Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheitsgruppenregeln
Die Regeln einer Sicherheitsgruppe steuern den eingehenden Datenverkehr, der die Ressourcen erreichen darf, die der Sicherheitsgruppe zugeordnet sind. Die Regeln steuern auch den ausgehenden Datenverkehr, der sie verlassen darf.
Sie können einer Sicherheitsgruppe Regeln hinzufügen oder diese entfernen (auch als Autorisieren oder Widerrufen des eingehenden bzw. ausgehenden Zugriffs bezeichnet). Eine Regel bezieht sich entweder auf den eingehenden Datenverkehr (Eingang) oder den ausgehenden Datenverkehr (Ausgang). Sie können Zugriff auf eine bestimmte Quelle oder ein bestimmtes Ziel gewähren.
Inhalt
Sicherheitsgruppen – Grundlagen für Regeln
Es folgen die grundlegenden Merkmale von Sicherheitsgruppenregeln:
-
Sie können Regeln zum Erlauben, aber nicht zum Ablehnen einrichten.
-
Wenn Sie eine Sicherheitsgruppe zuerst erstellen, verfügt sie über keine Regeln für den eingehenden Datenverkehr. Aus diesem Grund ist kein eingehender Verkehr erlaubt, bis Sie der Sicherheitsgruppe Regeln für eingehenden Verkehr hinzufügen.
-
Wenn Sie zum ersten Mal eine Sicherheitsgruppe erstellen, verfügt diese über eine Regel für ausgehenden Datenverkehr, die den gesamten ausgehenden Datenverkehr von der Ressource zulässt. Sie können die Regel entfernen und ausgehende Regeln hinzufügen, die nur bestimmten ausgehenden Datenverkehr erlauben. Wenn Ihre Sicherheitsgruppe keine Regeln für den ausgehenden Datenverkehr hat, ist kein ausgehender Datenverkehr erlaubt.
-
Wenn Sie mehrere Sicherheitsgruppen mit einer Ressource verbinden, werden die Regeln jeder Sicherheitsgruppe effektiv zu einem einzigen Regelsatz zusammengeführt, der verwendet wird um zu bestimmen, ob ein Zugriff zugelassen werden soll.
-
Wenn Sie Regeln hinzufügen, aktualisieren oder entfernen, gelten diese Änderungen automatisch für alle Ressourcen, die der Sicherheitsgruppe zugewiesen sind. Detaillierte Anweisungen finden Sie unter Konfigurieren Sie Sicherheitsgruppenregeln.
-
Die Auswirkung einiger Regeländerungen kann davon abhängen, wie der Datenverkehr nachverfolgt wird. Weitere Informationen finden Sie unter Verbindungsverfolgung im EC2Amazon-Benutzerhandbuch.
-
Wenn Sie eine Sicherheitsgruppenregel erstellen, AWS weist Sie der Regel eine eindeutige ID zu. Sie können die ID einer Regel verwenden, wenn Sie die API oder verwenden, um die Regel CLI zu ändern oder zu löschen.
Einschränkung
Sicherheitsgruppen können keine DNS Anfragen an oder vom Route 53 Resolver blockieren, der manchmal auch als „VPC+2-IP-Adresse“ bezeichnet wird (siehe Amazon Route 53 Resolverim Amazon Route 53 Developer Guide oder als. AmazonProvidedDNS Verwenden Sie die Route 53 Resolver Firewall, um DNS Anfragen über den Route 53 Resolver zu filtern. DNS
Komponenten einer Sicherheitsgruppenregel
Im Folgenden sind die Komponenten der Sicherheitsgruppenregeln für eingehenden und ausgehenden Datenverkehr aufgeführt:
-
Protokoll: Das zulässige Protokoll. Die gängigsten Protokolle sind 6 (TCP), 17 (UDP) und 1 (ICMP).
-
Portbereich: Für TCPUDP, oder ein benutzerdefiniertes Protokoll, der Bereich der Ports, die zugelassen werden sollen. Sie können eine einzelne Portnummer (zum Beispiel
22) oder einen Bereich von Portnummern (zum Beispiel7000-8000) angeben. -
ICMPTyp und Code: FürICMP, den ICMP Typ und den Code. Verwenden Sie beispielsweise Typ 8 für ICMP Echo Request oder Typ 128 für ICMPv6 Echo Request.
-
Quelle oder Ziel: Die Quelle (eingehende Regeln) oder das Ziel (ausgehende Regeln), die für den Datenverkehr zugelassen sind. Geben Sie eines der folgenden Elemente an:
-
Eine einzelne IPv4 Adresse. Sie müssen die
/32-Präfixlänge verwenden. Beispiel,203.0.113.1/32. -
Eine einzige IPv6 Adresse. Sie müssen die
/128-Präfixlänge verwenden. Beispiel,2001:db8:1234:1a00::123/128. -
Ein IPv4 Adressbereich in CIDR Blockschreibweise. Beispiel,
203.0.113.0/24. -
Ein IPv6 Adressbereich in CIDR Blockschreibweise. Beispiel,
2001:db8:1234:1a00::/64. -
Die ID einer Präfixliste. Beispiel,
pl-1234abc1234abc123. Weitere Informationen finden Sie unter Konsolidierung und Verwaltung von CIDR Netzwerkblöcken mit verwalteten Präfixlisten. -
Die ID einer Sicherheitsgruppe. Beispiel,
sg-1234567890abcdef0. Weitere Informationen finden Sie unter Referenzierung von Sicherheitsgruppen.
-
-
(Optional) Beschreibung: Sie können eine Beschreibung für die Regel hinzufügen, die Ihnen helfen kann, sie später zu identifizieren. Eine Beschreibung kann bis zu 255 Zeichen lang sein. Zulässige Zeichen sind a-z, A-Z, 0-9, , Leerzeichen und ._-:/()#,@[]+=;{}!$*.
Referenzierung von Sicherheitsgruppen
Wenn Sie eine Sicherheitsgruppe als Quelle oder Ziel für eine Regel angeben, wirkt sich die Regel auf alle Instances aus, die den Sicherheitsgruppen zugeordnet sind. Die Instances können unter Verwendung der privaten IP-Adressen der Instances über das festgelegte Protokoll und den angegebenen Port in die vorgegebene Richtung kommunizieren.
Das Folgende stellt beispielsweise eine Regel für eingehenden Datenverkehr für eine Sicherheitsgruppe dar, die auf die Sicherheitsgruppe sg-0abcdef1234567890 verweist. Diese Regel erlaubt eingehenden SSH Datenverkehr von den Instances, die mit sg-0abcdef1234567890 verknüpft sind.
| Quelle | Protocol (Protokoll) | Port-Bereich |
|---|---|---|
sg-0abcdef1234567890 |
TCP | 22 |
Berücksichtigen Sie Folgendes, wenn Sie in einer Sicherheitsgruppenregel auf eine Sicherheitsgruppe verweisen:
-
Beide Sicherheitsgruppen müssen derselben Gruppe oder einer Peer-Gruppe angehören. VPC VPC
-
Es werden keine Regeln aus der referenzierten Sicherheitsgruppe der Sicherheitsgruppe hinzugefügt, die darauf verweist.
-
Bei Regeln für eingehenden Datenverkehr können die mit einer Sicherheitsgruppe verknüpften EC2 Instances eingehenden Datenverkehr von den privaten IP-Adressen der EC2 Instances empfangen, die der referenzierten Sicherheitsgruppe zugeordnet sind.
-
Bei ausgehenden Regeln können die mit einer Sicherheitsgruppe verknüpften EC2 Instances ausgehenden Datenverkehr an die privaten IP-Adressen der EC2 Instances senden, die der referenzierten Sicherheitsgruppe zugeordnet sind.
Einschränkung
Wenn Sie Routen konfigurieren, um den Datenverkehr zwischen zwei Instances in unterschiedlichen Subnetzen über eine Middlebox-Appliance weiterzuleiten, müssen Sie sicherstellen, dass die Sicherheitsgruppen für beide Instances den Datenverkehr zwischen den Instances zulassen. Die Sicherheitsgruppe für jede Instanz muss auf die private IP-Adresse der anderen Instance oder den CIDR Bereich des Subnetzes verweisen, das die andere Instance als Quelle enthält. Wenn Sie die Sicherheitsgruppe der anderen Instance als Quelle referenzieren, wird dadurch kein Datenverkehr zwischen den Instances möglich.
Beispiel
Das folgende Diagramm zeigt einen VPC mit Subnetzen in zwei Availability Zones, einem Internet-Gateway und einem Application Load Balancer. Jede Availability Zone hat ein öffentliches Subnetz für Webserver und ein privates Subnetz für Datenbankserver. Es gibt separate Sicherheitsgruppen für den Load Balancer, die Webserver und die Datenbankserver. Erstellen Sie die folgenden Sicherheitsgruppenregeln, um Datenverkehr zuzulassen.
-
Fügen Sie der Load Balancer-Sicherheitsgruppe Regeln hinzu, um HTTPS Datenverkehr aus dem HTTP Internet zuzulassen. Die Quelle ist 0.0.0.0/0.
-
Fügen Sie der Sicherheitsgruppe Regeln hinzu, damit die Webserver nur HTTPS Datenverkehr vom Load Balancer zulassenHTTP. Die Quelle ist die Sicherheitsgruppe für den Load Balancer.
-
Fügen Sie der Sicherheitsgruppe Regeln für die Datenbankserver Regeln hinzu, um nur Datenbankanforderungen von den Webservern zuzulassen. Die Quelle ist die Sicherheitsgruppe für die Webserver.
Größe der Sicherheitsgruppe
Der Typ der Quelle oder des Ziels bestimmt, wie jede Regel auf die maximale Anzahl von Regeln angerechnet wird, die Sie pro Sicherheitsgruppe haben können.
-
Eine Regel, die auf einen CIDR Block verweist, zählt als eine Regel.
-
Eine Regel, die auf eine andere Sicherheitsgruppe verweist, gilt als eine Regel, und zwar unabhängig von der Größe der referenzierten Sicherheitsgruppe.
-
Eine Regel, die auf eine vom Kunden verwaltete Präfixliste verweist, gilt als maximale Größe der Präfixliste. Wenn die maximale Größe Ihrer Präfixliste beispielsweise 20 beträgt, gilt eine Regel, die auf diese Präfixliste verweist, als 20 Regeln.
-
Eine Regel, die auf eine von AWS-verwaltete Präfixliste verweist, zählt als Gewichtung der Präfixliste. Wenn die Gewichtung der Präfixliste beispielsweise 10 beträgt, zählt eine Regel, die auf diese Präfixliste verweist, als 10 Regeln. Weitere Informationen finden Sie unter Verfügbare AWS— verwaltete Präfixlisten.
Veraltete Sicherheitsgruppenregeln
Wenn Sie VPC über eine VPC Peering-Verbindung mit einem anderen VPC Konto verfügen oder wenn es ein von einem anderen Konto VPC geteiltes Konto verwendet, VPC kann eine Sicherheitsgruppenregel in Ihrem Konto auf eine Sicherheitsgruppe in diesem Peer VPC oder auf eine gemeinsame Sicherheitsgruppe verweisen. VPC Dadurch können Ressourcen, die der referenzierten Sicherheitsgruppe zugeordnet sind, und solche, die der referenzierenden Sicherheitsgruppe zugeordnet sind, miteinander kommunizieren. Weitere Informationen finden Sie unter Aktualisieren Sie Ihre Sicherheitsgruppen, um Peer-Sicherheitsgruppen zu referenzieren im Amazon VPC Peering Guide.
Wenn Sie eine Sicherheitsgruppenregel haben, die auf eine Sicherheitsgruppe in einem Peer VPC oder einer gemeinsam genutzten Gruppe verweist, VPC und die Sicherheitsgruppe in der gemeinsam genutzten Gruppe gelöscht VPC wird oder die VPC Peering-Verbindung gelöscht wird, ist die Sicherheitsgruppenregel als veraltet markiert. Sie können veraltete Sicherheitsgruppenregeln genau wie alle anderen Sicherheitsgruppenregeln löschen.
