Noções básicas sobre grupos de segurança Componentes de uma regra de grupo de segurança Referenciamento de grupo de segurança Tamanho do grupo de segurança Regras de grupo de segurança obsoletas

Regras de grupos de segurança

As regras de um grupo de segurança controlam o tráfego de entrada que tem permissão para alcançar as instâncias associadas ao grupo de segurança. As regras também controlam o tráfego de saída que pode deixá-los.

Você pode adicionar ou remover regras de um grupo de segurança (também conhecido como autorização ou revogação do acesso de entrada ou de saída). Uma regra aplica-se ao tráfego de entrada (ingresso) ou ao tráfego de saída (egresso). Você pode conceder acesso a uma origem ou destino específico.

Conteúdo

Noções básicas sobre grupos de segurança
Componentes de uma regra de grupo de segurança
Referenciamento de grupo de segurança
Tamanho do grupo de segurança
Regras de grupo de segurança obsoletas

Noções básicas sobre grupos de segurança

As seguintes são as características das regras de grupos de segurança:

Você pode especificar regras de permissão, mas não regras de negação.
Quando você cria um grupo de segurança, ele não possui regras de entrada. Portanto, nenhum tráfego de entrada tem permissão até que você adicione regras de entrada ao grupo de segurança.
Quando você cria um grupo de segurança pela primeira vez, ele possui uma regra de saída que permite todo o tráfego de saída do recurso. Você pode remover a regra e adicionar regras de saída que permitem somente tráfego de saída específico. Se o grupo de segurança não tiver nenhuma regra de saída, nenhum tráfego de saída será permitido.
Quando você associa vários grupos de segurança a um recurso, as regras de cada grupo de segurança são agregadas para formar um único conjunto de regras, que é utilizado para determinar se o acesso deve ser permitido.
Quando você adiciona, atualiza ou remove regras, elas são aplicadas automaticamente a todos os recursos associados ao grupo de segurança. Para obter instruções, consulte Configurar regras de grupo de segurança.
O efeito de algumas alterações nas regras pode depender de como o tráfego é acompanhado. Para obter mais informações, consulte Rastreamento de conexão no Guia do usuário do Amazon EC2.
Quando você cria uma regra para o grupo de segurança, a AWS atribui um ID exclusivo à regra. É possível usar o ID de uma regra ao usar a API ou a CLI para modificar ou excluir a regra.

Limitação

Grupos de segurança não podem bloquear solicitações de DNS de ou para o Route 53 Resolver, às vezes chamado de “endereço IP VPC+2” (consulte Amazon Route 53 Resolver no Guia do desenvolvedor do Amazon Route 53) ou como AmazonProvidedDNS. Para filtrar solicitações de DNS usando o Route 53 Resolver, use o Route 53 Resolver DNS Firewall.

Componentes de uma regra de grupo de segurança

Estes são os componentes das regras de grupo de segurança de entrada e saída:

Protocolo: o protocolo a permitir. Os protocolos mais comuns são 6 (TCP), 17 (UDP) e 1 (ICMP).
Intervalo de portas: para TCP, UDP ou um protocolo personalizado, o intervalo de portas a ser permitido. É possível especificar um único número de porta (por exemplo, 22) ou um intervalo de números de portas (por exemplo, 7000-8000).
Tipo e código do ICMP: para o ICMP, o tipo e o código do ICMP. Por exemplo, use o tipo 8 para solicitação de eco ICMP ou digite 128 para solicitação de eco ICMPv6.
Origem ou destino: a origem (regras de entrada) ou o destino (regras de saída) para permitir o tráfego. Especifique um dos seguintes:
- Um endereço IPv4 único. Use o comprimento de prefixo /32. Por exemplo, 203.0.113.1/32.
- Um endereço IPv6 único. Use o comprimento de prefixo /128. Por exemplo, 2001:db8:1234:1a00::123/128.
- Um intervalo de endereços IPv4, em notação de bloco CIDR. Por exemplo, 203.0.113.0/24.
- Um intervalo de endereços IPv6, em notação de bloco CIDR. Por exemplo, 2001:db8:1234:1a00::/64.
- O ID de uma lista de prefixos. Por exemplo, pl-1234abc1234abc123. Para ter mais informações, consulte Consolide e gerencie blocos CIDR de rede com listas de prefixos gerenciadas.
- O ID de um grupo de segurança. Por exemplo, sg-1234567890abcdef0. Para ter mais informações, consulte Referenciamento de grupo de segurança.
(Opcional) Descrição: é possível adicionar uma descrição à regra, que pode ajudá-lo a identificá-la posteriormente. Uma descrição pode ser até 255 caracteres de comprimento. Os caracteres permitidos são a-z, A-Z, 0-9, espaços e ._-:/()#,@[]+=;{}!$*.

Referenciamento de grupo de segurança

Quando você especifica um grupo de segurança como a origem ou o destino de uma regra, a regra afeta todas as instâncias associadas aos grupos de segurança. As instâncias podem se comunicar na direção especificada, usando os endereços IP privados das instâncias, pelo protocolo e pela porta especificados.

O exemplo a seguir representa uma regra de entrada de um grupo de segurança que faz referência ao grupo de segurança sg-0abcdef1234567890. Essa regra permite tráfego SSH de entrada das instâncias associadas a sg-0abcdef1234567890.

Origem	Protocolo	Intervalo de portas
`sg-0abcdef1234567890`	TCP	22

Ao fazer referência a um grupo de segurança em uma regra de grupo de segurança, observe o seguinte:

Ambos os grupos de segurança devem pertencer à mesma VPC ou VPC emparelhada.
Nenhuma regra do grupo de segurança referenciado é adicionada ao grupo de segurança que faz referência a ele.
Para regras de entrada, as instâncias do EC2 associadas ao grupo de segurança podem receber tráfego de entrada para os endereços IP privados das instâncias do EC2 associadas ao grupo de segurança.
Para regras de saída, as instâncias do EC2 associadas a um grupo de segurança podem enviar tráfego de saída aos endereços IP privados das instâncias do EC2 associadas ao grupo de segurança referenciado.

Limitação

Se você configurar rotas para encaminhar o tráfego entre duas instâncias em sub-redes diferentes por meio de um dispositivo middlebox, deverá garantir que os grupos de segurança de ambas as instâncias permitam o fluxo de tráfego entre as instâncias. O grupo de segurança para cada instância deve fazer referência ao endereço IP privado da outra instância ou ao intervalo CIDR da sub-rede que contém a outra instância, como a origem. Se você fizer referência ao grupo de segurança da outra instância como a origem, isso não permitirá que o tráfego flua entre as instâncias.

Exemplo

O diagrama a seguir mostra uma VPC com sub-redes em duas zonas de disponibilidade, um gateway da Internet e um Application Load Balancer. Cada zona de disponibilidade tem uma sub-rede pública para servidores da Web e uma sub-rede privada para servidores de banco de dados. Há grupos de segurança separados para o balanceador de carga, os servidores da Web e os servidores de banco de dados. Crie as seguintes regras de grupos de segurança para permitir o tráfego.

Adicione regras ao grupo de segurança do balanceador de carga para permitir o tráfego HTTP e HTTPS da Internet. A origem é 0,0.0.0/0.
Adicione regras ao grupo de segurança dos servidores Web para permitir tráfego HTTP e HTTPS somente do balanceador de carga. A origem é o grupo de segurança do balanceador de carga.
Adicione regras ao grupo de segurança dos servidores de banco de dados para permitir solicitações de banco de dados dos servidores Web. A origem é o grupo de segurança dos servidores Web.

Arquitetura com servidores Web e de banco de dados, grupos de segurança, gateway da Internet e balanceador de carga

Tamanho do grupo de segurança

O tipo de origem ou destino determina como cada regra conta para o número máximo de regras que você pode ter por grupo de segurança.

Uma regra que faz referência a um bloco CIDR é contabilizada como uma regra.
Uma regra que faz referência a outro grupo de segurança é contabilizada como uma regra, independentemente do tamanho do grupo de segurança referenciado.
Uma regra que faz referência a uma lista de prefixos gerenciada pelo cliente é contabilizada como o tamanho máximo da lista de prefixos. Por exemplo, se o tamanho máximo da sua lista de prefixos for 20, uma regra que faça referência a essa lista de prefixos será contabilizada como 20 regras.
Uma regra que utiliza uma lista de prefixos gerenciada por AWS é ponderada pelo peso atribuído a essa lista de prefixos. Por exemplo, se o peso da lista de prefixos for 10, uma regra que faz referência a essa lista será considerada como 10 regras. Para ter mais informações, consulte Listas de prefixos gerenciados pela AWS disponíveis.

Regras de grupo de segurança obsoletas

Se a VPC tiver uma conexão de emparelhamento da VPC com outra VPC, ou se utilizar uma VPC compartilhada por outra conta, uma regra do grupo de segurança em sua VPC pode fazer referência a um grupo de segurança no par da VPC ou na VPC compartihada. Isso permite que as instâncias associadas ao grupo de segurança referenciado e aquelas associadas ao grupo de segurança de referência se comuniquem entre si. Para obter mais informações, consulte Atualizar seus grupos de segurança para fazer referência a grupos de segurança de mesmo nível no Guia de emparelhamento da Amazon VPC.

Se você tiver uma regra de grupo de segurança que referencie um grupo de segurança em uma VPC emparelhada, e o grupo de segurança, ou a conexão de emparelhamento da VPC forem excluídos, a regra de grupo de segurança será marcada como obsoleta. Você pode excluir regras de grupo de segurança obsoletas, como faria com qualquer outra regra do grupo de segurança.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Grupos de segurança

Grupos de segurança padrão