Zugriffskontrolle mit Sicherheitsgruppen - Amazon Relational Database Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriffskontrolle mit Sicherheitsgruppen

VPCSicherheitsgruppen kontrollieren den Zugriff, den der Datenverkehr innerhalb und außerhalb eines hat. Standardmäßig ist der Netzwerkzugriff auf eine DB-Instance deaktiviert. Sie können Regeln in einer Sicherheitsgruppe angeben, die den Zugriff aus einem IP-Adressbereich, über einen Port oder für eine Sicherheitsgruppe zulassen. Nach der Konfiguration von ingress-Regeln gelten diese für alle DB-Instances, die dieser Sicherheitsgruppe zugeordnet sind. Sie können bis zu 20 Regeln in einer Sicherheitsgruppe angeben.

Überblick über VPC Sicherheitsgruppen

Jede VPC Sicherheitsgruppenregel ermöglicht es einer bestimmten Quelle, auf einen in einem zuzugreifenVPC, der dieser VPC Sicherheitsgruppe zugeordnet ist. Die Quelle kann ein Adressbereich (z. B. 203.0.113.0/24) oder eine andere Sicherheitsgruppe sein. VPC Wenn Sie eine VPC Sicherheitsgruppe als Quelle angeben, lassen Sie eingehenden Datenverkehr von allen Instanzen (normalerweise Anwendungsservern) zu, die die Quellsicherheitsgruppe verwenden. VPC VPCSicherheitsgruppen können Regeln haben, die sowohl den eingehenden als auch den ausgehenden Datenverkehr regeln. Die Regeln für ausgehenden Datenverkehr gelten jedoch normalerweise nicht für DB-Instances. Die Regeln für den ausgehenden Datenverkehr gelten nur, wenn die DB-Instance als Client agiert. Zum Beispiel gelten Regeln für ausgehenden Datenverkehr für eine Oracle DB-Instance mit ausgehenden Datenbankverknüpfungen. Sie müssen die Option Amazon EC2 API oder Security Group auf der VPC Konsole verwenden, um VPC Sicherheitsgruppen zu erstellen.

Wenn Sie Regeln für Ihre VPC Sicherheitsgruppe erstellen, die den Zugriff auf die in Ihrem ermöglichenVPC, müssen Sie für jeden Adressbereich, für den die Regel Zugriff gewährt, einen Port angeben. Wenn Sie beispielsweise den Secure Shell (SSH) -Zugriff für Instanzen in der aktivieren möchtenVPC, erstellen Sie eine Regel, die den Zugriff auf TCP Port 22 für den angegebenen Adressbereich ermöglicht.

Sie können mehrere VPC Sicherheitsgruppen konfigurieren, die den Zugriff auf verschiedene Ports für verschiedene Instanzen in Ihrem ermöglichenVPC. Sie können beispielsweise eine VPC Sicherheitsgruppe erstellen, die den Zugriff auf TCP Port 80 für Webserver in Ihrem ermöglichtVPC. Sie können dann eine weitere VPC Sicherheitsgruppe erstellen, die den Zugriff auf TCP Port 3306 RDSfür My SQL DB-Instances in Ihrem VPC ermöglicht.

Weitere Informationen zu VPC Sicherheitsgruppen finden Sie unter Sicherheitsgruppen im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch.

Anmerkung

Wenn sich Ihr in einem befindet, VPC aber nicht öffentlich zugänglich ist, können Sie auch einen verwenden AWS Site-to-Site-Verbindung oder VPN ein AWS Direct Connect Verbindung, um von einem privaten Netzwerk aus darauf zuzugreifen. Weitere Informationen finden Sie unter Richtlinie für den Datenverkehr zwischen Netzwerken.

Sicherheitsgruppenszenario

Eine übliche Verwendung eines in einem VPC ist die gemeinsame Nutzung von Daten mit einem Anwendungsserver, der in einer EC2 Amazon-Instance in derselben ausgeführt wirdVPC, auf die von einer Client-Anwendung außerhalb des zugegriffen wirdVPC. Für dieses Szenario verwenden Sie die VPC Seiten RDS und auf der AWS Management Console oder die EC2 API Operationen RDS und, um die erforderlichen Instanzen und Sicherheitsgruppen zu erstellen:

  1. Erstellen Sie eine VPC Sicherheitsgruppe (z. B.sg-0123ec2example) und definieren Sie Regeln für eingehenden Datenverkehr, die die IP-Adressen der Client-Anwendung als Quelle verwenden. Diese Sicherheitsgruppe ermöglicht es Ihrer Client-Anwendung, eine Verbindung zu EC2 Instances in einer Instanz herzustellenVPC, die diese Sicherheitsgruppe verwendet.

  2. Erstellen Sie eine EC2 Instanz für die Anwendung und fügen Sie die EC2 Instanz der VPC Sicherheitsgruppe (sg-0123ec2example) hinzu, die Sie im vorherigen Schritt erstellt haben.

  3. Erstellen Sie eine zweite VPC Sicherheitsgruppe (z. B.sg-6789rdsexample) und erstellen Sie eine neue Regel, indem Sie die VPC Sicherheitsgruppe, die Sie in Schritt 1 (sg-0123ec2example) erstellt haben, als Quelle angeben.

  4. Erstellen Sie einen neuen und fügen Sie den der VPC Sicherheitsgruppe (sg-6789rdsexample) hinzu, die Sie im vorherigen Schritt erstellt haben. Verwenden Sie beim Erstellen des dieselbe Portnummer wie die, die Sie für die VPC Sicherheitsgruppenregel (sg-6789rdsexample) angegeben haben, die Sie in Schritt 3 erstellt haben.

Im folgenden Diagramm wird dieses Szenario veranschaulicht.

und EC2 Instance in einem VPC

Detaillierte Anweisungen zur Konfiguration eines VPC für dieses Szenario finden Sie unterTutorial: Erstellen einer VPC zur Verwendung mit einer DB-Instance (nur IPv4). Weitere Informationen zur Verwendung von finden Sie unterAmazon VPC und Amazon RDS. VPC

Eine VPC Sicherheitsgruppe erstellen

Sie können mithilfe der VPC Konsole eine VPC Sicherheitsgruppe für eine DB-Instance erstellen. Weitere Informationen zum Erstellen einer Sicherheitsgruppe finden Sie unter Ermöglichen Sie Zugriff auf Ihre DB-Instance in Ihrem, VPC indem Sie eine Sicherheitsgruppe erstellen und Sicherheitsgruppen im Amazon Virtual Private Cloud-Benutzerhandbuch.

Verknüpfen einer Sicherheitsgruppe mit einer DB-Instance

Sie können einer DB-Instance eine Sicherheitsgruppe zuordnen, indem Sie Modify auf der RDS Konsole RDSAPI, ModifyDBInstance Amazon oder modify-db-instance AWS CLI Befehl.

Im folgenden CLI Beispiel wird eine bestimmte VPC Sicherheitsgruppe zugeordnet und DB-Sicherheitsgruppen aus der DB-Instance entfernt

aws rds modify-db-instance --db-instance-identifier dbName --vpc-security-group-ids sg-ID

Informationen zum Ändern einer DB-Instance finden Sie unter Ändern einer Amazon RDS DB-Instance. Informationen zu Betrachtungen über Sicherheitsgruppen beim Wiederherstellen einer DB-Instance aus einem DB-Snapshot finden Sie unter Überlegungen zu Sicherheitsgruppen.

Anmerkung

Die RDS Konsole zeigt verschiedene Namen von Sicherheitsgruppenregeln für Ihre Datenbank an, wenn der Port-Wert auf einen anderen Wert als den Standardwert konfiguriert ist.

RDSFür Oracle-DB-Instances können zusätzliche Sicherheitsgruppen zugeordnet werden, indem die Einstellungen für die Sicherheitsgruppenoptionen für die Optionen Oracle Enterprise Manager Database Express (OEM), Oracle Management Agent for Enterprise Manager Cloud Control (OEMAgent) und Oracle Secure Sockets Layer aufgefüllt werden. In diesem Fall gelten sowohl die der DB-Instance zugewiesenen Sicherheitsgruppen als auch die Optionseinstellungen für die DB-Instance. Weitere Informationen zu diesen Optionsgruppen finden Sie unter Oracle Enterprise ManagerOracle Management Agent für Enterprise Cloud Control, undOracle Secure Sockets Layer.