Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheitsgruppen für EC2 Instance Connect Endpoint
Eine Sicherheitsgruppe steuert den Datenverkehr, der die Ressourcen erreichen und verlassen darf, mit denen er verknüpft ist. Beispielsweise verweigern wir den Datenverkehr zu und von einer EC2 Amazon-Instance, sofern er nicht ausdrücklich von den mit der Instance verknüpften Sicherheitsgruppen zugelassen wird.
Die folgenden Beispiele zeigen Ihnen, wie Sie die Sicherheitsgruppenregeln für den EC2 Instance Connect-Endpunkt und die Ziel-Instances konfigurieren.
Beispiele
EC2Sicherheitsgruppenregeln für Instance Connect Endpoint
Die Sicherheitsgruppenregeln für einen EC2 Instance Connect-Endpunkt müssen zulassen, dass ausgehender Datenverkehr, der für die Ziel-Instances bestimmt ist, den Endpunkt verlässt. Sie können entweder die Instanz-Sicherheitsgruppe oder den IPv4 Adressbereich von VPC als Ziel angeben.
Der Datenverkehr zum Endpunkt stammt vom EC2 Instance Connect Endpoint Service und ist unabhängig von den Regeln für eingehende Nachrichten für die Endpunkt-Sicherheitsgruppe zulässig. Um zu kontrollieren, wer EC2 Instance Connect Endpoint verwenden kann, um eine Verbindung zu einer Instance herzustellen, verwenden Sie eine IAM Richtlinie. Weitere Informationen finden Sie unter Berechtigungen zur Verwendung von EC2 Instance Connect Endpoint zum Herstellen einer Verbindung zu Instanzen.
Beispiel für eine ausgehende Regel: Referenzierung von Sicherheitsgruppen
Im folgenden Beispiel wird auf Sicherheitsgruppen verwiesen, was bedeutet, dass das Ziel eine Sicherheitsgruppe ist, die den Zielinstanzen zugeordnet ist. Diese Regel erlaubt ausgehenden Datenverkehr vom Endpunkt zu allen Instances, die diese Sicherheitsgruppe verwenden.
| Protokoll | Bestimmungsort | Port-Bereich | Kommentar |
|---|---|---|---|
| TCP | ID of instance security group |
22 | Erlaubt ausgehenden SSH Datenverkehr zu allen Instances, die der Instanz-Sicherheitsgruppe zugeordnet sind |
Beispiel für ausgehenden Datenverkehr: Adressbereich IPv4
Das folgende Beispiel erlaubt ausgehenden Verkehr in den angegebenen IPv4 Adressbereich. Die IPv4 Adressen einer Instance werden von ihrem Subnetz aus zugewiesen, sodass Sie den IPv4 Adressbereich von verwenden können. VPC
| Protokoll | Bestimmungsort | Port-Bereich | Kommentar |
|---|---|---|---|
| TCP | VPC IPv4 CIDR |
22 | Ermöglicht ausgehenden SSH Datenverkehr zum VPC |
Regeln für die Sicherheitsgruppe der Zielinstanz
Die Sicherheitsgruppenregeln für Ziel-Instances müssen eingehenden Datenverkehr vom EC2 Instance Connect-Endpunkt zulassen. Sie können entweder die Endpunkt-Sicherheitsgruppe oder einen IPv4 Adressbereich als Quelle angeben. Wenn Sie einen IPv4 Adressbereich angeben, hängt die Quelle davon ab, ob die Client-IP-Erhaltung aus- oder aktiviert ist. Weitere Informationen finden Sie unter Überlegungen.
Da Sicherheitsgruppen statusbehaftet sind, darf der Antwortdatenverkehr die Gruppe verlassen, VPC unabhängig von den Regeln für ausgehende Nachrichten für die Instanz-Sicherheitsgruppe.
Beispiel für eine Regel für eingehenden Datenverkehr: Referenzierung von Sicherheitsgruppen
Im folgenden Beispiel wird auf Sicherheitsgruppen verwiesen, was bedeutet, dass die Quelle die Sicherheitsgruppe ist, die dem Endpunkt zugeordnet ist. Diese Regel erlaubt eingehenden SSH Datenverkehr vom Endpunkt zu allen Instances, die diese Sicherheitsgruppe verwenden, unabhängig davon, ob die Client-IP-Erhaltung aktiviert oder deaktiviert ist. Wenn es keine anderen Regeln für eingehende Sicherheitsgruppen gibtSSH, akzeptieren die Instances nur SSH Datenverkehr vom Endpunkt.
| Protokoll | Quelle | Port-Bereich | Kommentar |
|---|---|---|---|
| TCP | ID of endpoint security group |
22 | Lässt eingehenden SSH Datenverkehr von den Ressourcen zu, die der Endpunkt-Sicherheitsgruppe zugeordnet sind |
Beispiel für eine Regel für eingehenden Datenverkehr: Client-IP-Erhaltung aus
Das folgende Beispiel erlaubt eingehenden SSH Datenverkehr aus dem angegebenen IPv4 Adressbereich. Da die Client-IP-Erhaltung ausgeschaltet ist, ist die IPv4 Quelladresse die Adresse der Endpunkt-Netzwerkschnittstelle. Die Adresse der Endpunkt-Netzwerkschnittstelle wird von ihrem Subnetz aus zugewiesen, sodass Sie den IPv4 Adressbereich von verwenden können, VPC um Verbindungen zu allen Instanzen in der VPC zuzulassen.
| Protokoll | Quelle | Port-Bereich | Kommentar |
|---|---|---|---|
| TCP | VPC IPv4 CIDR |
22 | Ermöglicht eingehenden SSH Verkehr von VPC |
Beispiel für eine Regel für eingehenden Datenverkehr: Client-IP-Erhaltung aktiviert
Das folgende Beispiel erlaubt eingehenden SSH Datenverkehr aus dem angegebenen IPv4 Adressbereich. Da die Client-IP-Erhaltung aktiviert ist, ist die IPv4 Quelladresse die Adresse des Clients.
| Protokoll | Quelle | Port-Bereich | Kommentar |
|---|---|---|---|
| TCP | Public IPv4 address range |
22 | Lässt eingehenden Datenverkehr aus dem angegebenen IPv4 Client-Adressbereich zu |
