# Cambie los grupos de seguridad para la instancia de Amazon EC2
<a name="changing-security-group"></a>

Puede especificar grupos de seguridad para sus instancias de Amazon EC2 cuando las inicie. Una vez iniciada la instancia, puede agregar o eliminar grupos de seguridad. También puede agregar, eliminar o editar las reglas de los grupos de seguridad asociados en cualquier momento.

Los grupos de seguridad están asociados a interfaces de red. Al agregar o eliminar grupos de seguridad se cambian los grupos de seguridad asociados a la interfaz de red principal. También puede cambiar los grupos de seguridad asociados a cualquier otra interfaz de red secundaria. Para obtener más información, consulte [Modificar atributos de interfaz de red](modify-network-interface-attributes.md).

**Topics**
+ [Agregar o eliminar grupos de seguridad](#add-remove-instance-security-groups)
+ [Configurar reglas del grupo de seguridad](#add-remove-security-group-rules)

## Agregar o eliminar grupos de seguridad
<a name="add-remove-instance-security-groups"></a>

Tras iniciar una instancia, puede agregar o eliminar grupos de seguridad de la lista de grupos de seguridad asociados. Al asociar varios grupos de seguridad a una instancia, las reglas de cada grupo de seguridad se agregan de manera eficiente para crear un conjunto de reglas. Amazon EC2 utiliza este conjunto de reglas para determinar si permite el tráfico.

**Requisitos**
+ El estado de la instancia debe ser `running` o `stopped`.

------
#### [ Console ]

**Para cambiar los grupos de seguridad de una instancia**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En el panel de navegación, seleccione **Instances (Instancias)**.

1. Seleccione la instancia y, a continuación, elija **Acciones**, **Seguridad**, **Cambiar grupos de seguridad**.

1. En **Grupos de seguridad asociados**, seleccione un grupo de seguridad de la lista y elija **Agregar grupo de seguridad**.

   Para quitar un grupo de seguridad ya asociado, elija **Quitar** para ese grupo de seguridad.

1. Seleccione **Save**.

------
#### [ AWS CLI ]

**Para cambiar los grupos de seguridad de una instancia**  
Utilice el siguiente comando [modify-instance-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-attribute.html).

```
aws ec2 modify-instance-attribute \
    --instance-id i-1234567890abcdef0 \
    --groups sg-1234567890abcdef0
```

------
#### [ PowerShell ]

**Para cambiar los grupos de seguridad de una instancia**  
Utilice el cmdlet [Edit-EC2InstanceAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceAttribute.html).

```
Edit-EC2InstanceAttribute `
    -InstanceId i-1234567890abcdef0 `
    -Group sg-1234567890abcdef0
```

------

## Configurar reglas del grupo de seguridad
<a name="add-remove-security-group-rules"></a>

Tras crear un grupo de seguridad, puede agregar, actualizar y eliminar sus reglas de grupo de seguridad. Cuando agrega, actualiza o elimina una regla, el cambio se aplica automáticamente a todos los recursos asociados al grupo de seguridad.

Para ver ejemplos de reglas que puede agregar a un grupo de seguridad, consulte [Reglas de grupo de seguridad para diferentes casos de uso](security-group-rules-reference.md).

**Permisos necesarios**  
Antes de comenzar, asegúrese de tener los permisos necesarios. Para obtener más información, consulte [Ejemplo: Trabajar con grupos de seguridad](iam-policies-ec2-console.md#ex-security-groups).

**Protocolos y puertos**
+ Con la consola, si selecciona un tipo predefinido, el **Protocolo** y el **Rango de puertos** se especifican automáticamente. Para introducir un rango de puertos, debe seleccionar uno de los siguientes tipos personalizados: **TCP personalizado** o **UDP personalizado**.
+ Con la AWS CLI, puede agregar una sola regla con un solo puerto mediante las opciones `--protocol` y `--port`. Para añadir varias reglas, o una regla con un rango de puertos, utilice la opción `--ip-permissions`.

**Orígenes y destinos**
+ Con la consola, puede especificar lo siguiente como origen de las reglas de entrada o como destino de las reglas de salida:
  + **Personalizado**: un bloque de CIDR de IPv4 y un bloque de CIDR de IPv6, un grupo de seguridad o una lista de prefijos.
  + **Anywhere-IPv4**: el bloque de CIDR IPv4 0.0.0.0/0.
  + **Anywhere-IPv6**: el bloque de CIDR ::/0 IPv6.
  + **Mi IP**: la dirección IPv4 pública de su equipo local.
+ Con la AWS CLI, puede especificar un bloque de CIDR de IPv4 mediante la opción `--cidr` o un grupo de seguridad mediante la opción `--source-group`. Para especificar una lista de prefijos o un bloque de CIDR de IPv6, utilice la opción `--ip-permissions`.

**aviso**  
Si agrega reglas de entrada para los puertos 22 (SSH) o 3389 (RDP), se le recomienda que autorice solo a la dirección IP específica o al rango de direcciones que necesita acceder a sus instancias. Si elige **Anywhere-IPv4**, permite que el tráfico de todas las direcciones IPv4 tengan acceso a sus instancias mediante el protocolo especificado. Si elige **Anywhere-IPv6**, permite que el tráfico de todas las direcciones IPv6 tengan acceso a sus instancias mediante el protocolo especificado.

------
#### [ Console ]

**Configuración de reglas de grupos de seguridad**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En el panel de navegación, elija **Security Groups (Grupos de seguridad)**.

1. Seleccione el grupo de seguridad.

1. Para editar las reglas de entrada, seleccione **Editar reglas de entrada** en **Acciones** o en la pestaña **Reglas de entrada**.

   1. Para agregar una regla, elija **Agregar regla** e ingrese el tipo, el protocolo, el puerto y la fuente de la regla.

      Si el tipo es TCP o UDP, debe ingresar el rango de puertos que va a permitir. Para el protocolo ICMP personalizado, debe elegir el nombre del tipo de ICMP en **Protocol** (Protocolo) y, si se aplica, el nombre del código en **Port Range** (Rango de puertos). Si elige cualquier otro tipo, el protocolo y el rango de puertos se configurarán en su nombre.

   1. Para actualizar una regla, cambie su protocolo, descripción y fuente según sea necesario. Sin embargo, no puede cambiar el tipo de fuente. Por ejemplo, si el origen es un bloque CIDR de IPv4, no puede especificar un bloque de CIDR de IPv6, una lista de prefijos o un grupo de seguridad.

   1. Para eliminar una regla, pulse el botón **Eliminar**.

1. Para editar las reglas de salida, selecciona **Editar reglas de salida** en **Acciones** o en la pestaña **Reglas de salida**.

   1. Para agregar una regla, elija **Agregar regla** e ingrese el tipo, el protocolo, el puerto y el destino de la regla. También puede introducir una descripción opcional.

      Si el tipo es TCP o UDP, debe ingresar el rango de puertos que va a permitir. Para el protocolo ICMP personalizado, debe elegir el nombre del tipo de ICMP en **Protocol** (Protocolo) y, si se aplica, el nombre del código en **Port Range** (Rango de puertos). Si elige cualquier otro tipo, el protocolo y el rango de puertos se configurarán en su nombre.

   1. Para actualizar una regla, cambie su protocolo, descripción y fuente según sea necesario. Sin embargo, no puede cambiar el tipo de fuente. Por ejemplo, si el origen es un bloque CIDR de IPv4, no puede especificar un bloque de CIDR de IPv6, una lista de prefijos o un grupo de seguridad.

   1. Para eliminar una regla, pulse el botón **Eliminar**.

1. Seleccione **Guardar reglas**.

------
#### [ AWS CLI ]

**Adición de reglas de grupos de seguridad**  
Utilice el comando [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) para agregar reglas de entrada. En el siguiente ejemplo, se permite el tráfico SSH entrante procedente de los bloques de CIDR de la lista de prefijos especificada.

```
aws ec2 authorize-security-group-ingress \
    --group-id sg-1234567890abcdef0 \
    --ip-permissions 'IpProtocol=tcp,FromPort=22,ToPort=22,PrefixListIds=[{PrefixListId=pl-f8a6439156EXAMPLE}]'
```

Utilice el comando [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html) para agregar reglas de salida. En el siguiente ejemplo, se permite el tráfico TCP saliente en el puerto 80 a las instancias con el grupo de seguridad especificado.

```
aws ec2 authorize-security-group-egress \
    --group-id sg-1234567890abcdef0 \
    --ip-permissions 'IpProtocol=tcp,FromPort=80,ToPort=80,UserIdGroupPairs=[{GroupId=sg-0aad1c26bb6EXAMPLE}]'
```

**Eliminación de las reglas del grupo de seguridad**  
Utilice el siguiente comando [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) para eliminar una regla de entrada.

```
aws ec2 revoke-security-group-egress \
    --group id sg-1234567890abcdef0 \
    --security-group-rule-ids sgr-09ed298024EXAMPLE
```

Utilice el siguiente comando [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) para eliminar una regla de salida.

```
aws ec2 revoke-security-group-ingress \
    --group id sg-1234567890abcdef0 \
    --security-group-rule-ids sgr-0352250c1aEXAMPLE
```

**Modificación de las reglas del grupo de seguridad**  
Utilice el comando [modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html). En el siguiente ejemplo, se cambia el bloque de CIDR IPv4 de la regla del grupo de seguridad especificada.

```
aws ec2 modify-security-group-rules \
    --group id sg-1234567890abcdef0 \
    --security-group-rules 'SecurityGroupRuleId=sgr-09ed298024EXAMPLE,SecurityGroupRule={IpProtocol=tcp,FromPort=80,ToPort=80,CidrIpv4=0.0.0.0/0}'
```

------
#### [ PowerShell ]

**Adición de reglas de grupos de seguridad**  
Utilice el cmdlet [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) para agregar reglas de entrada. En el siguiente ejemplo, se permite el tráfico SSH entrante procedente de los bloques de CIDR de la lista de prefijos especificada.

```
$plid = New-Object -TypeName Amazon.EC2.Model.PrefixListId
$plid.Id = "pl-f8a6439156EXAMPLE"
Grant-EC2SecurityGroupIngress `
    -GroupId sg-1234567890abcdef0 `
    -IpPermission @{IpProtocol="tcp"; FromPort=22; ToPort=22; PrefixListIds=$plid}
```

Utilice el cmdlet [Grant-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html) para agregar reglas de salida. En el siguiente ejemplo, se permite el tráfico TCP saliente en el puerto 80 a las instancias con el grupo de seguridad especificado.

```
$uigp = New-Object -TypeName Amazon.EC2.Model.UserIdGroupPair
$uigp.GroupId = "sg-0aad1c26bb6EXAMPLE"
Grant-EC2SecurityGroupEgress `
    -GroupId sg-1234567890abcdef0 `
    -IpPermission @{IpProtocol="tcp"; FromPort=80; ToPort=80; UserIdGroupPairs=$uigp}
```

**Eliminación de las reglas del grupo de seguridad**  
Utilice el cmdlet [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) para eliminar reglas de entrada.

```
Revoke-EC2SecurityGroupIngress `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRuleId sgr-09ed298024EXAMPLE
```

Utilice el cmdlet [Revoke-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html) para eliminar reglas de salida.

```
Revoke-EC2SecurityGroupEgress `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRuleId sgr-0352250c1aEXAMPLE
```

**Modificación de las reglas del grupo de seguridad**  
Utilice el cmdlet [Edit-EC2SecurityGroupRule](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2SecurityGroupRule.html). En el siguiente ejemplo, se cambia el bloque de CIDR IPv4 de la regla del grupo de seguridad especificada.

```
$sgrr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleRequest
$sgrr.IpProtocol = "tcp"
$sgrr.FromPort = 80
$sgrr.ToPort = 80
$sgrr.CidrIpv4 = "0.0.0.0/0"
$sgr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleUpdate
$sgr.SecurityGroupRuleId = "sgr-09ed298024EXAMPLE"
$sgr.SecurityGroupRule = $sgrr
Edit-EC2SecurityGroupRule  `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRule $sgr
```

------