de navegação do console do Amazon EC2, escolha Instances (Instâncias). Selecione a instância e procure a guia Description. A opção Security groups lista os security groups associados à instância. Escolha view inbound rules (visualizar regras de entrada) para exibir uma lista das regras que estão em vigor na instância.

  2. No painel de navegação, selecione Grupos de segurança. Selecione um dos security groups associados à instância.

  3. No painel de detalhes, na guia Inbound, escolha Edit. Na caixa de diálogo, escolha Add Rule (Adicionar regra) e, em seguida, escolha SSH na lista Type (Tipo).

  4. No campo Source, escolha My IP para preencher automaticamente o campo com o endereço IPv4 público do computador local. Como alternativa, escolha Custom e especifique o endereço IPv4 público do computador ou da rede em notação CIDR. Por exemplo, se o endereço IPv4 for 203.0.113.25, especifique 203.0.113.25/32 para listar esse único endereço IPv4 em notação CIDR. Se sua empresa alocar endereços de um intervalo, especifique o intervalo inteiro, como 203.0.113.0/24.

    Para obter informações sobre como localizar seu endereço IP, consulte Antes de começar.

  5. Escolha Save (Salvar).

Se você executou uma instância com um endereço IPv6 e desejar conectar-se à sua instância usando seu endereço IPv6, você deverá adicionar regras que permitam o tráfego IPv6 de entrada via SSH.

New console

Para adicionar uma regra a um grupo de segurança para tráfego de entrada do SSH por meio de IPv6 (console)

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Instances (Instâncias).

  3. Selecione sua instância e, na metade inferior da tela, escolha a guia Security (Segurança) . O parâmetro Security groups (Grupos de segurança) lista os grupos de segurança associados à instância. O parâmetroInbound rules (Regras de entrada) exibem uma lista das regras de entrada que estão em vigor para a instância.

  4. Para o grupo de segurança ao qual você adicionará a nova regra, escolha o link ID do grupo de segurança para abrir o grupo de segurança.

  5. Na guia Inbound Rules (Regras de entrada), selecione Edit inbound rules (Editar regras de entrada).

  6. Na página Edit inbound rules (Editar regras de entrada) , faça o seguinte:

    1. Escolha Add rule (Adicionar regra).

    2. Em Type, escolha SSH.

    3. Em Source (Origem), escolha Custom (Personalizado) e insira o endereço IPv6 do computador em notação CIDR. Por exemplo, se seu endereço IPv6 for 2001:db8:1234:1a00:9691:9503:25ad:1761, insira 2001:db8:1234:1a00:9691:9503:25ad:1761/128 para listar este único endereço IP em notação CIDR. Se sua empresa alocar endereços com base em um intervalo, insira o intervalo inteiro, como 2001:db8:1234:1a00::/64.

    4. Selecione Save rules (Salvar regras).

Old console

Para adicionar uma regra a um grupo de segurança para tráfego de entrada do SSH por meio de IPv6 (console)

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Grupos de segurança. Selecione o security group de sua instância.

  3. Escolha Inbound, Edit, Add Rule.

  4. Em Type, escolha SSH.

  5. No campo Source, especifique o endereço IPv6 de seu computador em notação CIDR. Por exemplo, se seu endereço IPv6 for 2001:db8:1234:1a00:9691:9503:25ad:1761, especifique 2001:db8:1234:1a00:9691:9503:25ad:1761/128 para listar esse único endereço IP em notação CIDR. Se sua empresa alocar endereços de um intervalo, especifique o intervalo inteiro, como 2001:db8:1234:1a00::/64.

  6. Escolha Save (Salvar).

nota

Execute os comandos a seguir no sistema local, não na própria instância. Para obter mais informações sobre essas interfaces de linha de comando, consulte Acessar o Amazon EC2.

Para adicionar uma regra a um security group usando a linha de comando

  1. Encontre o security group que está associado à sua instância usando um dos seguintes comandos:

    • describe-instance-attribute (AWS CLI)

      aws ec2 describe-instance-attribute --instance-id instance_id --attribute groupSet
    • Get-EC2InstanceAttribute (AWS Tools for Windows PowerShell)

      PS C:\> (Get-EC2InstanceAttribute -InstanceId instance_id -Attribute groupSet).Groups

    Os dois comandos retornam um ID de security group que será usado na próxima etapa.

  2. Adicione a regra ao security group usando um dos seguintes comandos:

    • authorize-security-group-ingress (AWS CLI)

      aws ec2 authorize-security-group-ingress --group-id security_group_id --protocol tcp --port 22 --cidr cidr_ip_range
    • Grant-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)

      O comando Grant-EC2SecurityGroupIngress precisa de um parâmetro IpPermission que descreve o protocolo, o intervalo de portas e o intervalo de endereços IP a serem usados para a regra de security group. O comando a seguir cria o parâmetro IpPermission:

      PS C:\> $ip1 = @{ IpProtocol="tcp"; FromPort="22"; ToPort="22"; IpRanges="cidr_ip_range" }
      PS C:\> Grant-EC2SecurityGroupIngress -GroupId security_group_id -IpPermission @($ip1)

Atribuir um grupo de segurança a uma instância

Você pode atribuir um security group a uma instância ao executá-la. Quando você adiciona ou remove regras, essas alterações são aplicadas automaticamente a todas as instâncias às quais você atribuiu o security group.

Depois de executar uma instância, você pode alterar seus security groups. Para obter mais informações, consulte Alterar os grupos de segurança de uma instância no Guia do usuário da Amazon VPC.