Steuern Sie den Datenverkehr zu Ihren AWS -Ressourcen mithilfe von Sicherheitsgruppen - Amazon Virtual Private Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuern Sie den Datenverkehr zu Ihren AWS -Ressourcen mithilfe von Sicherheitsgruppen

Eine Sicherheitsgruppe steuert den Datenverkehr, der die Ressourcen erreichen und verlassen darf, mit denen er verknüpft ist. Nachdem Sie beispielsweise eine Sicherheitsgruppe mit einer EC2 Instance verknüpft haben, steuert sie den ein- und ausgehenden Datenverkehr für die Instance.

Wenn Sie eine erstellenVPC, verfügt diese über eine Standardsicherheitsgruppe. Sie können für eine zusätzliche Sicherheitsgruppen erstellenVPC, jede mit ihren eigenen Regeln für eingehenden und ausgehenden Datenverkehr. Sie können die Quelle, den Portbereich und das Protokoll für jede Regel für eingehenden Datenverkehr angeben. Sie können das Ziel, den Portbereich und das Protokoll für jede Regel für ausgehenden Datenverkehr angeben.

Das folgende Diagramm zeigt eine VPC mit einem Subnetz, einem Internet-Gateway und einer Sicherheitsgruppe. Das Subnetz enthält eine EC2 Instance. Die Sicherheitsgruppe ist der Instance zugeordnet. Die Sicherheitsgruppe fungiert als virtuelle Firewall. Der einzige Datenverkehr, der die Instance erreicht, ist der Datenverkehr, der nach den Sicherheitsgruppenregeln zulässig ist. Wenn die Sicherheitsgruppe beispielsweise eine Regel enthält, die ICMP Datenverkehr von Ihrem Netzwerk zur Instance zulässt, können Sie die Instance von Ihrem Computer aus anpingen. Wenn die Sicherheitsgruppe keine Regel enthält, die SSH Datenverkehr zulässt, konnten Sie mitSSH.

VPCmit 2 Subnetzen, 2 Sicherheitsgruppen, Servern in Subnetzen, die verschiedenen Sicherheitsgruppen zugeordnet sind
Preisgestaltung

Für die Nutzung von Sicherheitsgruppen fallen keine zusätzlichen Gebühren an.

Sicherheitsgruppengrundlagen

  • Sie können eine Sicherheitsgruppe nur den Ressourcen zuweisen, die in derselben Sicherheitsgruppe erstellt wurden VPC wie die Sicherheitsgruppe. Sie können einer Ressource mehrere Sicherheitsgruppen zuweisen.

  • Wenn Sie eine Sicherheitsgruppe erstellen, müssen Sie einen Namen und eine Beschreibung dafür angeben. Die folgenden Regeln gelten:

    • Der Name einer Sicherheitsgruppe muss innerhalb der eindeutig seinVPC.

    • Namen und Beschreibungen können bis zu 255 Zeichen lang sein.

    • Namen und Beschreibungen dürfen nur die folgenden Zeichen enthalten: a-z, A-Z, 0-9, Leerzeichen und ._-:/()#,@[]+=&;{}!$*.

    • Wenn der Name nachgestellte Leerzeichen enthält, schneiden wir das Leerzeichen am Ende des Namens ab. Wenn Sie beispielsweise „Sicherheitsgruppe testen“ als Namen eingeben, wird er als „Sicherheitsgruppe testen“ gespeichert.

    • Ein Sicherheitsgruppenname darf nicht mit sg- beginnen.

  • Sicherheitsgruppen sind zustandsbehaftet. Wenn Sie zum Beispiel von Ihrer Instance eine Anforderung senden, wird der Antwortdatenverkehr für diese Anforderung zugelassen, unabhängig der für diese Sicherheitsgruppe geltenden eingehenden Regeln. Antworten auf zulässigen eingehenden Datenverkehr dürfen unabhängig von den Regeln für ausgehenden Datenverkehr die Instance verlassen.

  • Sicherheitsgruppen filtern keinen Datenverkehr, der für die folgenden Ziele bestimmt ist oder von diesen ausgeht:

    • Amazon Domain Name Services (DNS)

    • Amazon Host Configuration Protocol (DHCP)

    • EC2Amazon-Instanz-Metadaten

    • Amazon-Endpunkte für ECS Aufgabenmetadaten

    • Lizenzaktivierung für Windows-Instances

    • Amazon Time Sync Service

    • Reservierte IP-Adressen, die vom VPC Standard-Router verwendet werden

  • Es gibt Kontingente für die Anzahl der Sicherheitsgruppen, die Sie pro erstellen könnenVPC, für die Anzahl der Regeln, die Sie den einzelnen Sicherheitsgruppen hinzufügen können, und für die Anzahl der Sicherheitsgruppen, die Sie einer Netzwerkschnittstelle zuordnen können. Weitere Informationen finden Sie unter VPCAmazon-Kontingente.

Bewährte Methoden
  • Autorisieren Sie nur bestimmte IAM Prinzipale zum Erstellen und Ändern von Sicherheitsgruppen.

  • Erstellen Sie die Mindestanzahl von Sicherheitsgruppen, die Sie benötigen, um das Fehlerrisiko zu verringern. Verwenden Sie jede Sicherheitsgruppe, um den Zugriff auf Ressourcen mit ähnlichen Funktionen und Sicherheitsanforderungen zu verwalten.

  • Wenn Sie eingehende Regeln für die Ports 22 (SSH) oder 3389 (RDP) hinzufügen, damit Sie auf Ihre EC2 Instances zugreifen können, lassen Sie nur bestimmte IP-Adressbereiche zu. Wenn Sie 0.0.0.0/0 (IPv4) und: :::/ (IPv6) angeben, können alle Benutzer über eine beliebige IP-Adresse mit dem angegebenen Protokoll auf Ihre Instances zugreifen.

  • Öffnen Sie keine großen Portbereiche. Stellen Sie sicher, dass der Zugriff über jeden Port auf die Quellen oder Ziele beschränkt ist, die ihn benötigen.

  • Ziehen Sie in Erwägung, ein Netzwerk ACLs mit ähnlichen Regeln wie die für Sicherheitsgruppen zu erstellen, um Ihrem eine zusätzliche Sicherheitsebene hinzuzufügenVPC. Weitere Informationen zu den Unterschieden zwischen Sicherheitsgruppen und Netzwerken ACLs finden Sie unterVergleichen von Sicherheitsgruppen und Netzwerken ACLs.

Beispiel für eine Sicherheitsgruppe

Das folgende Diagramm zeigt eine VPC mit zwei Sicherheitsgruppen und zwei Subnetzen. Die Instances in Subnetz A haben dieselben Konnektivitätsanforderungen und sind daher der Sicherheitsgruppe 1 zugewiesen. Die Instances in Subnetz B haben dieselben Konnektivitätsanforderungen und sind daher der Sicherheitsgruppe 2 zugewiesen. Die Sicherheitsgruppenregeln lassen Datenverkehr wie folgt zu:

  • Die erste eingehende Regel in Sicherheitsgruppe 1 erlaubt SSH Datenverkehr zu den Instances in Subnetz A aus dem angegebenen Adressbereich (z. B. einem Bereich in Ihrem eigenen Netzwerk).

  • Die zweite Regel für eingehenden Datenverkehr in Sicherheitsgruppe 1 ermöglicht es den Instances in Subnetz A, über ein beliebiges Protokoll und einen beliebigen Port miteinander zu kommunizieren.

  • Die zweite Regel für eingehenden Datenverkehr in Sicherheitsgruppe 2 ermöglicht es den Instances in Subnetz B, über ein beliebiges Protokoll und einen beliebigen Port miteinander zu kommunizieren.

  • Die zweite Regel für eingehenden Datenverkehr in Sicherheitsgruppe 2 ermöglicht es den Instances in Subnetz A, über. SSH

  • Beide Sicherheitsgruppen nutzen die Standardregel für ausgehenden Datenverkehr, die den gesamten Datenverkehr zulässt.

A VPC mit zwei Sicherheitsgruppen und Servern in zwei Subnetzen. Die Server in Subnetz A sind der Sicherheitsgruppe 1 zugewiesen. Die Server in Subnetz B sind der Sicherheitsgruppe 2 zugewiesen.