Regras de grupos de segurança

As regras de um grupo de segurança controlam o tráfego de entrada que tem permissão para atingir as instâncias associadas ao grupo de segurança. As regras também controlam o tráfego de saída que pode deixá-los.

As seguintes são as características das regras de grupos de segurança:

Por padrão, um grupo de segurança inclui uma regra de saída que permite todo o tráfego de saída. Você pode excluir essas funções. Observe que o Amazon EC2 bloqueia o tráfego na porta 25 por padrão. Para obter mais informações, consulte Restrição para e-mails enviados usando a porta 25.
As regras do grupo de segurança sempre são permissivas. Você não pode criar regras que negam o acesso.
As regras do grupo de segurança permitem filtrar o tráfego com base em protocolos e números de porta.
Os grupos de segurança são stateful — se você enviar uma solicitação da instância, o tráfego da resposta dessa solicitação terá permissão para fluir, independentemente das regras de entrada do grupo de segurança. Para grupos de segurança da VPC, isso também significa que as respostas permitidas para o tráfego de entrada são permitidas para saída, independentemente das regras de saída. Para obter mais informações, consulte Rastreamento de conexão do grupo de segurança.
É possível adicionar e remover regras a qualquer momento. As novas regras são aplicadas automaticamente a todas as instâncias associadas ao grupo de segurança.

O efeito de algumas alterações nas regras pode depender de como o tráfego é acompanhado. Para obter mais informações, consulte Rastreamento de conexão do grupo de segurança.
Quando você associa vários grupos de segurança a uma instância, as regras de cada security group são efetivamente agregadas para criar um conjunto de regras. O Amazon EC2 usa esse conjunto de regras para determinar se deve permitir acesso.

É possível atribuir vários grupos de segurança a uma instância. Portanto, uma instância pode ter centenas de regras aplicáveis. Isso pode causar problemas quando você acessar a instância. Recomendamos que você condense suas regras o máximo possível.

nota

Os grupos de segurança não podem bloquear solicitações de DNS de ou para o Route 53 Resolver, às vezes chamadas de “endereço IP VPC+2” (consulte O que é o Amazon Route 53 Resolver? no Guia do desenvolvedor do Amazon Route 53) ou o “AmazonProvidedDNS” (consulte Trabalhar com conjuntos de opções de DHCP no Guia do usuário do Amazon Virtual Private Cloud). Se você quiser filtrar solicitações de DNS por meio do Route 53 Resolver, é possível habilitar o Route 53 Resolver DNS Firewall (consulte Route 53 Resolver DNS Firewall no Guia do desenvolvedor do Amazon Route 53).

Para cada regra, especifique o seguinte:

Nome: o nome do grupo de segurança (por exemplo, “meu-grupo-de-segurança”).

Esse nome pode ter até 255 caracteres. Os caracteres permitidos são a-z, A-Z, 0-9, espaços e ._-:/()#,@[]+=;{}!$*. Quando o nome contém espaços finais, cortamos os espaços ao salvá-lo. Por exemplo, se você inserir “Testar grupo de segurança " para o nome, nós o armazenaremos como “Testar grupo de segurança”.
Protocolo: o protocolo a permitir. Os protocolos mais comuns são 6 (TCP), 17 (UDP) e 1 (ICMP).
Intervalo de portas: para TCP, UDP ou um protocolo personalizado, o intervalo de portas a ser permitido. É possível especificar um único número de porta (por exemplo, 22) ou um intervalo de números de portas (por exemplo, 7000-8000).
Tipo e código do ICMP: para o ICMP, o tipo e o código do ICMP. Por exemplo, use o tipo 8 para solicitação de eco ICMP ou digite 128 para solicitação de eco ICMPv6.
Origem ou destino: a origem (regras de entrada) ou o destino (regras de saída) para permitir o tráfego. Especifique um dos seguintes:
- Um endereço IPv4 único. Use o comprimento de prefixo /32. Por exemplo, 203.0.113.1/32.
- Um endereço IPv6 único. Use o comprimento de prefixo /128. Por exemplo, 2001:db8:1234:1a00::123/128.
- Um intervalo de endereços IPv4, em notação de bloco CIDR. Por exemplo, 203.0.113.0/24.
- Um intervalo de endereços IPv6, em notação de bloco CIDR. Por exemplo, 2001:db8:1234:1a00::/64.
- O ID de uma lista de prefixos. Por exemplo, pl-1234abc1234abc123. Para obter mais informações, consulte Listas de prefixos no Guia do usuário da Amazon VPC.
- O ID de um grupo de segurança (referido aqui como grupo de segurança especificado). Por exemplo, o grupo de segurança atual, um grupo de segurança da mesma VPC ou um grupo de segurança para uma VPC emparelhada. Isso permite o tráfego com base nos endereços IP privados dos recursos associados ao grupo de segurança especificado. Isso não adiciona regras do grupo de segurança especificado a esse grupo de segurança.
(Opcional) Descrição: é possível adicionar uma descrição à regra, que pode ajudá-lo a identificá-la posteriormente. Uma descrição pode ser até 255 caracteres de comprimento. Os caracteres permitidos são a-z, A-Z, 0-9, espaços e ._-:/()#,@[]+=;{}!$*.

Quando você cria uma regra para o grupo de segurança, a AWS atribui um ID exclusivo à regra. É possível usar o ID de uma regra ao usar a API ou a CLI para modificar ou excluir a regra.

Quando você especifica um grupo de segurança como a origem ou o destino de uma regra, a regra afeta todas as instâncias associadas ao grupo de segurança. O tráfego de entrada é permitido com base nos endereços IP privados das instâncias associadas ao grupo de segurança de origem (e não aos endereços IP público ou IP elástico). Para obter mais informações sobre endereços IP, consulte Endereçamento IP de instâncias do Amazon EC2. Se a sua regra de grupo de segurança referenciar um grupo de segurança excluído na mesma VPC ou em uma VPC par, ou se ela referenciar um grupo de segurança em uma VPC par em que a conexão de emparelhamento da VPC tenha sido excluída, a regra será marcada como obsoleta. Para obter mais informações, consulte Como trabalhar com regras de grupos de segurança obsoletas no Amazon VPC Peering Guide.

Se houver mais de uma regra para uma porta específica, o Amazon EC2 aplicará a regra mais permissiva. Por exemplo, se você tiver uma regra que permite o acesso à porta TCP 22 (SSH) do endereço IP 203.0.113.1, e outra regra que permite o acesso à porta TCP 22 para todos, então todos terão acesso à porta TCP 22.

Quando você adiciona, atualiza ou remove regras, elas são aplicadas automaticamente a todas as instâncias associadas ao grupo de segurança.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Grupos de segurança

Acompanhamento da conexão