Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Sicherheitsgruppen für Ihren Application Load Balancer
<a name="load-balancer-update-security-groups"></a>

Die Sicherheitsgruppe für Ihren Application Load Balancer steuert den Datenverkehr, der den Load Balancer erreichen und verlassen darf. Sie müssen sicherstellen, dass der Load Balancer mit den registrierten Zielen sowohl auf dem Listener-Port als auch auf dem Zustandsprüfungs-Port kommunizieren kann. Wenn Sie einen Listener zum Load Balancer hinzufügen oder den Zustandsprüfungs-Port für eine Zielgruppe, die vom Load Balancer zum Weiterleiten von Anforderungen verwendet wird, aktualisieren, müssen Sie überprüfen, ob die Sicherheitsgruppen für den Load Balancer den Datenverkehr auf dem neuen Port in beide Richtungen zulassen. Falls nicht, können Sie die Regeln für die derzeit zugeordneten Sicherheitsgruppen ändern oder dem Load Balancer andere Sicherheitsgruppen zuordnen. Sie können die Ports und Protokolle auswählen, die zugelassen werden sollen. Sie können beispielsweise ICMP-Verbindungen (Internet Control Message Protocol) für den Load Balancer öffnen, um auf Ping-Anforderungen zu antworten (Ping-Anforderungen werden jedoch nicht an alle Instances übermittelt).

**Überlegungen**
+ Um sicherzustellen, dass Ihre Ziele ausschließlich Traffic vom Load Balancer erhalten, beschränken Sie die mit Ihren Zielen verknüpften Sicherheitsgruppen so, dass sie ausschließlich Traffic vom Load Balancer akzeptieren. Dies kann erreicht werden, indem Sie die Sicherheitsgruppe des Load Balancers als Quelle in der Eingangsregel der Sicherheitsgruppe des Ziels festlegen.
+ Wenn Ihr Application Load Balancer das Ziel eines Network Load Balancers ist, verwenden die Sicherheitsgruppen für Ihren Application Load Balancer die Verbindungsverfolgung, um Informationen über den vom Network Load Balancer kommenden Datenverkehr zu verfolgen. Das geschieht unabhängig von den Sicherheitsgruppenregeln, die für Ihren Application Load Balancer festgelegt wurden. Weitere Informationen finden Sie unter [Verbindungsverfolgung von Sicherheitsgruppen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) im *Amazon EC2 EC2-Benutzerhandbuch*.
+ Wir empfehlen, eingehenden ICMP-Verkehr zuzulassen, um Path MTU Discovery zu unterstützen. Weitere Informationen finden Sie unter [Path MTU Discovery](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html#path_mtu_discovery) im *Amazon EC2 EC2-Benutzerhandbuch*.

## Empfohlene Regeln
<a name="security-group-recommended-rules"></a>

Die folgenden Regeln werden für einen mit dem Internet verbundenen Load Balancer mit Instances als Ziel empfohlen.


| 
| 
| **Inbound** | 
| --- |
|  Source  |  Port Range  |  Comment  | 
|  0.0.0.0/0  |  *listener*  |  Allen eingehenden Datenverkehr auf dem Load Balancer Listener-Port erlauben  | 
|   **Outbound**   | 
| --- |
|  Destination  |  Port Range  |  Comment  | 
|  *instance security group*  |  *instance listener*  |  Ausgehenden Datenverkehr an Instances auf dem Instance-Listener-Port erlauben  | 
|  *instance security group*  |  *health check*  |  Ausgehenden Datenverkehr an Instances auf dem Zustandsprüfungsport erlauben  | 

Die folgenden Regeln werden für einen internen Load Balancer mit Instances als Zielen empfohlen.


| 
| 
| **Inbound** | 
| --- |
|  Source  |  Port Range  |  Comment  | 
|  *VPC CIDR*  |  *listener*  |  Eingehenden Datenverkehr aus dem VPC CIDR auf dem Load Balancer-Listener-Port erlauben  | 
|   **Outbound**   | 
| --- |
|  Destination  |  Port Range  |  Comment  | 
|  *instance security group*  |  *instance listener*  |  Ausgehenden Datenverkehr an Instances auf dem Instance-Listener-Port erlauben  | 
|  *instance security group*  |  *health check*  |  Ausgehenden Datenverkehr an Instances auf dem Zustandsprüfungsport erlauben  | 

Die folgenden Regeln werden für einen Application Load Balancer mit Instances als Ziel empfohlen, der selbst ein Ziel eines Network Load Balancer ist.


| 
| 
| **Inbound** | 
| --- |
|  Source  |  Port Range  |  Comment  | 
|  *client IP addresses/CIDR*  |  *`alb `listener*  |  Eingehenden Client-Datenverkehr am Load-Balancer-Listener-Port erlauben.  | 
|  *VPC CIDR*  |  *`alb `listener*  |  Lassen Sie eingehenden Client-Verkehr über AWS PrivateLink den Listener-Port des Load Balancers zu  | 
|  *VPC CIDR*  |  *`alb `listener*  |  Eingehenden Zustandsdatenverkehr vom Network Load Balancer erlauben  | 
|   **Outbound**   | 
| --- |
|  Destination  |  Port Range  |  Comment  | 
|  *instance security group*  |  *instance listener*  |  Ausgehenden Datenverkehr an Instances auf dem Instance-Listener-Port erlauben  | 
|  *instance security group*  |  *health check*  |  Ausgehenden Datenverkehr an Instances auf dem Zustandsprüfungsport erlauben  | 

## Aktualisieren der zugeordneten Sicherheitsgruppen
<a name="update-group"></a>

Sie können die dem Load Balancer zugeordneten Sicherheitsgruppen jederzeit ändern.

------
#### [ Console ]

**Um Sicherheitsgruppen zu aktualisieren**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie im Navigationsbereich **Load Balancers** aus.

1. Wählen Sie den Load Balancer aus.

1. Wählen Sie auf der Registerkarte **Sicherheit** die Option **Bearbeiten** aus.

1. Um eine Sicherheitsgruppe mit Ihrem Load Balancer zu verknüpfen, wählen Sie sie aus. Um eine Sicherheitsgruppenverknüpfung zu entfernen, wählen Sie das **X**-Symbol für die Sicherheitsgruppe.

1. Wählen Sie **Änderungen speichern ** aus.

------
#### [ AWS CLI ]

**Um Sicherheitsgruppen zu aktualisieren**  
Verwenden Sie den Befehl [set-security-groups](https://docs.aws.amazon.com/cli/latest/reference/elbv2/set-security-groups.html).

```
aws elbv2 set-security-groups \
    --load-balancer-arn load-balancer-arn \
    --security-groups sg-01dd3383691d02f42 sg-00f4e409629f1a42d
```

------
#### [ CloudFormation ]

**Um Sicherheitsgruppen zu aktualisieren**  
Aktualisieren Sie die [AWS::ElasticLoadBalancingV2::LoadBalancer](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-loadbalancer.html)Ressource.

```
Resources:
  myLoadBalancer:
    Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
    Properties:
      Name: my-alb
      Type: application
      Scheme: internal
      Subnets: 
        - !Ref subnet-AZ1
        - !Ref subnet-AZ2
      SecurityGroups: 
        - !Ref mySecurityGroup
        - !Ref myNewSecurityGroup
```

------