Grupos de segurança do Amazon EC2 para as instâncias do EC2

Um grupo de segurança atua como firewall virtual para as instâncias do EC2 visando controlar o tráfego de entrada e de saída. As regras de entrada controlam o tráfego de entrada para a instância e as regras de saída controlam o tráfego de saída da instância. Ao executar sua instância, é possível especificar um ou mais grupos de segurança. Se você não especificar um grupo de segurança, o Amazon EC2 usará o grupo de segurança padrão para a VPC. Depois de executar uma instância, é possível alterar seus grupos de segurança.

A segurança é uma responsabilidade compartilhada entre a AWS e você. Para obter mais informações, consulte Segurança no Amazon EC2. A AWS fornece grupos de segurança como uma das ferramentas para proteger as instâncias, e você precisa configurá-los para atender às suas necessidades de segurança. Se houver requisitos que não sejam totalmente atendidos pelos grupos de segurança, é possível manter seu próprio firewall em qualquer uma das instâncias além de usar grupos de segurança.

Preços

Não há cobrança adicional pelo uso de grupos de segurança.

Conteúdo

• Visão geral

• Criar um grupo de segurança para a instância do Amazon EC2

• Alterar os grupos de segurança da instância do Amazon EC2

• Excluir um grupo de segurança do Amazon EC2

• Rastreamento de conexão de grupo de segurança do Amazon EC2

• Regras de grupo de segurança para diferentes casos de uso

Visão geral

Um grupo de segurança só pode ser usado na VPC na qual ele é criado. Você pode associar cada instância a vários grupos de segurança e associar cada grupo de segurança a várias instâncias. Você adiciona regras a cada security group que permite tráfego de entrada ou de saída das instâncias associadas. É possível modificar as regras de um grupo de segurança a qualquer momento. As regras novas e modificadas são aplicadas automaticamente para todas as instâncias que estão associados ao grupo de segurança. Quando o Amazon EC2 decide se deve permitir que o tráfego atinja uma instância, ele avalia todas as regras de todos os grupos de segurança associados à instância. Para ter mais informações, consulte Security group rules no Guia do usuário da Amazon VPC.

O diagrama a seguir mostra uma VPC com uma sub-rede, um gateway da Internet e um grupo de segurança. A sub-rede contém instâncias do EC2. O grupo de segurança está associado às instâncias. O único tráfego que chega à instância é aquele permitido pelas regras do grupo de segurança. Por exemplo, se o grupo de segurança contiver uma regra que permita o tráfego SSH da rede, você poderá realizar a conexão com a instância com o computador ao usar SSH. Se o grupo de segurança contiver uma regra que permita todo o tráfego dos recursos associados a ele, cada instância poderá receber qualquer tráfego enviado das outras instâncias.

Os grupos de segurança são stateful — se você enviar uma solicitação da instância, o tráfego da resposta dessa solicitação terá permissão para fluir, independentemente das regras de entrada do grupo de segurança. Além disso, as respostas ao tráfego de entrada autorizado são permitidas para fluir, independentemente das regras de saída. Para obter mais informações, consulte Acompanhamento da conexão.