Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Die Sicherheitsgruppen für Ihre Amazon-EC2-Instance ändern
<a name="changing-security-group"></a>

Sie können Sicherheitsgruppen für Ihre Amazon-EC2-Instances angeben, wenn Sie sie starten. Nach dem Start einer Instance können Sie deren Sicherheitsgruppen ändern oder entfernen. Sie können auch jederzeit Sicherheitsgruppenregeln für zugehörige Sicherheitsgruppen hinzufügen, entfernen oder bearbeiten.

Sicherheitsgruppen sind mit Netzwerkschnittstellen verknüpft. Durch das Hinzufügen oder Entfernen von Sicherheitsgruppen werden die Sicherheitsgruppen geändert, die mit der primären Netzwerkschnittstelle verknüpft sind. Sie können auch die Sicherheitsgruppen ändern, die mit irgendwelchen sekundären Netzwerkschnittstellen verknüpft sind. Weitere Informationen finden Sie unter [Ändern der Netzwerkschnittstellen-Attribute](modify-network-interface-attributes.md).

**Topics**
+ [Sicherheitsgruppen hinzufügen oder entfernen](#add-remove-instance-security-groups)
+ [Sicherheitsgruppenregeln konfigurieren](#add-remove-security-group-rules)

## Sicherheitsgruppen hinzufügen oder entfernen
<a name="add-remove-instance-security-groups"></a>

Nach dem Start einer Instance können Sie Sicherheitsgruppen zur Liste der zugehörigen Sicherheitsgruppen hinzufügen oder von ihr entfernen. Wenn Sie mehrere Sicherheitsgruppen mit einer Instance verbinden, werden die Regeln jeder Sicherheitsgruppe effektiv zu einem einzigen Regelsatz zusammengeführt. Mit diesem Regelsatz bestimmt Amazon EC2, ob der Datenverkehr erlaubt ist.

**Voraussetzungen**
+ Die Instance muss sich im `running`- oder `stopped`-Status befinden.

------
#### [ Console ]

**So ändern Sie die Sicherheitsgruppen für eine Instance**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie im Navigationsbereich **Instances** aus.

1. Wählen Sie Ihre Instance und wähle Sie dann **Actions (Aktionen)**, **Security (Sicherheit)**, **Change security groups (Sicherheitsgruppen ändern)** aus.

1. Wählen Sie für **Associated security groups (Zugehörige Sicherheitsgruppen)** eine Sicherheitsgruppe aus der Liste aus und klicken Sie auf **Add security group (Sicherheitsgruppe hinzufügen)**.

   Um eine bereits zugeordnete Sicherheitsgruppe zu entfernen, wählen **Remove (Entfernen)** für diese Sicherheitsgruppe.

1. Wählen Sie **Save** aus.

------
#### [ AWS CLI ]

**So ändern Sie die Sicherheitsgruppen für eine Instance**  
Verwenden Sie den folgenden [modify-instance-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-attribute.html)-Befehl.

```
aws ec2 modify-instance-attribute \
    --instance-id i-1234567890abcdef0 \
    --groups sg-1234567890abcdef0
```

------
#### [ PowerShell ]

**So ändern Sie die Sicherheitsgruppen für eine Instance**  
Verwenden Sie das cmdlet [Edit-EC2InstanceAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceAttribute.html).

```
Edit-EC2InstanceAttribute `
    -InstanceId i-1234567890abcdef0 `
    -Group sg-1234567890abcdef0
```

------

## Sicherheitsgruppenregeln konfigurieren
<a name="add-remove-security-group-rules"></a>

Nachdem Sie eine Sicherheitsgruppe erstellt haben, können Sie die zugehörigen Sicherheitsgruppenregeln hinzufügen, aktualisieren und löschen. Wenn Sie eine Regel hinzufügen, aktualisieren oder löschen, gilt die aktualisierte Regel automatisch für alle Ressourcen, die der Sicherheitsgruppe zugewiesen sind.

Für Beispiele für Regeln, die Sie einer Sicherheitsgruppe hinzufügen können, siehe [Sicherheitsgruppenregeln für verschiedene Anwendungsfälle](security-group-rules-reference.md).

**Erforderliche Berechtigungen**  
Stellen Sie zuerst sicher, dass Sie über die erforderlichen Berechtigungen verfügen. Weitere Informationen finden Sie unter [Beispiel: Arbeiten mit Sicherheitsgruppen](iam-policies-ec2-console.md#ex-security-groups).

**Protokolle und Ports**
+ Wenn Sie in der Konsole einen vordefinierten Typ auswählen, werden **Protokoll** und **Portbereich** für Sie angegeben. Um einen Portbereich einzugeben, müssen Sie einen der folgenden benutzerdefinierten Typen auswählen: **Benutzerdefiniertes TCP** oder **Benutzerdefiniertes UDP**.
+ Mit dem AWS CLI können Sie mithilfe der Optionen `--protocol` und `--port` eine einzelne Regel mit einem einzigen Port hinzufügen. Um mehrere Regeln oder eine Regel mit einem Portbereich hinzuzufügen, verwenden Sie stattdessen die Option `--ip-permissions`.

**Quellen und Ziele**
+ Mit der Konsole können Sie Folgendes als Quellen für Regeln für eingehenden Datenverkehr oder als Ziele für Regeln für ausgehenden Datenverkehr angeben.
  + **Benutzerdefiniert** — Ein IPv4 CIDR-Block, ein IPv6 CIDR-Block, eine Sicherheitsgruppe oder eine Präfixliste.
  + **Anywhere- IPv4** — Der IPv4 0.0.0.0/0 CIDR-Block.
  + **Anywhere- IPv6** — Der: :/0 CIDR-Block. IPv6 
  + **Meine IP** — Die öffentliche IPv4 Adresse Ihres lokalen Computers.
+ Mit der AWS CLI können Sie mithilfe der Option einen IPv4 CIDR-Block oder mithilfe der `--cidr` Option eine Sicherheitsgruppe angeben. `--source-group` Verwenden Sie die Option, um eine Präfixliste oder einen IPv6 CIDR-Block anzugeben. `--ip-permissions`

**Warnung**  
Wenn Sie eingehende Regeln für die Ports 22 (SSH) oder 3389 (RDP) hinzufügen, empfehlen wir Ihnen dringend, nur die spezifischen IP-Adressen oder Adressbereiche zuzulassen, die Zugriff auf Ihre Instances benötigen. Wenn Sie **Anywhere-** wählenIPv4, ermöglichen Sie Traffic von allen IPv4 Adressen, über das angegebene Protokoll auf Ihre Instances zuzugreifen. Wenn Sie **Anywhere-** wählenIPv6, erlauben Sie Traffic von allen IPv6 Adressen, über das angegebene Protokoll auf Ihre Instances zuzugreifen.

------
#### [ Console ]

**Konfigurieren von Sicherheitsgruppenregeln**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie im Navigationsbereich **Security Groups (Sicherheitsgruppen)** aus.

1. Wählen Sie die Sicherheitsgruppe aus.

1. Wählen Sie unter **Aktionen** oder auf der Registerkarte **Regeln für eingehenden Datenverkehr** die Option **Bearbeiten von Regeln für eingehenden Datenverkehr** aus, um die Regeln für den eingehenden Datenverkehr zu bearbeiten.

   1. Um eine Regel hinzuzufügen, wählen Sie **Regel hinzufügen** aus und geben Sie den Typ, das Protokoll, den Port und die Quelle für die Regel ein.

      Wenn es sich beim Typ um TCP oder UDP handelt, müssen Sie den zuzulassenden Portbereich eingeben. Für ein benutzerdefiniertes ICMP müssen Sie den Namen des ICMP-Typs aus **Protocol (Protokoll=** und, falls zutreffend, den Codenamen aus **Port range (Portbereich)** wählen. Für einen anderen Typ werden das Protokoll und der Portbereich für Sie konfiguriert.

   1. Andern Sie das Protokoll, die Beschreibung und die Quelle nach Bedarf, um eine Regel zu aktualisieren. Sie können jedoch den Quellentyp nicht ändern. Wenn die Quelle beispielsweise ein IPv4 CIDR-Block ist, können Sie keinen IPv6 CIDR-Block, keine Präfixliste oder eine Sicherheitsgruppe angeben.

   1. Klicken Sie auf die Schaltfläche **Löschen**, um eine Regel zu löschen.

1. Um die Regeln für den ausgehenden Datenverkehr zu bearbeiten, wählen Sie **Regeln für ausgehenden Datenverkehr bearbeiten** unter **Aktionen** oder auf der Registerkarte **Regeln für ausgehenden Datenverkehr** aus.

   1. Um eine Regel hinzuzufügen, wählen Sie **Regel hinzufügen** aus und geben Sie den Typ, das Protokoll, den Port und das Ziel für die Regel ein. Sie können auch eine optionale Beschreibung eingeben.

      Wenn es sich beim Typ um TCP oder UDP handelt, müssen Sie den zuzulassenden Portbereich eingeben. Für ein benutzerdefiniertes ICMP müssen Sie den Namen des ICMP-Typs aus **Protocol (Protokoll=** und, falls zutreffend, den Codenamen aus **Port range (Portbereich)** wählen. Für einen anderen Typ werden das Protokoll und der Portbereich für Sie konfiguriert.

   1. Andern Sie das Protokoll, die Beschreibung und die Quelle nach Bedarf, um eine Regel zu aktualisieren. Sie können jedoch den Quellentyp nicht ändern. Wenn es sich bei der Quelle beispielsweise um einen IPv4 CIDR-Block handelt, können Sie keinen IPv6 CIDR-Block, keine Präfixliste oder keine Sicherheitsgruppe angeben.

   1. Klicken Sie auf die Schaltfläche **Löschen**, um eine Regel zu löschen.

1. Wählen Sie **Regeln speichern** aus.

------
#### [ AWS CLI ]

**So fügen Sie Sicherheitsgruppenregeln hinzu**  
Verwenden Sie den [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html)Befehl, um Regeln für eingehenden Datenverkehr hinzuzufügen. Das folgende Beispiel erlaubt eingehenden SSH-Datenverkehr aus den CIDR-Blöcken in der angegebenen Präfixliste.

```
aws ec2 authorize-security-group-ingress \
    --group-id sg-1234567890abcdef0 \
    --ip-permissions 'IpProtocol=tcp,FromPort=22,ToPort=22,PrefixListIds=[{PrefixListId=pl-f8a6439156EXAMPLE}]'
```

Verwenden Sie den [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html)Befehl, um Regeln für ausgehenden Datenverkehr hinzuzufügen. Im folgenden Beispiel wird ausgehender TCP-Datenverkehr auf Port 80 für Instances mit der angegebenen Sicherheitsgruppe zugelassen.

```
aws ec2 authorize-security-group-egress \
    --group-id sg-1234567890abcdef0 \
    --ip-permissions 'IpProtocol=tcp,FromPort=80,ToPort=80,UserIdGroupPairs=[{GroupId=sg-0aad1c26bb6EXAMPLE}]'
```

**So entfernen Sie Sicherheitsgruppenregeln**  
Verwenden Sie den folgenden [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html)Befehl, um eine eingehende Regel zu entfernen.

```
aws ec2 revoke-security-group-egress \
    --group id sg-1234567890abcdef0 \
    --security-group-rule-ids sgr-09ed298024EXAMPLE
```

Verwenden Sie den folgenden [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html)Befehl, um eine ausgehende Regel zu entfernen.

```
aws ec2 revoke-security-group-ingress \
    --group id sg-1234567890abcdef0 \
    --security-group-rule-ids sgr-0352250c1aEXAMPLE
```

**So modifizieren Sie Sicherheitsgruppenregeln**  
Verwenden Sie den Befehl [modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html). Im folgenden Beispiel wird der IPv4 CIDR-Block der angegebenen Sicherheitsgruppenregel geändert.

```
aws ec2 modify-security-group-rules \
    --group id sg-1234567890abcdef0 \
    --security-group-rules 'SecurityGroupRuleId=sgr-09ed298024EXAMPLE,SecurityGroupRule={IpProtocol=tcp,FromPort=80,ToPort=80,CidrIpv4=0.0.0.0/0}'
```

------
#### [ PowerShell ]

**So fügen Sie Sicherheitsgruppenregeln hinzu**  
Verwenden Sie das [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html)Cmdlet, um Regeln für eingehenden Datenverkehr hinzuzufügen. Das folgende Beispiel erlaubt eingehenden SSH-Datenverkehr aus den CIDR-Blöcken in der angegebenen Präfixliste.

```
$plid = New-Object -TypeName Amazon.EC2.Model.PrefixListId
$plid.Id = "pl-f8a6439156EXAMPLE"
Grant-EC2SecurityGroupIngress `
    -GroupId sg-1234567890abcdef0 `
    -IpPermission @{IpProtocol="tcp"; FromPort=22; ToPort=22; PrefixListIds=$plid}
```

Verwenden Sie das [Grant-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html)Cmdlet, um Regeln für ausgehenden Datenverkehr hinzuzufügen. Im folgenden Beispiel wird ausgehender TCP-Datenverkehr auf Port 80 für Instances mit der angegebenen Sicherheitsgruppe zugelassen.

```
$uigp = New-Object -TypeName Amazon.EC2.Model.UserIdGroupPair
$uigp.GroupId = "sg-0aad1c26bb6EXAMPLE"
Grant-EC2SecurityGroupEgress `
    -GroupId sg-1234567890abcdef0 `
    -IpPermission @{IpProtocol="tcp"; FromPort=80; ToPort=80; UserIdGroupPairs=$uigp}
```

**So entfernen Sie Sicherheitsgruppenregeln**  
Verwenden Sie das [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html)Cmdlet, um Regeln für eingehenden Datenverkehr zu entfernen.

```
Revoke-EC2SecurityGroupIngress `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRuleId sgr-09ed298024EXAMPLE
```

Verwenden Sie das [Revoke-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html)Cmdlet, um Regeln für ausgehenden Datenverkehr zu entfernen.

```
Revoke-EC2SecurityGroupEgress `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRuleId sgr-0352250c1aEXAMPLE
```

**So modifizieren Sie Sicherheitsgruppenregeln**  
Verwenden Sie das cmdlet [Edit-EC2SecurityGroupRule](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2SecurityGroupRule.html). Im folgenden Beispiel wird der IPv4 CIDR-Block der angegebenen Sicherheitsgruppenregel geändert.

```
$sgrr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleRequest
$sgrr.IpProtocol = "tcp"
$sgrr.FromPort = 80
$sgrr.ToPort = 80
$sgrr.CidrIpv4 = "0.0.0.0/0"
$sgr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleUpdate
$sgr.SecurityGroupRuleId = "sgr-09ed298024EXAMPLE"
$sgr.SecurityGroupRule = $sgrr
Edit-EC2SecurityGroupRule  `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRule $sgr
```

------