Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheitsgruppenregeln für verschiedene Anwendungsfälle
Sie können eine Sicherheitsgruppe erstellen und dieser Regeln hinzufügen, die die Rolle der Instance reflektieren, mit der die Sicherheitsgruppe verbunden ist. Beispielsweise benötigt eine Instanz, die als Webserver konfiguriert ist, Sicherheitsgruppenregeln, die eingehenden Datenverkehr HTTP und HTTPS Zugriff zulassen. Ebenso benötigt eine Datenbankinstanz Regeln, die den Zugriff für den Datenbanktyp ermöglichen, z. B. den Zugriff über Port 3306 für My. SQL
Es folgen einige Beispiele für die Arten von Regeln, die Sie für bestimmte Zugriffsarten zu Sicherheitsgruppen hinzufügen können.
Beispiele
Anweisungen finden Sie unter Eine Sicherheitsgruppe erstellen und Sicherheitsgruppenregeln konfigurieren.
Webserverregeln
Die folgenden Regeln für eingehenden Datenverkehr ermöglichen HTTP HTTPS den Zugriff von einer beliebigen IP-Adresse aus. Wenn Ihre aktiviert VPC ist, können Sie Regeln hinzufügenIPv6, um eingehenden HTTP und von IPv6 Adressen ausgehenden HTTPS Datenverkehr zu kontrollieren.
| Protokolltyp | Protokollnummer | Port | Quell-IP | Hinweise |
|---|---|---|---|---|
| TCP | 6 | 80 () HTTP | 0.0.0.0/0 | Ermöglicht eingehenden HTTP Zugriff von einer beliebigen IPv4 Adresse aus |
| TCP | 6 | 443 () HTTPS | 0.0.0.0/0 | Ermöglicht eingehenden HTTPS Zugriff von einer beliebigen IPv4 Adresse aus |
| TCP | 6 | 80 () HTTP | ::/0 | Ermöglicht eingehenden HTTP Zugriff von einer beliebigen IPv6 Adresse aus |
| TCP | 6 | 443 () HTTPS | ::/0 | Ermöglicht eingehenden HTTPS Zugriff von einer beliebigen IPv6 Adresse aus |
Datenbankserverregeln
Die folgenden eingehenden Regeln sind Beispiele für Regeln, die Sie für den Datenbankzugriff hinzufügen können, je nachdem, auf welcher Art von Datenbank Ihre Instance ausgeführt wird. Weitere Informationen zu RDS Amazon-Instances finden Sie im RDSAmazon-Benutzerhandbuch.
geben Sie für die Quell-IP eine der folgenden Optionen an:
-
Eine bestimmte IP-Adresse oder ein Bereich von IP-Adressen (in CIDR Blockschreibweise) in Ihrem lokalen Netzwerk
-
Eine Sicherheitsgruppen-ID für eine Gruppe von Instances, die auf die Datenbank zugreifen.
| Protokolltyp | Protokollnummer | Port | Hinweise |
|---|---|---|---|
| TCP | 6 | 1433 (MSSQL) | Der Standardport für den Zugriff auf eine Microsoft SQL Server-Datenbank, z. B. auf einer RDS Amazon-Instance |
| TCP | 6 | 3306 (MYSQL/Aurora) | Der Standardport für den Zugriff auf eine My SQL - oder Aurora-Datenbank, z. B. auf einer RDS Amazon-Instance |
| TCP | 6 | 5439 (Redshift) | Der Standardport für den zugriff auf eine Amazon Redshift-Cluster-Datenbank |
| TCP | 6 | 5432 (SQLPostgret) | Der Standardport für den Zugriff auf eine SQL Postgre-Datenbank, z. B. auf einer Amazon-Instance RDS |
| TCP | 6 | 1521 (Oracle) | Der Standardport für den Zugriff auf eine Oracle-Datenbank, z. B. auf einer RDS Amazon-Instance |
Sie können optional den ausgehenden Verkehr von Ihren Datenbankservern einschränken. Sie könnten zum Beispiel den Zugriff auf das Internet für Softwareupdates erlauben, aber alle anderen Arten des Datenverkehrs einschränken. Sie müssen zuerst die standardmäßige ausgehende Regel entfernen, die allen ausgehenden Datenverkehr zulässt.
| Protokolltyp | Protokollnummer | Port | Ziel-IP | Hinweise |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Ermöglicht ausgehenden HTTP Zugriff auf jede Adresse IPv4 |
| TCP | 6 | 443 () HTTPS | 0.0.0.0/0 | Ermöglicht ausgehenden HTTPS Zugriff auf jede Adresse IPv4 |
| TCP | 6 | 80 () HTTP | ::/0 | (VPCNur IPv6 -aktiviert) Ermöglicht ausgehenden HTTP Zugriff auf eine beliebige Adresse IPv6 |
| TCP | 6 | 443 () HTTPS | ::/0 | (VPCNur IPv6 -aktiviert) Ermöglicht ausgehenden HTTPS Zugriff auf eine beliebige Adresse IPv6 |
Regeln für die Verbindung mit Instances von Ihrem Computer aus
Um eine Verbindung zu Ihrer Instance herzustellen, muss Ihre Sicherheitsgruppe über Regeln für eingehenden Datenverkehr verfügen, die den SSH Zugriff (für Linux-Instances) oder den RDP Zugriff (für Windows-Instances) zulassen.
| Protokolltyp | Protokollnummer | Port | Quell-IP |
|---|---|---|---|
| TCP | 6 | 22 () SSH | Die öffentliche IPv4 Adresse Ihres Computers oder ein Bereich von IP-Adressen in Ihrem lokalen Netzwerk. Wenn Ihr aktiviert VPC ist IPv6 und Ihre Instance über eine IPv6 Adresse verfügt, können Sie eine IPv6 Adresse oder einen Bereich eingeben. |
| TCP | 6 | 389 () RDP | Die öffentliche IPv4 Adresse Ihres Computers oder ein Bereich von IP-Adressen in Ihrem lokalen Netzwerk. Wenn Ihr aktiviert VPC ist IPv6 und Ihre Instance über eine IPv6 Adresse verfügt, können Sie eine IPv6 Adresse oder einen Bereich eingeben. |
Regeln für die Verbindung mit Instances von einer Instance mit der gleichen Sicherheitsgruppe aus
Um zuzulassen, dass Instances, die mit derselben Sicherheitsgruppe verbunden sind, miteinander kommunizieren, müssen Sie eine ausdrückliche Regel dafür hinzufügen.
Anmerkung
Wenn Sie Routen konfigurieren, um den Datenverkehr zwischen zwei Instances in unterschiedlichen Subnetzen über eine Middlebox-Appliance weiterzuleiten, müssen Sie sicherstellen, dass die Sicherheitsgruppen für beide Instances den Datenverkehr zwischen den Instances zulassen. Die Sicherheitsgruppe für jede Instance muss die private IP-Adresse der anderen Instance oder den CIDR Bereich des Subnetzes, das die andere Instance enthält, als Quelle referenzieren. Wenn Sie die Sicherheitsgruppe der anderen Instance als Quelle referenzieren, wird dadurch kein Datenverkehr zwischen den Instances möglich.
Die folgende Tabelle beschreibt die eingehende Regel für eine Sicherheitsgruppe, die zugehörigen Instances erlaubt, miteinander zu kommunizieren. Die Regel lässt alle Arten von Datenverkehr zu.
| Protokolltyp | Protokollnummer | Ports | Quell-IP |
|---|---|---|---|
| -1 (All) | -1 (All) | -1 (All) | Die ID der Sicherheitsgruppe oder der CIDR Bereich des Subnetzes, das die andere Instanz enthält (siehe Hinweis). |
Regeln für Ping/ ICMP
Der ping Befehl ist eine Art von ICMP Verkehr. Um Ihre Instance zu pingen, müssen Sie eine der folgenden ICMP Regeln für eingehenden Datenverkehr hinzufügen.
| Typ | Protokoll | Quelle |
|---|---|---|
| Benutzerdefiniert ICMP - IPv4 | Echo-Anforderung | Die öffentliche IPv4 Adresse Ihres Computers, eine bestimmte IPv4 Adresse IPv4 oder eine IPv6 Oder-Adresse von überall. |
| Alles ICMP - IPv4 | IPv4ICMP(1) | Die öffentliche IPv4 Adresse Ihres Computers, eine bestimmte IPv4 Adresse IPv4 oder eine IPv6 Oder-Adresse von überall. |
Um den ping6 Befehl zum Pingen der IPv6 Adresse für Ihre Instance zu verwenden, müssen Sie die folgende ICMPv6 Regel für eingehenden Datenverkehr hinzufügen.
| Typ | Protokoll | Quelle |
|---|---|---|
| Alles ICMP - IPv6 | IPv6ICMP(58) | Die IPv6 Adresse Ihres Computers, eine bestimmte IPv4 Adresse IPv4 oder eine IPv6 Oder-Adresse von überall. |
DNSServerregeln
Wenn Sie Ihre EC2 Instanz als DNS Server eingerichtet haben, müssen Sie sicherstellen, dass TCP der UDP Datenverkehr Ihren DNS Server über Port 53 erreichen kann.
geben Sie für die Quell-IP eine der folgenden Optionen an:
-
Eine IP-Adresse oder ein Bereich von IP-Adressen (in CIDR Blockschreibweise) in einem Netzwerk
-
Die ID einer Sicherheitsgruppe für die Gruppe von Instanzen in Ihrem Netzwerk, die Zugriff auf den DNS Server benötigen
| Protokolltyp | Protokollnummer | Port |
|---|---|---|
| TCP | 6 | 53 |
| UDP | 17 | 53 |
EFSAmazon-Regeln
Wenn Sie ein EFS Amazon-Dateisystem mit Ihren EC2 Amazon-Instances verwenden, muss die Sicherheitsgruppe, die Sie Ihren EFS Amazon-Mount-Zielen zuordnen, Datenverkehr über das NFS Protokoll zulassen.
| Protokolltyp | Protokollnummer | Ports | Quell-IP | Hinweise |
|---|---|---|---|---|
| TCP | 6 | 2049 () NFS | Die ID der Sicherheitsgruppe | Ermöglicht eingehenden NFS Zugriff von Ressourcen (einschließlich des Mount-Ziels), die dieser Sicherheitsgruppe zugeordnet sind |
Um ein EFS Amazon-Dateisystem auf Ihrer EC2 Amazon-Instance zu mounten, müssen Sie eine Verbindung zu Ihrer Instance herstellen. Daher muss die mit Ihrer Instance verknüpfte Sicherheitsgruppe über Regeln verfügen, die eingehende Zugriffe SSH von Ihrem lokalen Computer oder lokalen Netzwerk zulassen.
| Protokolltyp | Protokollnummer | Ports | Quell-IP | Hinweise |
|---|---|---|---|---|
| TCP | 6 | 22 () SSH | Der IP-Adressbereich Ihres lokalen Computers oder der IP-Adressbereich (in CIDR Blockschreibweise) für Ihr Netzwerk. | Ermöglicht eingehenden SSH Zugriff von Ihrem lokalen Computer aus. |
Elastic Load Balancing-Regeln
Wenn Sie Ihre EC2 Instances bei einem Load Balancer registrieren, muss die mit Ihrem Load Balancer verknüpfte Sicherheitsgruppe die Kommunikation mit den Instances zulassen. Weitere Informationen finden Sie im Folgenden in der Elastic Load Balancing Balancing-Dokumentation.
