Verwenden von Sicherheitsgruppen - AWS OpsWorks
Sicherheitsgruppen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Sicherheitsgruppen

Wichtig

Der AWS OpsWorks Stacks Dienst hat am 26. Mai 2024 das Ende seiner Lebensdauer erreicht und wurde sowohl für neue als auch für bestehende Kunden deaktiviert. Wir empfehlen Kunden dringend, ihre Workloads so bald wie möglich auf andere Lösungen zu migrieren. Wenn Sie Fragen zur Migration haben, wenden Sie sich an das AWS -Support Team auf AWS re:POST oder über den AWS Premium-Support.

Sicherheitsgruppen

Wichtig

Der AWS OpsWorks Stacks Service hat am 26. Mai 2024 das Ende seiner Lebensdauer erreicht und wurde sowohl für neue als auch für bestehende Kunden deaktiviert. Wir empfehlen Kunden dringend, ihre Workloads so bald wie möglich auf andere Lösungen zu migrieren. Wenn Sie Fragen zur Migration haben, wenden Sie sich an das AWS -Support Team auf AWS re:POST oder über den AWS Premium-Support.

Jede EC2 Amazon-Instance hat eine oder mehrere zugehörige Sicherheitsgruppen, die den Netzwerkverkehr der Instance steuern, ähnlich wie bei einer Firewall. Eine Sicherheitsgruppe enthält eine oder mehrere Regeln, die jeweils eine bestimmte Kategorie des zulässigen Datenverkehrs definieren. Eine Regel definiert Folgendes:

  • Den Typ des zulässigen Datenverkehrs, z. B. SSH oder HTTP.

  • Das Protokoll des Datenverkehrs, z. B. TCP oder UDP.

  • Den für den eingehenden Datenverkehr zulässigen IP-Adressbereich.

  • Den für den Datenverkehr zulässigen Port-Bereich.

Die Sicherheitsgruppen haben zwei Arten von Regeln:

  • Die Regeln für eingehenden Datenverkehr regeln den eingehenden Netzwerkverkehr.

    Zum Beispiel haben Anwendungsserver-Instances normalerweise eine Regel für den eingehenden Datenverkehr, der den eingehenden HTTP-Datenverkehr von einer beliebigen IP-Adresse an Port 80 leitet, sowie eine weitere Regel für eingehenden Datenverkehr, der SSH-Datenverkehr von einem bestimmten Satz von IP-Adressen über Port 22 zulässt.

  • Die Regeln für den ausgehenden Datenverkehr steuern den ausgehenden Netzwerkverkehr.

    Üblicherweise werden die Standardeinstellung verwendet, die jeglichen ausgehenden Datenverkehr zulassen.

Weitere Informationen zu Sicherheitsgruppen finden Sie unter Amazon EC2 Security Groups.

Wenn Sie zum ersten Mal einen Stack in einer Region erstellen, erstellt AWS OpsWorks Stacks für jede Ebene eine integrierte Sicherheitsgruppe mit einem entsprechenden Regelsatz. Alle Gruppen verfügen über Standardregeln für den ausgehenden Datenverkehr, die sämtlichen ausgehenden Datenverkehr zulassen. Grundsätzlich lassen die Regeln für den eingehenden Datenverkehr Folgendes zu:

  • Eingehender TCP-, UDP- und ICMP-Verkehr aus den entsprechenden Stacks-Schichten AWS OpsWorks

  • Eingehender TCP-Datenverkehr auf Port 22 (SSH-Anmeldung).

    Warnung

    Die Standardkonfiguration der Sicherheitsgruppe öffnet Port 22 (SSH) für alle Netzwerkstandorte (0.0.0.0/0). Auf diese Weise erhalten alle IP-Adressen Zugriff auf Ihre Instance über SSH. Für Produktionsumgebungen müssen Sie eine Konfiguration verwenden, die nur den SSH-Zugriff von einer bestimmten IP-Adresse oder einem bestimmte IP-Adressbereich zulässt. Aktualisieren Sie entweder die Standard-Sicherheitsgruppen unmittelbar, nachdem sie erstellt wurden, oder verwenden Sie benutzerdefinierte Sicherheitsgruppen.

  • Bei Webserver-Layern muss sämtlicher TCP- und UDP-Datenverkehr über die Ports 80 (HTTP) und 443 (HTTPS) erfolgen.

Anmerkung

Die integrierte AWS-OpsWorks-RDP-Server-Sicherheitsgruppe ist allen Windows-Instances zugewiesen, um den RDP-Zugriff zuzulassen. Allerdings sind standardmäßig keine Regeln festgelegt. Wenn Sie einen Windows-Stack ausführen und mit RDP auf Instances zugreifen möchten, müssen Sie eine Regel für den eingehenden Datenverkehr hinzufügen, die den RDP-Zugriff zulässt. Weitere Informationen finden Sie unter Anmelden mit RDP.

Um die Details für jede Gruppe zu sehen, gehen Sie zur EC2Amazon-Konsole, wählen Sie im Navigationsbereich Sicherheitsgruppen und wählen Sie die Sicherheitsgruppe der entsprechenden Ebene aus. Zum Beispiel ist AWS- OpsWorks -Default-Server die standardmäßig integrierte Sicherheitsgruppe für alle Stacks, und AWS- OpsWorks - WebApp ist die standardmäßige integrierte Sicherheitsgruppe für den Chef 12-Beispielstapel.

Anmerkung

Wenn Sie versehentlich eine AWS OpsWorks Stacks-Sicherheitsgruppe löschen, besteht die bevorzugte Methode, sie neu zu erstellen, darin, Stacks die Aufgabe für Sie ausführen zu lassen AWS OpsWorks . Erstellen Sie einfach einen neuen Stack in derselben AWS-Region — und VPC, falls vorhanden — und AWS OpsWorks Stacks erstellt automatisch alle integrierten Sicherheitsgruppen neu, einschließlich der gelöschten. Anschließend können Sie den Stack löschen, wenn Sie keine weitere Verwendung dafür haben. Die Sicherheitsgruppen bleiben erhalten. Wenn Sie die Sicherheitsgruppe manuell neu erstellen möchten, müssen Sie eine exakte Kopie der ursprünglichen Datei unter Beachtung der Groß-/Kleinschreibung des Gruppennamens erstellen.

Darüber hinaus versucht AWS OpsWorks Stacks, alle integrierten Sicherheitsgruppen neu zu erstellen, wenn einer der folgenden Fälle eintritt:

  • Sie nehmen alle Änderungen an der Einstellungsseite des Stacks in der AWS OpsWorks Stacks-Konsole vor.

  • Sie starten eine der Stack-Instances.

  • Sie erstellen einen neuen Stack.

Sie können eine der folgenden Methoden wählen, um Sicherheitsgruppen anzugeben. Sie verwenden die Einstellung OpsWorks Sicherheitsgruppen verwenden, um Ihre Präferenz anzugeben, wenn Sie einen Stack erstellen.

  • Ja (Standardeinstellung) — AWS OpsWorks Stacks ordnet jeder Ebene automatisch die entsprechende integrierte Sicherheitsgruppe zu.

    Sie können eine Feinabstimmung der integrierten Sicherheitsgruppe eines Layers vornehmen, indem Sie eine benutzerdefinierte Sicherheitsgruppe mit Ihren bevorzugten Einstellungen hinzufügen. Wenn Amazon jedoch mehrere Sicherheitsgruppen EC2 auswertet, verwendet es die am wenigsten restriktiven Regeln, sodass Sie diesen Ansatz nicht verwenden können, um restriktivere Regeln als die integrierte Gruppe anzugeben.

  • Nein — AWS OpsWorks Stacks ordnet integrierte Sicherheitsgruppen keinen Ebenen zu.

    Sie müssen geeignete Sicherheitsgruppen erstellen und alle von Ihnen erstellten Layer mindestens einer Sicherheitsgruppe zuordnen. Verwenden Sie diese Methode, um restriktivere Regeln als die integrierten Gruppen festzulegen. Beachten Sie dabei, dass Sie eine integrierte Sicherheitsgruppe immer noch manuell einem Layer zuordnen können, wenn Sie das bevorzugen. Benutzerdefinierte Sicherheitsgruppen sind nur für die Layer erforderlich, für die benutzerdefinierte Einstellungen anzugeben sind.

Wichtig

Wenn Sie integrierte Sicherheitsgruppen verwenden, ist es nicht möglich, durch manuelles Ändern der Gruppe restriktivere Regeln zu erstellen. Jedes Mal, wenn Sie einen Stack erstellen, überschreibt AWS OpsWorks Stacks die Konfigurationen der integrierten Sicherheitsgruppen, sodass alle Änderungen, die Sie vornehmen, verloren gehen, wenn Sie das nächste Mal einen Stack erstellen. Wenn für eine Ebene restriktivere Sicherheitsgruppeneinstellungen erforderlich sind als für die integrierte Sicherheitsgruppe, setzen Sie OpsWorks Sicherheitsgruppen verwenden auf Nein, erstellen Sie benutzerdefinierte Sicherheitsgruppen mit Ihren bevorzugten Einstellungen und weisen Sie sie den Ebenen bei der Erstellung zu.