Regras de grupo de segurança para diferentes casos de uso
É possível criar um grupo de segurança e adicionar regras que reflitam a função da instância associada ao grupo de segurança. Por exemplo, uma instância configurada como servidor Web precisa de regras de grupo de segurança que permitam acesso HTTP e HTTPS de entrada. Da mesma forma, uma instância de banco de dados precisa de regras que permitam o acesso para o tipo de banco de dados, como acesso pela porta 3306 para MySQL.
Os seguintes são exemplos de tipos de regras que é possível adicionar aos grupos de segurança para tipos específicos de acesso.
Exemplos
- Regras do servidor da Web
- Regras do servidor de banco de dados
- Regras para se conectar a instâncias pelo computador
- Regras para se conectar a instâncias por uma instâncias com o mesmo grupo de segurança
- Regras de ping/ICMP
- Regras do servidor DNS
- Regras do Amazon EFS
- Regras do Elastic Load Balancing
- Regras de emparelhamento de VPC
Regras do servidor da Web
As seguintes regras de entrada permitem acesso HTTP e HTTPS de qualquer endereço IP. Se a VPC estiver habilitada para IPv6, será possível adicionar regras para controlar o tráfego de entrada HTTP e HTTPS em endereços IPv6.
| Tipo de protocolo | Número do protocolo | Porta | IP de origem | Observações |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Permite acesso HTTP de entrada em qualquer endereço IPv4 |
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Permite acesso HTTPS de entrada em qualquer endereço IPv4 |
| TCP | 6 | 80 (HTTP) | ::/0 | Permite acesso HTTP de entrada em qualquer endereço IPv6 |
| TCP | 6 | 443 (HTTPS) | ::/0 | Permite acesso HTTPS de entrada em qualquer endereço IPv6 |
Regras do servidor de banco de dados
As seguintes regras de entrada são exemplos de regras que é possível adicionar para acesso ao banco de dados, dependendo do tipo de banco de dados que você está executando na instância. Para obter mais informações sobre instâncias do Amazon RDS, consulte o Manual do usuário do Amazon RDS.
Para o IP de origem, especifique um dos seguintes:
-
Um endereço IP específico ou um intervalo de endereços IP (na notação de bloco CIDR) em sua rede local
-
Um ID de grupo de segurança para um grupo de instâncias que acessa o banco de dados
| Tipo de protocolo | Número do protocolo | Porta | Observações |
|---|---|---|---|
| TCP | 6 | 1433 (MS SQL) | A porta padrão para acessar um banco de dados Microsoft SQL Server, por exemplo, em uma instância do Amazon RDS |
| TCP | 6 | 3306 (MYSQL/Aurora) | A porta padrão para acessar um banco de dados MySQL ou Aurora, por exemplo, em uma instância do Amazon RDS |
| TCP | 6 | 5439 (Redshift) | A porta padrão para acessar um banco de dados de cluster do Amazon Redshift. |
| TCP | 6 | 5432 (PostgreSQL) | A porta padrão para acessar um banco de dados PostgreSQL, por exemplo, em uma instância do Amazon RDS |
| TCP | 6 | 1521 (Oracle) | A porta padrão para acessar um banco de dados Oracle, por exemplo, em uma instância do Amazon RDS |
Também é possível restringir o tráfego de saída de seus servidores de banco de dados. Por exemplo, talvez você queira permitir o acesso à Internet para atualizações de software, mas restringir todos os outros tipos de tráfego. Primeiro, remova a regra de saída padrão que permite todo o tráfego de saída.
| Tipo de protocolo | Número do protocolo | Porta | IP de destino | Observações |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Permite acesso HTTP de saída a qualquer endereço IPv4 |
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Permite acesso HTTPS de saída a qualquer endereço IPv4 |
| TCP | 6 | 80 (HTTP) | ::/0 | (VPC habilitada para IPv6 somente) Permite acesso de saída HTTP a qualquer endereço IPv6 |
| TCP | 6 | 443 (HTTPS) | ::/0 | (VPC habilitada para IPv6 somente) Permite acesso de saída HTTPS a qualquer endereço IPv6 |
Regras para se conectar a instâncias pelo computador
Para se conectar à instância, seu grupo de segurança deve ter regras de entrada que permitam acesso SSH (para instâncias do Linux) ou acesso RDP (para instâncias do Windows).
| Tipo de protocolo | Número do protocolo | Porta | IP de origem |
|---|---|---|---|
| TCP | 6 | 22 (SSH) | O endereço IPv4 público de seu computador ou um intervalo de endereços IP na rede local. Se a VPC estiver habilitada para IPv6 e sua instância tiver um endereço IPv6, será possível digitar um endereço IPv6 ou um intervalo. |
| TCP | 6 | 3389 (RDP) | O endereço IPv4 público de seu computador ou um intervalo de endereços IP na rede local. Se a VPC estiver habilitada para IPv6 e sua instância tiver um endereço IPv6, será possível digitar um endereço IPv6 ou um intervalo. |
Regras para se conectar a instâncias por uma instâncias com o mesmo grupo de segurança
Para permitir que as instâncias associadas ao mesmo grupo de segurança se comuniquem entre si, adicione regras explícitas para isso.
nota
Se você configurar rotas para encaminhar o tráfego entre duas instâncias em sub-redes diferentes por meio de um dispositivo middlebox, deverá garantir que os grupos de segurança de ambas as instâncias permitam o fluxo de tráfego entre as instâncias. O grupo de segurança para cada instância deve fazer referência ao endereço IP privado da outra instância ou ao intervalo CIDR da sub-rede que contém a outra instância, como a origem. Se você fizer referência ao grupo de segurança da outra instância como a origem, isso não permitirá que o tráfego flua entre as instâncias.
A tabela a seguir descreve a regra de entrada para um grupo de segurança que permite que as instâncias associadas se comuniquem entre si. A regra permite todos os tipos de tráfego.
| Tipo de protocolo | Número do protocolo | Portas | IP de origem |
|---|---|---|---|
| -1 (todos) | -1 (todos) | -1 (todos) | O ID do grupo de segurança ou o intervalo CIDR da sub-rede que contém a outra instância (consulte a observação). |
Regras de ping/ICMP
O comando ping é um tipo de tráfego ICMP. Para emitir um ping para a instância,você deve adicionar uma das seguintes regras de entrada ICMP.
| Tipo | Protocolo | Origem |
|---|---|---|
| ICMP personalizado: IPv4 | Solicitação de eco | O endereço IPv4 público do computador, um endereço IPv4 específico ou um endereço IPv4 ou IPv6 de qualquer lugar. |
| Todos os ICMP - IPv4 | ICMP IPv4 (1) | O endereço IPv4 público do computador, um endereço IPv4 específico ou um endereço IPv4 ou IPv6 de qualquer lugar. |
Para usar o comando ping6 para fazer ping no endereço IPv6 da instância, adicione a seguinte regra ICMPv6 de entrada.
| Tipo | Protocolo | Origem |
|---|---|---|
| Todos os ICMP: IPv6 | ICMP Pv6 (58) | O endereço IPv6 do computador, um endereço IPv4 específico ou um endereço IPv4 ou IPv6 de qualquer lugar. |
Regras do servidor DNS
Se tiver configurado a instância do EC2 como um servidor DNS, você deverá garantir que o tráfego TCP e UDP possa atingir seu servidor DNS pela porta 53.
Para o IP de origem, especifique um dos seguintes:
-
Um endereço IP ou um intervalo de endereços IP (na notação de bloco CIDR) em uma rede
-
O ID de um grupo de segurança de um conjunto de instâncias na rede que requer acesso ao servidor DNS
| Tipo de protocolo | Número do protocolo | Porta |
|---|---|---|
| TCP | 6 | 53 |
| UDP | 17 | 53 |
Regras do Amazon EFS
Se estiver usando um sistema de arquivos do Amazon EFS com instâncias do Amazon EC2, o grupo de segurança que você associa a seus destinos de montagem do Amazon EFS deve permitir tráfego por meio do protocolo NFS.
| Tipo de protocolo | Número do protocolo | Portas | IP de origem | Observações |
|---|---|---|---|---|
| TCP | 6 | 2049 (NFS) | O ID do grupo de segurança | Permite acesso NFS de entrada de recursos (incluindo o destino de montagem) associados a esse grupo de segurança |
Para montar um sistema de arquivos do Amazon EFS na instância do Amazon EC2, conecte-se à instância. Portanto, o grupo de segurança associado à instância deve ter regras que permitam SSH de entrada do computador local ou da rede local.
| Tipo de protocolo | Número do protocolo | Portas | IP de origem | Observações |
|---|---|---|---|---|
| TCP | 6 | 22 (SSH) | O intervalo de endereços IP do computador local ou o intervalo de endereços IP (na notação de bloco CIDR) da rede. | Permite acesso SSH de entrada no computador local. |
Regras do Elastic Load Balancing
Se você estiver usando um load balancer, o grupo de segurança associado ao load balancer deve ter regras que permitam comunicação com suas instâncias ou destinos. Para obter mais informações, consulte Configurar grupos de segurança para o Classic Load Balancer em Guia do usuário para Classic Load Balancers e Grupos de segurança para o Application Load Balancer no Guia do usuário para Application Load Balancers.
Regras de emparelhamento de VPC
É possível atualizar as regras de entrada e saída dos grupos de segurança de VPC para referenciar grupos de segurança na VPC emparelhada. Fazendo isso, você permite que o tráfego flua entre as instâncias associadas com o grupo de segurança referenciado na VPC emparelhada. Para obter mais informações sobre como configurar grupos de segurança para emparelhamento de VPC, consulte Atualizar os grupos de segurança para referenciar grupos de VPC de mesmo nível.
