Amazon Virtual Private Cloud
Guia do usuário

Grupos de segurança para sua VPC

Um security group atua como um firewall virtual para sua instância para controlar o tráfego de entrada e saída. Quando você executa uma instância na VPC, é possível atribuir até cinco grupos de segurança à instância. Os grupos de segurança atuam no nível da instância e não no nível da sub-rede. Portanto, cada instância em uma sub-rede em sua VPC pode ser atribuída a um conjunto diferente de grupos de segurança. Se você não especificar um grupo específico no momento do inicialização, a instância será automaticamente atribuída ao security group padrão da VPC.

Para cada security group, adicione regras que controlam o tráfego de entrada para instâncias e um conjunto separado de regras que controlam o tráfego de saída. Esta seção descreve as informações básicas que você precisa saber sobre grupos de segurança para a VPC e suas regras.

Você pode configurar Network ACLs com regras semelhantes às dos grupos de segurança a fim de adicionar uma camada extra de segurança à sua VPC. Para obter mais informações sobre as diferenças entre grupos de segurança e Network ACLs, consulte Comparação entre grupos de segurança e Network ACLs.

Noções básicas do security group

Veja a seguir as características básicas dos grupos de segurança da sua VPC:

  • Você tem limites no número de grupos de segurança que pode criar por VPC, o número de regras que você pode adicionar a cada grupo de segurança e o número de grupos de segurança que você pode associar a uma interface de rede. Para obter mais informações, consulte Limites do Amazon VPC.

  • Você pode especificar regras de permissão, mas não regras de negação.

  • Você pode especificar regras separadas para o tráfego de entrada e de saída.

  • Quando você cria um security group, ele não possui regras de entrada. Portanto, nenhum tráfego de entrada originário de outro host para a instância será permitido até que você adicione regras de entrada ao security group.

  • Por padrão, um security group inclui uma regra de saída que permite todo o tráfego de saída. Você pode remover a regra e adicionar regras de saída que permitem somente tráfego de saída específico. Se o security group não tiver nenhuma regra de saída, nenhum tráfego de saída originário da instância será permitido.

  • Os grupos de segurança são stateful — se você enviar uma solicitação de sua instância, o tráfego da resposta dessa solicitação terá permissão para fluir, independentemente das regras de entrada do grupo de segurança. As respostas ao tráfego permitido de entrada são permitidas para fluir, independentemente das regras de saída.

    nota

    Alguns tipos de tráfego são rastreados de forma diferente dos outros. Para obter mais informações, consulte Acompanhamento da conexão no Guia do usuário do Amazon EC2 para instâncias do Linux.

  • As instâncias associadas a um security group não podem conversar entre si, a menos que você adicione regras que o permitam (exceção: o security group padrão tem essas regras por padrão).

  • Os grupos de segurança estão associados a interfaces de rede. Depois de iniciar uma instância, você pode alterar os grupos de segurança associados à instância, que altera os grupos de segurança associados à interface de rede primária (eth0). Você também pode alterar os grupos de segurança associados a qualquer outra interface de rede. Para obter mais informações sobre interfaces de rede, consulte Interfaces de rede elástica.

  • Ao criar um security group, você deve fornecer um nome e uma descrição. As seguintes regras se aplicam:

    • Os nomes e as descrições podem ter até 255 caracteres de comprimento.

    • Os nomes e as descrições são limitados aos seguintes caracteres: a-z, A-Z, 0-9, espaços e ._-:/()#,@[]+=&;{}!$*.

    • Um nome de security group não pode começar com sg-.

    • Um nome do security group deve ser exclusivo dentro da VPC.

Security group padrão para sua VPC

Sua VPC vem automaticamente com um security group padrão. Se você não especificar um grupo de segurança diferente ao executar a instância, associaremos o grupo de segurança padrão à instância.

nota

Se você executar uma instância no console do Amazon EC2, o assistente de execução de instância definirá automaticamente um grupo de segurança "launch-wizard-xx", que pode ser associado à instância em vez do grupo de segurança padrão.

A tabela a seguir descreve as regras padrão para um security group padrão.

Inbound
Source Protocol Port Range Comments

O ID do security group (sg-xxxxxxxx)

Tudo

Tudo

Permitir tráfego de entrada de instâncias atribuídas ao mesmo security group.

Outbound

Destination Protocol Port Range Comments

0.0.0.0/0

Tudo

Tudo

Permitir todo o tráfego IPv4 de saída.

::/0 Tudo Tudo Permitir todo o tráfego IPv6 de saída. Esta regra é adicionada por padrão se você criar uma VPC com um bloco CIDR IPv6 ou se você associar um bloco CIDR IPv6 a sua VPC existente.

Você pode alterar as regras do security group padrão.

Você não pode excluir um security group padrão. Se você tentar excluir o security group padrão de uma VPC, o seguinte erro será exibido: Client.CannotDelete: the specified group: "sg-51530134" name: "default" cannot be deleted by a user.

nota

Se você modificou as regras de saída do seu security group, não adicionaremos automaticamente uma regra de saída para o tráfego IPv6 quando você associar um bloco IPv6 a sua VPC.

Regras de grupos de segurança

Você pode adicionar ou remover regras de um security group (também conhecido como autorização ou revogação do acesso de entrada ou de saída). Uma regra aplica-se ao tráfego de entrada (ingresso) ou ao tráfego de saída (egresso). Você pode conceder acesso a um intervalo CIDR específico ou a outro security group em sua VPC ou em um par da VPC (requer uma conexão de emparelhamento de VPC).

A seguir estão as partes básicas de uma regra de security group em uma VPC:

  • (Regras de entrada somente) A origem do tráfego e a porta de destino ou o intervalo da porta. A origem pode ser outro security group, um bloco CIDR IPv4 ou IPv6 ou um único endereço IPv4 ou IPv6.

  • (Regras de saída somente) O destino do tráfego e a porta de destino ou o intervalo da porta. O destino pode ser outro grupo de segurança, um bloco CIDR IPv4 ou IPv6, um único endereço IPv4 ou IPv6 ou um ID da lista de prefixos (um serviço é identificado por uma lista de prefixos – o nome e o ID de um serviço para uma região).

  • Qualquer protocolo que tem um número de protocolo padrão (para obter uma lista, consulte Números de protocolo). Se você especificar o ICMP como protocolo, poderá especificar qualquer ou todos os tipos e códigos ICMP.

  • Uma descrição opcional para a regra do security group para ajudar a identificá-lo posteriormente. Uma descrição pode ser até 255 caracteres de comprimento. Os caracteres permitidos são a-z, A-Z, 0-9, espaços e ._-:/()#,@[]+=;{}!$*.

Quando você especifica um bloco CIDR como a origem de uma regra, o tráfego dos endereços especificados para o protocolo e a porta especificados é habilitado. Quando você especifica um security group como a origem de uma regra, o tráfego das interfaces de rede elástica (ENIs) para instâncias associadas ao security group de origem para o protocolo e a porta especificados é habilitado. Adicionar um security group como origem não adiciona regras nesse security group de origem.

Se você especificar um único endereço IPv4, especifique-o usando o comprimento de prefixo /32. Se você especificar um único endereço IPv6, especifique-o usando o comprimento de prefixo /128.

Alguns sistemas para configurar firewalls permitem que você filtre nas portas de origem. Os grupos de segurança permitem que você filtre apenas nas portas de destino.

Quando você adiciona ou remove regras, elas são aplicadas automaticamente a todas as instâncias associadas ao security group.

O tipo de regra que você adicionar pode depender da finalidade da instância. A seguinte tabela descreve regras de exemplo de um security group para servidores Web. Os servidores Web podem receber tráfego HTTP e HTTPS de todos os endereços IPv4 e IPv6 e enviar tráfego SQL ou MySQL para um servidor de banco de dados.

Inbound
Source Protocol Port Range Comments

0.0.0.0/0

TCP

80

Permitir acesso HTTP de entrada de todos os endereços IPv4

::/0 TCP 80 Permitir acesso HTTP de entrada de todos os endereços IPv6

0.0.0.0/0

TCP

443

Permitir acesso HTTPS de entrada de todos os endereços IPv4

::/0 TCP 443 Permitir acesso HTTPS de entrada de todos os endereços IPv6

O alcance do endereço IPv4 público da sua rede

TCP

22

Permitir acesso SSH de entrada para instâncias Linux a partir de endereços IP IPv4 na sua rede (pelo Gateway da Internet)

O alcance do endereço IPv4 público da sua rede

TCP

3389

Permitir acesso de entrada ao RDP para instâncias Windows a partir de endereços IP IPv4 na sua rede (pelo Gateway da Internet)

Outbound

Destination Protocol Port Range Comments

O ID do grupo de segurança dos servidores de banco de dados do Microsoft SQL Server

TCP

1433

Permitir o acesso do Microsoft SQL Server de saída a instâncias no security group especificado

O ID do security group para seus servidores de banco de dados MySQL

TCP

3306

Permitir acesso MySQL de saída a instâncias no security group especificado

Um servidor de banco de dados precisaria de um conjunto diferente de regras; por exemplo, em vez do tráfego de entrada HTTP e HTTPS, você pode adicionar uma regra que permita o acesso de entrada do MySQL ou do Microsoft SQL Server. Para obter um exemplo de regras de grupo de segurança para servidores web e servidores de banco de dados, consulte Segurança. Para obter mais informações sobre grupos de segurança para instâncias de banco de dados do Amazon RDS, consulte Controlar acesso com grupos de segurança no Guia do usuário da Amazon RDS.

Para obter exemplos de regras de grupos de segurança para tipos de acessos específicos, consulte Referência de regras de grupos de segurança no Guia do usuário do Amazon EC2 para instâncias do Linux.

Regras de grupo de segurança obsoletas

Se a VPC tiver uma conexão de emparelhamento de VPC com outra VPC, uma regra do security group pode fazer referência a outro security group no par da VPC. Isso permite que as instâncias associadas ao security group especificado acessem instâncias associadas ao security group especificado.

Se o proprietário do par da VPC excluir o security group especificado ou se você ou o proprietário do par da VPC excluir a conexão de emparelhamento de VPC, a regra do security group será marcada como stale. Você pode excluir regras de security group obsoletas, como faria com qualquer outra regra do security group.

Para obter mais informações, consulte Trabalhar com grupos de segurança obsoletos no Amazon VPC Peering Guide.

Diferenças entre grupos de segurança para EC2-Classic e EC2-VPC

Você não pode usar os grupos de segurança criados no EC2-Classic com instâncias em sua VPC. É necessário criar grupos de segurança específicos para as instâncias da VPC. As regras criadas para o security group de uma VPC não podem fazer referência a um security group do EC2-Classic e vice-versa. Para obter mais informações sobre as diferenças entre os grupos de segurança a serem usados com o EC2-Classic e aqueles a serem usados com uma VPC, consulte Diferenças entre EC2-Classic e VPC no Guia do usuário do Amazon EC2 para instâncias do Linux.

Como trabalhar com grupos de segurança

As tarefas a seguir mostram como utilizar grupos de segurança por meio do console da Amazon VPC.

Modificação do security group padrão

Sua VPC é fornecida com um grupo de segurança padrão. Você não pode excluir este grupo. No entanto, você pode alterar as regras do grupo. O procedimento é o mesmo da modificação de qualquer outro security group. Para obter mais informações, consulte Adicionar, remover e atualizar regras.

Criar um grupo de segurança

Embora você possa usar o security group padrão para suas instâncias, é possível criar seus próprios grupos para refletir as diferentes funções que as instâncias desempenham no seu sistema.

Para criar um security group usando o console

  1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Security Groups (Grupos de segurança).

  3. Escolha Create Security Group.

  4. Digite um nome do security group (por exemplo, my-security-group) e forneça uma descrição. Selecione o ID de sua VPC no menu VPC e escolha Yes, Create.

Para criar um security group usando a linha de comando

Descrever um ou mais grupos de segurança usando a linha de comando

Por padrão, novos grupos de segurança começam com apenas uma regra de saída que permite que todo o tráfego deixe as instâncias. Você deve adicionar regras para permitir qualquer tráfego de entrada ou para restringir o tráfego de saída.

Adicionar, remover e atualizar regras

Quando você adicionar ou remover regras, quaisquer instâncias já atribuídas ao security group estarão sujeitas à alteração.

Se você tiver uma conexão de emparelhamento de VPC, você pode fazer referência a grupos de segurança de par da VPC como origem ou destino nas regras do seu security group. Para obter mais informações, consulte Atualizar seus grupos de segurança para referenciar grupos de segurança na VPC emparelhada no Amazon VPC Peering Guide.

Para adicionar uma regra usando o console

  1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Security Groups (Grupos de segurança).

  3. Selecione o security group para atualizar.

  4. Selecione Actions (Ações), Edit inbound rules (Editar regras de entrada) ou Actions (Ações), Edit outbound rules (Editar regras de saída).

  5. Para Type (Tipo), selecione o tipo de tráfego e preencha as informações exigidas. Por exemplo, para um servidor Web público, selecione HTTP ou HTTPS e especifique um valor para a Source como 0.0.0.0/0.

    nota

    Se você usar 0.0.0.0/0, permitirá que todos os endereços IPv4 acessem sua instância usando HTTP ou HTTPS. Para restringir o acesso, insira um endereço IP específico ou um intervalo de endereços.

  6. Você também pode permitir a comunicação entre todas as instâncias associadas a este grupo de segurança. Crie uma regra de entrada com as seguintes opções:

    • Type (Tipo): All Traffic (Todo o tráfego)

    • Source (Origem): insira o ID do grupo de segurança.

  7. Selecione Save rules (Salvar regras).

Para excluir uma regra usando o console

  1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Security Groups (Grupos de segurança).

  3. Selecione o security group para atualizar.

  4. Selecione Actions (Ações), Edit inbound rules (Editar regras de entrada) ou Actions (Ações), Edit outbound rules (Editar regras de saída).

  5. Selecione o botão de exclusão ("x") à direta da regra que deseja excluir.

  6. Selecione Save rules (Salvar regras).

Quando você modifica o protocolo, o intervalo de portas ou a origem ou o destino de um security group existente usando o console, o console exclui a regra existente e adiciona uma nova para você.

Para atualizar uma regra usando o console

  1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Grupos de segurança.

  3. Selecione o security group para atualizar.

  4. Selecione Actions (Ações), Edit inbound rules (Editar regras de entrada) ou Actions (Ações), Edit outbound rules (Editar regras de saída).

  5. Modifique entrada de regra conforme necessário.

  6. Selecione Save rules (Salvar regras).

Para atualizar o protocolo, o intervalo de portas ou a origem ou o destino de uma regra existente usando a API do Amazon EC2 ou uma ferramenta de linha de comando, não é possível modificar a regra. Em vez disso, você deve excluir a regra existente e adicionar uma regra nova. Para atualizar apenas a descrição da regra, você pode usar os comandos update-security-group-rule-descriptions-ingress e update-security-group-rule-descriptions-egress.

Para adicionar uma regra a um security group usando a linha de comando

Para excluir uma regra de um security group usando a linha de comando

Para atualizar a descrição da regra de um security group usando a linha de comando

Alteração dos grupos de segurança de uma Instância

Após iniciar uma instância em uma VPC, você pode alterar os grupos de segurança associados à instância. Você pode alterar os grupos de segurança para uma instância quando a instância está no estado running ou stopped.

nota

Este procedimento altera os grupos de segurança associados à interface de rede primária (eth0) da instância. Para alterar os grupos de segurança de outra interface de rede, consulte Alteração do security group de uma interface de rede.

Para alterar os grupos de segurança de uma instância usando o console

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Instances (Instâncias).

  3. Abra o menu de contexto (clique com o botão direito do mouse) da instância e escolha Redes, Change Security Groups.

  4. Na caixa de diálogo Change Security Groups (Alterar grupo de segurança), selecione um ou mais grupos de segurança da lista e selecione Assign Security Groups (Atribuir grupos de segurança).

Para alterar os grupos de segurança de uma instância usando a linha de comando

Excluir um grupo de segurança

Você pode excluir um security group somente se não houver instâncias atribuídas (executadas ou interrompidas). Você pode atribuir as instâncias a outro security group antes de excluir o security group (consulte Alteração dos grupos de segurança de uma Instância). Você não pode excluir um security group padrão.

Se você estiver usando o console, pode excluir mais de um security group por vez. Se você estiver usando a linha de comando ou a API, pode excluir apenas um security group por vez.

Para excluir um security group usando o console

  1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Grupos de segurança.

  3. Selecione um ou mais grupos de segurança e escolha Ações do security group, Excluir security group.

  4. Na caixa de diálogo Delete Security Group, selecione Sim, excluir.

Para excluir um security group usando a linha de comando

Exclusão do security group 2009-07-15-default

Qualquer VPC criada usando uma versão da API depois de 2011-01-01 tem o security group 2009-07-15-default. Este security group existe, além do security group default regular que vem com cada VPC. Você não pode anexar um Gateway da Internet a uma VPC que tenha o security group 2009-07-15-default. Portanto, você deve excluir este security group antes de poder anexar um Gateway da Internet à VPC.

nota

Se você atribuiu este security group a quaisquer instâncias, você deve atribuir essas instâncias a um security group diferente antes de excluir o security group.

Para excluir o security group 2009-07-15-default

  1. Certifique-se de que este security group não foi atribuído a nenhuma instância.

    1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

    2. No painel de navegação, selecione Network Interfaces.

    3. Selecione a interface de rede para a instância da lista e selecione Change Security Groups, Actions.

    4. Na caixa de diálogo Change Security Groups, selecione um novo security group da lista e selecione Save.

      nota

      Ao alterar o security group de uma instância, você pode selecionar vários grupos da lista. Os grupos de segurança que você seleciona substituem os security groups atuais da instância.

    5. Repita as etapas do procedimento para cada instância.

  2. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.

  3. No painel de navegação, selecione Grupos de segurança.

  4. Escolha o security group 2009-07-15-default e escolha Security Group Actions (Ações de security group), Delete Security Group (Excluir security group).

  5. Na caixa de diálogo Delete Security Group, selecione Sim, excluir.