Grupos de segurança para a VPC - Amazon Virtual Private Cloud

Grupos de segurança para a VPC

Um security group atua como um firewall virtual para sua instância para controlar o tráfego de entrada e saída. Quando você executa uma instância na VPC, é possível atribuir até cinco grupos de segurança à instância. Os grupos de segurança atuam no nível da instância e não no nível da sub-rede. Portanto, cada instância em uma sub-rede em sua VPC pode ser atribuída a um conjunto diferente de grupos de segurança.

Se você executar uma instância usando a API do Amazon EC2 ou uma ferramenta da linha de comando e não especificar um grupo de segurança, a instância será atribuída automaticamente ao grupo de segurança padrão da VPC. Se você executar uma instância usando o console do Amazon EC2, terá a opção de criar um grupo de segurança para a instância.

Para cada security group, adicione regras que controlam o tráfego de entrada para instâncias e um conjunto separado de regras que controlam o tráfego de saída. Esta seção descreve as informações básicas que você precisa saber sobre grupos de segurança para a VPC e suas regras.

Você pode configurar Network ACLs com regras semelhantes às dos grupos de segurança a fim de adicionar uma camada extra de segurança à sua VPC. Para obter mais informações sobre as diferenças entre security groups e Network ACLs, consulte Compare grupos de segurança e network ACLs..

Noções básicas do grupo de segurança

As características dos grupos de segurança são:

  • Você pode especificar regras de permissão, mas não regras de negação.

  • Você pode especificar regras separadas para o tráfego de entrada e de saída.

  • As regras do grupo de segurança permitem filtrar o tráfego com base em protocolos e números de porta.

  • Os grupos de segurança são do tipo com estado: se você enviar uma solicitação da instância, o tráfego da resposta dessa solicitação terá permissão para fluir, independentemente das regras de entrada do grupo de segurança. As respostas ao tráfego permitido de entrada são permitidas para fluir, independentemente das regras de saída.

    nota

    Alguns tipos de tráfego são rastreados de forma diferente de outros. Para obter mais informações, consulte Rastreamento de conexões no Manual do usuário do Amazon EC2 para instâncias do Linux.

  • Quando você cria um grupo de segurança, ele não possui regras de entrada. Portanto, nenhum tráfego de entrada originário de outro host para a instância será permitido até que você adicione regras de entrada ao security group.

  • Por padrão, um security group inclui uma regra de saída que permite todo o tráfego de saída. Você pode remover a regra e adicionar regras de saída que permitem somente tráfego de saída específico. Se o security group não tiver nenhuma regra de saída, nenhum tráfego de saída originário da instância será permitido.

  • Existem cotas no número de grupos de segurança que podem ser criados por VPC, o número de regras que podem ser adicionadas a cada grupo de segurança e o número de grupos de segurança que podem ser associadas a uma interface de rede. Para obter mais informações, consulte Cotas da Amazon VPC.

  • As instâncias associadas a um grupo de segurança não podem se comunicar entre elas, a menos que você adicione regras que permitam a comunicação (exceção: o grupo de segurança padrão já tem essas regras).

  • Os security groups estão associados a interfaces de rede. Depois de iniciar uma instância, você pode alterar os grupos de segurança associados à instância, o que altera os grupos de segurança associados à interface de rede principal (eth0). Também é possível especificar ou alterar os grupos de segurança associados a qualquer outra interface de rede. Por padrão, quando você cria uma interface de rede, ela é associada ao grupo de segurança padrão da VPC, a menos que você especifique outro grupo de segurança. Para obter mais informações sobre interfaces de rede, consulte Interfaces de rede elástica.

  • Ao criar um security group, você deve fornecer um nome e uma descrição. As seguintes regras se aplicam:

    • Os nomes e as descrições podem ter até 255 caracteres de comprimento.

    • Os nomes e as descrições são limitados aos seguintes caracteres: a-z, A-Z, 0-9, espaços e ._-:/()#,@[]+=&;{}!$*.

    • Quando o nome termina com espaços, cortamos os espaços existentes no final do nome. Por exemplo, se você inserir “Testar grupo de segurança " para o nome, nós o armazenaremos como “Testar grupo de segurança”.

    • Um nome de grupo de segurança não pode começar com sg-, pois esse prefixo indica um grupo de segurança padrão.

    • O nome do grupo de segurança deve ser exclusivo dentro da VPC.

  • Um grupo de segurança só poderá ser usado na VPC especificada quando você criá-lo.

Grupo de segurança padrão para a VPC

Sua VPC vem automaticamente com um grupo de segurança padrão. Se você não especificar um grupo de segurança diferente ao executar a instância, associaremos o grupo de segurança padrão à instância.

nota

Se você executar uma instância no console do Amazon EC2, o assistente de execução de instância definirá automaticamente um grupo de segurança "launch-wizard-xx", que pode ser associado à instância em vez do grupo de segurança padrão.

A tabela a seguir descreve as regras padrão para um security group padrão.

Inbound
Origem Protocolo Intervalo de portas Descrição

O ID do security group (sg-xxxxxxxx)

Tudo

Tudo

Permitir tráfego de entrada de interfaces de rede (e suas instâncias associadas) atribuídas ao mesmo grupo de segurança.

Outbound

Destino Protocolo Intervalo de portas Descrição

0.0.0.0/0

Tudo

Tudo

Permitir todo o tráfego IPv4 de saída.

::/0 All All Allow all outbound IPv6 traffic. This rule is added by default if you create a VPC with an IPv6 CIDR block or if you associate an IPv6 CIDR block with your existing VPC.

Você pode alterar as regras do security group padrão.

Você não pode excluir um security group padrão. Se você tentar excluir o grupo de segurança padrão, o seguinte erro será exibido: Client.CannotDelete: the specified group: "sg-51530134" name: "default" cannot be deleted by a user.

Se você modificou as regras de saída do seu security group, não adicionaremos automaticamente uma regra de saída para o tráfego IPv6 quando você associar um bloco IPv6 a sua VPC.

Regras de grupos de segurança

Você pode adicionar ou remover regras de um security group (também conhecido como autorização ou revogação do acesso de entrada ou de saída). Uma regra aplica-se ao tráfego de entrada (ingresso) ou ao tráfego de saída (egresso). Você pode conceder acesso a um intervalo CIDR específico ou a outro security group em sua VPC ou em um par da VPC (requer uma conexão de emparelhamento de VPC).

As regras de um grupo de segurança controlam o tráfego de entrada que tem permissão para atingir as instâncias associadas ao grupo de segurança. As regras também controlam o tráfego de saída que pode deixá-los.

As seguintes são as características das regras de security groups:

  • Por padrão, os security groups permitem todo o tráfego de saída.

  • As regras do security group sempre são permissivas. Você não pode criar regras que negam o acesso.

  • As regras do grupo de segurança permitem filtrar o tráfego com base em protocolos e números de porta.

  • Os grupos de segurança são com estado: se você enviar uma solicitação da instância, o tráfego da resposta dessa solicitação terá permissão para fluir, independentemente das regras de entrada. Isso também significa que as respostas permitidas para o tráfego de entrada são permitidas para saída, independentemente das regras de saída.

  • Você pode adicionar e remover regras a qualquer momento. As novas regras são aplicadas automaticamente a todas as instâncias associadas ao grupo de segurança.

    O efeito de algumas alterações nas regras pode depender de como o tráfego é acompanhado.

  • Quando você associa vários security groups a uma instância, as regras de cada security group são efetivamente agregadas para criar um conjunto de regras. O Amazon EC2 usa esse conjunto de regras para determinar se deve permitir acesso.

    É possível atribuir vários grupos de segurança a uma instância. Portanto, uma instância pode ter centenas de regras aplicáveis. Isso pode causar problemas quando você acessar a instância. Recomendamos que você condense suas regras o máximo possível.

Para cada regra, especifique o seguinte:

  • Nome: o nome do grupo de segurança (por exemplo, my-security-group).

    Esse nome pode ter até 255 caracteres. Os caracteres permitidos são a-z, A-Z, 0-9, espaços e ._-:/()#,@[]+=;{}!$*. Quando o nome contém espaços finais, cortamos os espaços ao salvá-lo. Por exemplo, se você inserir “Testar grupo de segurança " para o nome, nós o armazenaremos como “Testar grupo de segurança”.

  • Protocolo: o protocolo a permitir. Os protocolos mais comuns são 6 (TCP), 17 (UDP) e 1 (ICMP).

  • Intervalo de portas: para TCP, UDP ou um protocolo personalizado, o intervalo de portas a ser permitido. Você pode especificar um único número de porta (por exemplo, 22) ou um intervalo de números de portas (por exemplo, 7000-8000).

  • Tipo e código do ICMP: para o ICMP, o tipo e o código do ICMP.

  • Origem ou destino: a origem (regras de entrada) ou o destino (regras de saída) para o tráfego. Especifique uma destas opções:

    • Um endereço IPv4 único. Você deve usar o comprimento de prefixo /32; por exemplo, 203.0.113.1/32.

    • Um endereço IPv6 único. Você deve usar o comprimento de prefixo /128; por exemplo, 2001:db8:1234:1a00::123/128.

    • Um intervalo de endereços IPv4, em notação de bloco CIDR. Por exemplo, 203.0.113.0/24.

    • Um intervalo de endereços IPv6, em notação de bloco CIDR. Por exemplo, 2001:db8:1234:1a00::/64.

    • O ID de uma lista de prefixos, por exemplo, pl-1234abc1234abc123. Para obter mais informações, consulte Listas de prefixos.

    • Outro security group. Isso permite que as instâncias associadas ao grupo de segurança especificado acessem instâncias associadas a esse grupo de segurança. Escolher essa opção não adiciona regras do grupo de segurança de origem a esse grupo de segurança. Você pode especificar um dos seguintes security groups:

      • O security group atual.

      • Um security group diferente para a mesma VPC

      • Um security group diferente para uma VPC par em uma conexão de emparelhamento de VPC.

  • (Opcional) Descrição: você pode adicionar uma descrição à regra, que pode ajudá-lo a identificá-la posteriormente. Uma descrição pode ser até 255 caracteres de comprimento. Os caracteres permitidos são a-z, A-Z, 0-9, espaços e ._-:/()#,@[]+=;{}!$*.

Quando você cria uma regra de grupo de segurança, a AWS atribui um ID exclusivo à regra. Você pode usar o ID de uma regra ao usar a API ou a CLI para modificar ou excluir a regra.

Quando você especifica um grupo de segurança como a origem ou o destino de uma regra, a regra afeta todas as instâncias associadas ao grupo de segurança. O tráfego de entrada é permitido com base nos endereços IP privados das instâncias associadas ao security group de origem (e não aos endereços IP público ou IP elástico). Se a regra do security group fizer referência a um security group em uma VPC par, e o security group referenciado ou a conexão de emparelhamento da VPC for excluída, a regra será marcada como obsoleta. Para obter mais informações, consulte rabalhar com regras de grupos de segurança obsoletas no Guia de emparelhamento da Amazon VPC.

Quando você especifica um grupo de segurança como a origem de uma regra, o tráfego das interfaces de rede associadas ao grupo de segurança de origem é permitido para o protocolo e a porta especificados. O tráfego de entrada é permitido com base nos endereços IP privados das interfaces de rede associadas ao grupo de segurança de origem (e não aos endereços IP público ou IP elástico). Se você configurar rotas para encaminhar o tráfego entre duas instâncias em sub-redes diferentes por meio de um dispositivo middlebox, deverá garantir que os grupos de segurança de ambas as instâncias permitam o fluxo de tráfego entre as instâncias. O grupo de segurança para cada instância deve fazer referência ao endereço IP privado da outra instância ou ao intervalo CIDR da sub-rede que contém a outra instância, como a origem. Se você fizer referência ao grupo de segurança da outra instância como a origem, isso não permitirá que o tráfego flua entre as instâncias.

Alguns sistemas de configuração de firewalls permitem filtrar as portas de origem. Os grupos de segurança permitem que filtrar apenas nas portas de destino.

Quando você adiciona, atualiza ou remove regras, elas são aplicadas automaticamente a todas as instâncias associadas ao grupo de segurança.

O tipo de regras adicionadas muitas vezes depende da finalidade do grupo de segurança. A tabela a seguir descreve regras de exemplo para um grupo de segurança associado a servidores da web. Os servidores da web podem receber tráfego HTTP e HTTPS de todos os endereços IPv4 e IPv6 e enviar tráfego SQL ou MySQL para um servidor de banco de dados.

Inbound
Origem Protocolo Intervalo de portas Descrição

0.0.0.0/0

TCP

80

Permitir acesso HTTP de entrada de todos os endereços IPv4

::/0 TCP 80 Allow inbound HTTP access from all IPv6 addresses

0.0.0.0/0

TCP

443

Permitir acesso HTTPS de entrada de todos os endereços IPv4

::/0 TCP 443 Allow inbound HTTPS access from all IPv6 addresses

O alcance do endereço IPv4 público da sua rede

TCP

22

Permitir acesso SSH de entrada para instâncias Linux a partir de endereços IP IPv4 na sua rede (pelo gateway da Internet)

O alcance do endereço IPv4 público da sua rede

TCP

3389

Permitir acesso de entrada ao RDP para instâncias Windows a partir de endereços IP IPv4 na sua rede (pelo gateway da Internet)

Outbound

Destino Protocolo Intervalo de portas Descrição

O ID do grupo de segurança dos servidores de banco de dados do Microsoft SQL Server

TCP

1433

Permitir o acesso do Microsoft SQL Server de saída a instâncias no security group especificado

O ID do security group para seus servidores de banco de dados MySQL

TCP

3306

Permitir acesso MySQL de saída a instâncias no security group especificado

Um servidor de banco de dados precisa de outro conjunto de regras. Por exemplo, em vez de tráfego HTTP e HTTPS de entrada, é possível adicionar uma regra que permita acesso MySQL ou Microsoft SQL Server de entrada. Para obter um exemplo de regras de security group para servidores Web e servidores de banco de dados, consulte Security. Para obter mais informações sobre grupos de segurança para instâncias de banco de dados do RDS, consulte Controlar acesso com grupos de segurança no Manual do usuário do Amazon RDS.

Para obter exemplos de regras de grupos de segurança para tipos de acesso específicos, consulte Referência de regras de grupos de segurança no Manual do usuário do Amazon EC2 para instâncias do Linux.

Regras de grupo de segurança obsoletas

Se a VPC tiver uma conexão de emparelhamento da VPC com outra VPC, uma regra do security group pode fazer referência a outro security group no par da VPC. Isso permite que as instâncias associadas ao grupo de segurança referenciado e aquelas associadas ao grupo de segurança de referência se comuniquem entre elas.

Se o proprietário do par da VPC excluir o security group especificado ou se você ou o proprietário do par da VPC excluir a conexão de emparelhamento de VPC, a regra do security group será marcada como stale. Você pode excluir regras de security group obsoletas, como faria com qualquer outra regra do security group.

Para obter mais informações, consulte Trabalhar com grupos de segurança obsoletos no Guia de emparelhamento da Amazon VPC.

Trabalhar com grupos de segurança

As tarefas a seguir mostram como utilizar os grupos de segurança por meio do console da Amazon VPC.

Modificar o grupo de segurança padrão

Sua VPC é fornecida com um grupo de segurança padrão. Você não pode excluir este grupo. No entanto, você pode alterar as regras do grupo. O procedimento é o mesmo da modificação de qualquer outro security group.

Crie um grupo de segurança

Embora você possa usar o security group padrão para suas instâncias, é possível criar seus próprios grupos para refletir as diferentes funções que as instâncias desempenham no seu sistema.

Por padrão, novos grupos de segurança começam com apenas uma regra de saída que permite que todo o tráfego deixe as instâncias. Você deve adicionar regras para permitir qualquer tráfego de entrada ou para restringir o tráfego de saída.

Um grupo de segurança só pode ser usado na VPC na qual ele é criado.

Para obter informações sobre as permissões necessárias para criar grupos de segurança e gerenciar regras de grupo de segurança, consulte Gerenciar grupos de segurança e Gerenciar regras de grupos de segurança.

Para criar um security group usando o console

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Grupos de segurança.

  3. Escolha Create security group (Criar grupo de segurança).

  4. Insira um nome e uma descrição para o grupo de segurança. Não é possível alterar o nome e a descrição de um grupo de segurança após ele ser criado.

  5. Em VPC, escolha a VPC.

  6. Você pode adicionar regras do grupo de segurança agora ou pode adicioná-las mais tarde. Para obter mais informações, consulte . Adicionar regras a um grupo de segurança.

  7. Você pode adicionar etiquetas agora ou pode adicioná-las mais tarde. Para adicionar uma tag, escolha Add new tag (Adicionar nova tag), e insira a chave e o valor da tag.

  8. Escolha Create security group (Criar grupo de segurança).

Para criar um security group usando a linha de comando

Visualizar seus grupos de segurança

Você pode visualizar informações detalhadas sobre seus grupos de segurança conforme descrito a seguir.

Para obter mais informações sobre as permissões necessárias para exibir os grupos de segurança, consulte Gerenciar grupos de segurança.

Para visualizar seus grupos de segurança usando o console

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Grupos de segurança.

  3. Seus grupos de segurança serão listados. Para visualizar os detalhes de um grupo de segurança específico, incluindo suas regras de entrada e saída, selecione o grupo de segurança.

Para visualizar seus grupos de segurança usando a linha de comando

Para visualizar todos os grupos de segurança entre regiões

Abra o console do Amazon EC2 Global View em https://console.aws.amazon.com/ec2globalview/home.

Para obter mais informações sobre como usar o Amazon EC2 Global View, consulte Listar e filtrar recursos usando o Amazon EC2 Global View no Manual do usuário do Amazon EC2 para instâncias do Linux.

Marcar seus grupos de segurança

Adicione tags aos seus recursos para ajudar a organizá-los e identificá-los, por exemplo, por propósito, proprietário ou ambiente. É possível adicionar tags aos grupos de segurança. As chaves de tag devem ser únicas para cada regra de grupo de segurança. Se você adicionar uma tag a uma chave que já está associada a uma regra, o valor da tag será atualizado.

Para marcar um grupo de segurança usando o console

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Grupos de segurança.

  3. Selecione a caixa ao lado do grupo de segurança.

  4. Escolha Actions (Ações), Manage tags (Gerenciar tags).

  5. A página Manage tags (Gerenciar tags) exibe todas as tags atribuídas ao grupo de segurança. Para adicionar uma tag, escolha Add tag (Adicionar tag), e insira a chave e o valor da tag. Para excluir uma tag, escolha Remove (Remover) ao lado da tag que você deseja excluir.

  6. Selecione Save changes (Salvar alterações).

Para marcar um grupo de segurança usando a linha de comando

Adicionar regras a um grupo de segurança

Quando você adiciona uma regra a um grupo de segurança, a nova regra é aplicada automaticamente a todas as instâncias associadas ao grupo de segurança.

Se você tiver uma conexão de emparelhamento de VPC, você pode fazer referência a grupos de segurança de par da VPC como origem ou destino nas regras do seu security group. Para obter mais informações, consulte Atualização das regras do grupo de segurança para referenciar os grupos de segurança na VPC emparelhada em Guia de emparelhamento da Amazon VPC.

Para obter mais informações sobre as permissões necessárias para gerenciar as regras dos grupos de segurança, consulte Gerenciar regras de grupos de segurança.

Para adicionar uma regra usando o console

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Grupos de segurança.

  3. Selecione o security group.

  4. Selecione Actions (Ações), Edit inbound rules (Editar regras de entrada) ou Actions (Ações), Edit outbound rules (Editar regras de saída).

  5. Para cada regra, selecione Add Rule (Adicionar regra) e faça o seguinte.

    1. Em Type (Tipo), escolha o tipo de protocolo a ser permitido.

      • Para TCP ou UDP, é necessário fornecer o intervalo de portas que será permitido.

      • Para ICMP personalizado, você deverá escolher o nome do tipo ICMP em Protocol (Protocolo) e, se aplicável, o nome do código em Port range (Intervalo de portas).

      • Para qualquer outro tipo, o protocolo e o intervalo de portas serão configurados automaticamente.

    2. Para Source (Origem) (regras de entrada) ou Destination (Destino) (regras de saída), siga um destes procedimentos para permitir o tráfego:

      • Escolha Custom (Personalizado) e insira um endereço IP na notação CIDR, um bloco CIDR, outro grupo de segurança ou uma lista de prefixos.

      • Selecione Anywhere (Qualquer lugar) para permitir que o tráfego de qualquer endereço IP chegue até suas instâncias (regras de entrada) ou para permitir que o tráfego de suas instâncias chegue a todos os endereços IP (regras de saída). Esta opção adiciona automaticamente o bloco CIDR IPv4 0.0.0.0/0.

        Se o grupo de segurança estiver em uma VPC habilitada para IPv6, essa opção adicionará automaticamente uma regra para o bloco CIDR IPv6 ::/0.

        Isso é aceitável para um período curto em um ambiente de teste, mas não é seguro em ambientes de produção. No ambiente de produção, autorize apenas um endereço IP específico ou um intervalo de endereços a acessar as instâncias.

      • Escolha My IP (Meu IP) para permitir o tráfego de entrada somente do endereço IPv4 público do computador local.

    3. (Opcional) Em Description (Descrição), especifique uma breve descrição para a regra.

  6. Escolha Save rules (Salvar regras).

Para adicionar uma regra a um security group usando a linha de comando

Atualizar regras do grupo de segurança

Quando você atualiza uma regra, a regra atualizada é aplicada automaticamente a todas as instâncias associadas ao grupo de segurança.

Para obter mais informações sobre as permissões necessárias para gerenciar as regras dos grupos de segurança, consulte Gerenciar regras de grupos de segurança.

Para atualizar uma regra usando o console

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Grupos de segurança.

  3. Selecione o security group.

  4. Selecione Actions (Ações), Edit inbound rules (Editar regras de entrada) ou Actions (Ações), Edit outbound rules (Editar regras de saída).

  5. Atualize a regra conforme necessário.

  6. Escolha Save rules (Salvar regras).

Para atualizar a descrição da regra de um security group usando a linha de comando

Marcar regras de grupos de segurança

Adicione tags aos seus recursos para ajudar a organizá-los e identificá-los, por exemplo, por propósito, proprietário ou ambiente. É possível adicionar tags a regras de grupos de segurança. As chaves de tag devem ser únicas para cada regra de grupo de segurança. Se você adicionar uma tag com uma chave que já está associada ao grupo de segurança, o valor dessa tag será atualizado.

Para marcar uma regra usando o console

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Grupos de segurança.

  3. Selecione o security group.

  4. Na guia Inbound rules (Regras de entrada) ou Outbound rules (Regras de saída), marque a caixa de seleção da regra e escolha Manage tags (Gerenciar tags).

  5. A seção Manage tags (Gerenciar tags) exibe todas as tags atribuídas à regra. Para adicionar uma tag, escolha Add tag (Adicionar tag), e insira a chave e o valor da tag. Para excluir uma tag, escolha Remove (Remover) ao lado da tag que você deseja excluir.

  6. Selecione Save changes (Salvar alterações).

Para marcar uma regra usando a linha de comando

Excluir regras do grupo de segurança

Quando você excluir uma regra de um grupo de segurança, a alteração é aplicada automaticamente a todas as instâncias que estão associadas ao grupo de segurança.

Para excluir uma regra do grupo de segurança usando o console

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Grupos de segurança.

  3. Selecione o security group.

  4. Escolha Actions (Ações) e Edit inbound rules (Editar regras de entrada) para remover uma regra de entrada ou Edit outbound rules (Editar regras de saída) para remover uma regra de saída.

  5. Escolha o botão Delete (Excluir) ao lado da regra que deseja excluir.

  6. Escolha Save rules (Salvar regras).

Para excluir uma regra de grupo de segurança usando a linha de comando

Modificar os grupos de segurança de uma instância

Após iniciar uma instância em uma VPC, você pode alterar os grupos de segurança associados a qualquer instância quando a instância estiver no estado running ou stopped. Para obter mais informações, consulte Alterar o grupo de segurança de uma instância no Manual do usuário do Amazon EC2 para instâncias do Linux.

Excluir um security group

Você só pode excluir um grupo de segurança quando ele não está associado a instâncias (em execução ou paradas). Você pode alterar os grupos de segurança associados a qualquer instância em execução ou parada; para obter mais informações, consulte Modificar os grupos de segurança de uma instância). Você não pode excluir um security group padrão.

Se você estiver usando o console, pode excluir mais de um security group por vez. Se estiver usando a linha de comando ou a API, você poderá excluir apenas um grupo de segurança de cada vez.

Para excluir um security group usando o console

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Grupos de segurança.

  3. Selecione um ou mais grupos de segurança e escolha Actions (Ações), Delete security groups (Excluir grupos de segurança).

  4. Quando a confirmação for solicitada, insira delete e escolha Delete (Excluir).

Para excluir um security group usando a linha de comando

Gerenciar centralmente os grupos de segurança da VPC usando o AWS Firewall Manager

AWS Firewall ManagerO simplifica as tarefas de administração e manutenção dos grupos de segurança na VPC em várias contas e recursos. Com o Firewall Manager, é possível configurar e auditar os grupos de segurança para a organização a partir de uma única conta de administrador central. O Firewall Manager aplica automaticamente as regras e as proteções em todas as contas e recursos, mesmo na adição de novos recursos. O Firewall Manager é particularmente útil quando você deseja proteger toda a sua organização ou se você adiciona frequentemente novos recursos que deseja proteger de uma conta de administrador central.

É possível usar o Firewall Manager para gerenciar centralmente os grupos de segurança das seguintes maneiras:

  • Configurar grupos de segurança de base comum em toda a organização: você pode usar uma política comum de grupo de segurança para fornecer uma associação de grupos de segurança, controlada centralmente, a contas e recursos em toda a organização. Você especifica onde e como aplicar a política em sua organização.

  • Auditoria de grupos de segurança existentes na organização: você pode usar uma política de grupo de segurança de auditoria para verificar as regras existentes em uso nos grupos de segurança da organização. É possível avaliar a política para auditar todas as contas, contas específicas ou recursos marcados com tags na organização. O Firewall Manager detecta automaticamente novas contas e recursos e as auditora. Você pode criar regras de auditoria para definir proteções nas regras do grupo de segurança que devem ser permitidas ou não na sua organização e para verificar grupos de segurança não usados ou redundantes.

  • Obter relatórios sobre recursos incompatíveis e corrigi-los: você pode obter relatórios e alertas para recursos incompatíveis com as políticas de base e auditoria. Também é possível definir fluxos de trabalho de autorremediação para corrigir quaisquer recursos incompatíveis detectados pelo Firewall Manager.

Para saber mais sobre como usar o Firewall Manager para gerenciar os grupos de segurança, consulte os seguintes tópicos no Guia do desenvolvedor do AWS WAF: