Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheitsgruppen für EC2 Instance Connect Endpoint
Eine Sicherheitsgruppe steuert den Datenverkehr, der die Ressourcen erreichen und verlassen darf, mit denen er verknüpft ist. Beispielsweise verweigern wir den Datenverkehr zu und von einer EC2 Amazon-Instance, sofern er nicht ausdrücklich von den mit der Instance verknüpften Sicherheitsgruppen zugelassen wird.
Die folgenden Beispiele zeigen Ihnen, wie Sie die Sicherheitsgruppenregeln für den EC2 Instance Connect-Endpunkt und die Ziel-Instances konfigurieren.
Beispiele
EC2 Sicherheitsgruppenregeln für Instance Connect Endpoint
Die Sicherheitsgruppenregeln für einen EC2 Instance Connect-Endpunkt müssen zulassen, dass ausgehender Datenverkehr, der für die Ziel-Instances bestimmt ist, den Endpunkt verlässt. Sie können entweder die Instanz-Sicherheitsgruppe oder den IPv4 Adressbereich der VPC als Ziel angeben.
Der Datenverkehr zum Endpunkt stammt vom EC2 Instance Connect Endpoint Service und ist unabhängig von den Regeln für eingehende Nachrichten für die Endpunkt-Sicherheitsgruppe zulässig. Verwenden Sie eine IAM-Richtlinie, um zu steuern, wer EC2 Instance Connect Endpoint verwenden kann, um eine Verbindung zu einer Instance herzustellen. Weitere Informationen finden Sie unter Berechtigungen zur Verwendung von EC2 Instance Connect Endpoint zum Herstellen einer Verbindung zu Instanzen.
Beispiel für eine Ausgangsregel: Referenzierung von Sicherheitsgruppen
Im folgenden Beispiel wird auf Sicherheitsgruppen verwiesen, was bedeutet, dass das Ziel eine Sicherheitsgruppe ist, die den Ziel-Instances zugeordnet ist. Diese Regel erlaubt ausgehenden Datenverkehr vom Endpunkt zu allen Instances, die diese Sicherheitsgruppe verwenden.
| Protokoll | Bestimmungsort | Port-Bereich | Kommentar |
|---|---|---|---|
| TCP | ID of instance security group |
22 | Erlaubt ausgehenden SSH-Verkehr zu allen Instances, die der Instance-Sicherheitsgruppe zugeordnet sind |
Beispiel für eine ausgehende Regel: Adressbereich IPv4
Das folgende Beispiel erlaubt ausgehenden Verkehr in den angegebenen IPv4 Adressbereich. Die IPv4 Adressen einer Instance werden von ihrem Subnetz aus zugewiesen, sodass Sie den IPv4 Adressbereich der VPC verwenden können.
| Protokoll | Bestimmungsort | Port-Bereich | Kommentar |
|---|---|---|---|
| TCP | VPC IPv4 CIDR |
22 | Erlaubt ausgehenden SSH-Verkehr zur VPC |
Ziel-Instance-Sicherheitsgruppenregeln
Die Sicherheitsgruppenregeln für Ziel-Instances müssen eingehenden Datenverkehr vom EC2 Instance Connect-Endpunkt zulassen. Sie können entweder die Endpunkt-Sicherheitsgruppe oder einen IPv4 Adressbereich als Quelle angeben. Wenn Sie einen IPv4 Adressbereich angeben, hängt die Quelle davon ab, ob die Client-IP-Erhaltung aus- oder aktiviert ist. Weitere Informationen finden Sie unter Überlegungen.
Da Sicherheitsgruppen statusbehaftet sind, darf der Antwortdatenverkehr die VPC unabhängig von den ausgehenden Regeln für die Instance-Sicherheitsgruppe verlassen.
Beispiel für eine Eingangsregel: Referenzierung von Sicherheitsgruppen
Im folgenden Beispiel wird auf Sicherheitsgruppen verwiesen, was bedeutet, dass das Ziel eine Sicherheitsgruppe ist, die den Ziel-Instances zugeordnet ist. Diese Regel erlaubt eingehenden SSH-Verkehr vom Endpunkt zu allen Instances, die diese Sicherheitsgruppe verwenden, unabhängig davon, ob die Client-IP-Erhaltung aktiviert oder deaktiviert ist. Wenn es keine anderen Regeln für eingehende Sicherheitsgruppen für SSH gibt, akzeptieren die Instances nur SSH-Verkehr vom Endpunkt.
| Protokoll | Quelle | Port-Bereich | Kommentar |
|---|---|---|---|
| TCP | ID of endpoint security group |
22 | Lässt eingehenden SSH-Datenverkehr von den Ressourcen zu, die der Endpunkt-Sicherheitsgruppe zugeordnet sind |
Beispiel für eine Eingangsregel: Client-IP-Erhaltung aus
Das folgende Beispiel lässt eingehenden SSH-Verkehr aus dem angegebenen IPv4 Adressbereich zu. Da die Client-IP-Erhaltung ausgeschaltet ist, ist die IPv4 Quelladresse die Adresse der Endpunkt-Netzwerkschnittstelle. Die Adresse der Endpunkt-Netzwerkschnittstelle wird von ihrem Subnetz aus zugewiesen, sodass Sie den IPv4 Adressbereich der VPC verwenden können, um Verbindungen zu allen Instances in der VPC zuzulassen.
| Protokoll | Quelle | Port-Bereich | Kommentar |
|---|---|---|---|
| TCP | VPC IPv4 CIDR |
22 | Eingehenden SSH-Datenverkehr von der VPC zulassen |
Beispiel für eine Eingangsregel: Client-IP-Erhaltung an
Das folgende Beispiel erlaubt eingehenden SSH-Verkehr aus dem angegebenen Adressbereich. IPv4 Da die Client-IP-Erhaltung aktiviert ist, ist die IPv4 Quelladresse die Adresse des Clients.
| Protokoll | Quelle | Port-Bereich | Kommentar |
|---|---|---|---|
| TCP | Public IPv4 address range |
22 | Lässt eingehenden Datenverkehr aus dem angegebenen IPv4 Client-Adressbereich zu |
