# Grupos de seguridad de Amazon EC2 para instancias EC2
<a name="ec2-security-groups"></a>

Un *grupo de seguridad* funciona como un firewall virtual para las instancias de EC2 para controlar el tráfico entrante y saliente. Las reglas de entrada controlan el tráfico entrante a la instancia y las reglas de salida controlan el tráfico saliente desde la instancia. Al iniciar una instancia puede especificar uno o varios grupos de seguridad. Si no especifica un grupo de seguridad, Amazon EC2 utiliza el grupo de seguridad predeterminado para la VPC. Una vez lanzada la instancia, puede cambiar sus grupos de seguridad.

La seguridad es una responsabilidad compartida entre AWS y usted. Para más información, consulte [Seguridad en Amazon EC2](ec2-security.md). AWS proporciona grupos de seguridad como una de las herramientas para proteger las instancias y debe configurarlos para satisfacer sus necesidades de seguridad. Si tiene requisitos que no cumplen totalmente los grupos de seguridad, puede mantener su propio firewall en cualquiera de las instancias, además de usar grupos de seguridad.

**Precios**  
El uso de grupos de seguridad no supone ningún cargo adicional.

**Topics**
+ [

## Descripción general
](#security-group-basics)
+ [

# Cree un grupo de seguridad para su instancia de Amazon EC2
](creating-security-group.md)
+ [

# Cambie los grupos de seguridad para la instancia de Amazon EC2
](changing-security-group.md)
+ [

# Eliminar un grupo de seguridad de Amazon EC2
](deleting-security-group.md)
+ [

# Seguimiento de conexiones del grupo de seguridad de Amazon EC2
](security-group-connection-tracking.md)
+ [

# Reglas de grupo de seguridad para diferentes casos de uso
](security-group-rules-reference.md)

## Descripción general
<a name="security-group-basics"></a>

Puede asociar cada instancia a varios grupos de seguridad y puede asociar cada grupo de seguridad a varias instancias. Añade reglas a cada grupo de seguridad que permiten que el tráfico a o desde sus instancias asociadas. Puede modificar las reglas de un grupo de seguridad en cualquier momento. Las reglas nuevas y modificadas se aplican automáticamente a todas las instancias asociadas al grupo de seguridad. Cuando Amazon EC2 decide si se permite que el tráfico llegue a una instancia, evalúa todas las reglas de todos los grupos de seguridad asociados a la instancia. Para obtener más información, consulte [Reglas del grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html) en la *Guía del usuario de Amazon VPC*.

En el siguiente diagrama se muestra una VPC con una subred, una puerta de enlace de Internet y un grupo de seguridad. La subred contiene instancias de EC2. El grupo de seguridad se asocia con las instancias. El único tráfico que llega a la instancia es el permitido por las reglas del grupo de seguridad. Por ejemplo, si el grupo de seguridad contiene una regla que permite el tráfico SSH a la instancia desde su red, puede conectarse a la instancia desde su equipo mediante SSH. Si el grupo de seguridad contiene una regla que permite todo el tráfico de los recursos asociados a él, entonces cada instancia puede recibir cualquier tráfico enviado desde otras instancias.

![\[Una VPC con un grupo de seguridad. Las instancias de EC2 de la subred están asociadas al grupo de seguridad.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/ec2-security-groups.png)


Los grupos de seguridad tienen estado: si envía una solicitud desde su instancia, se permite el flujo del tráfico de respuesta para dicha solicitud independientemente de las reglas de entrada del grupo de seguridad. También, se permite la salida de las repuestas al tráfico de entrada independientemente de las reglas salientes. Para obtener más información, consulte [Seguimiento de la conexión](security-group-connection-tracking.md).

# Cree un grupo de seguridad para su instancia de Amazon EC2
<a name="creating-security-group"></a>

Los grupos de seguridad actúan como firewall para las instancias asociadas al controlar el tráfico entrante y saliente en el ámbito de la instancia. Puede agregar reglas a un grupo de seguridad que le permita conectarse a la instancia mediante SSH (instancias de Linux) o RDP (instancias de Windows). También puede agregar reglas que permitan el tráfico de clientes, por ejemplo, el tráfico HTTP y HTTPS destinado a un servidor web.

Puede asociar un grupo de seguridad a una instancia al iniciar la instancia. Al añadir o quitar reglas de los grupos de seguridad asociados, esos cambios se aplican automáticamente a todas las instancias a las que ha asociado el grupo de seguridad.

Una vez iniciada la instancia, puede asociar grupos de seguridad adicionales. Para obtener más información, consulte [Cambie los grupos de seguridad para la instancia de Amazon EC2](changing-security-group.md).

Puede agregar reglas de grupo de seguridad entrantes y salientes cuando crea un grupo de seguridad, o puede agregarlas más adelante. Para obtener más información, consulte [Configurar reglas del grupo de seguridad](changing-security-group.md#add-remove-security-group-rules). Para ver ejemplos de reglas que puede agregar a un grupo de seguridad, consulte [Reglas de grupo de seguridad para diferentes casos de uso](security-group-rules-reference.md).

**Consideraciones**
+ Los nuevos grupos de seguridad comienzan con una única regla de salida que permite que todo el tráfico salga del recurso. Debe añadir reglas para permitir el tráfico entrante o restringir el tráfico saliente.
+ Cuando configure una fuente para una regla que permita el acceso SSH o RDP a sus instancias, no permita el acceso desde ningún lugar, ya que permitiría este acceso a la instancia desde todas las direcciones IP de Internet. Esto es aceptable para un periodo de tiempo corto en un entorno de prueba, pero no es seguro en entornos de producción.
+ Si hay más de una regla para un puerto específico, Amazon EC2 aplica la regla más permisiva. Por ejemplo, si cuenta con una regla que permite el acceso al puerto TCP 22 (SSH) desde la dirección IP 203.0.113.1 y otra regla que permite el acceso al puerto TCP 22 desde todas las direcciones, todos tienen acceso al puerto TCP 22.
+ Puede asignar varios grupos de seguridad a una instancia. Por lo tanto, una instancia puede tener cientos de reglas que se aplican. Esto puede causar problemas al obtener acceso a la instancia. Le recomendamos que condense las reglas en la medida de lo posible.
+ Al especificar un grupo de seguridad como origen o destino de una regla, la regla afecta a todas las instancias que están asociadas al grupo de seguridad. Se permite el tráfico entrante según las direcciones IP privadas de las instancias asociadas al grupo de seguridad de origen (y no la dirección IP pública o las direcciones IP elásticas). Para obtener más información acerca de las direcciones IP, consulte [Direccionamiento IP de instancias Amazon EC2](using-instance-addressing.md).
+ Amazon EC2 bloquea el tráfico en el puerto 25 de forma predeterminada. Para obtener más información, consulte [Restricción en el correo electrónico enviado a través del puerto 25](ec2-resource-limits.md#port-25-throttle).

------
#### [ Console ]

**Para crear un grupo de seguridad**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En el panel de navegación, elija **Grupos de seguridad**.

1. Elija **Create Security Group (Creación de grupo de seguridad)**.

1. Introduzca un nombre descriptivo y una breve descripción para el grupo de seguridad. No puede cambiar el nombre ni la descripción de un grupo de seguridad después de crearlo.

1. Para la **VPC**, elija la VPC en la que ejecutará las instancias de Amazon EC2.

1. (Opcional) Para añadir reglas de entrada, elija **Reglas de entrada**. Para cada regla, elija **Agregar regla** y especifique el protocolo, el puerto y la fuente. Por ejemplo, para permitir el tráfico SSH, elija **SSH** como **Tipo** y especifique la dirección IPv4 pública de su equipo o red como **Fuente**.

1. (Opcional) Para añadir reglas de salida, elija **Reglas de salida**. Para cada regla, elija **Agregar regla** y especifique el protocolo, el puerto y el destino. De lo contrario, puede mantener la regla predeterminada que permite todo el tráfico de salida.

1. (Opcional) Para agregar una etiqueta, elija **Agregar etiqueta nueva** e ingrese la clave y el valor de la etiqueta.

1. Elija **Crear grupo de seguridad**.

------
#### [ AWS CLI ]

**Para crear un grupo de seguridad**  
Utilice el siguiente comando [create-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html).

```
aws ec2 create-security-group \
    --group-name my-security-group \
    --description "my security group" \
    --vpc-id vpc-1234567890abcdef0
```

Para ver ejemplos que agregan reglas, consulte [Configurar reglas del grupo de seguridad](changing-security-group.md#add-remove-security-group-rules).

------
#### [ PowerShell ]

**Para crear un grupo de seguridad**  
Utilice el cmdlet [New-EC2SecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2SecurityGroup.html).

```
New-EC2SecurityGroup `
    -GroupName my-security-group `
    -Description "my security group" `
    -VpcId vpc-1234567890abcdef0
```

Para ver ejemplos que agregan reglas, consulte [Configurar reglas del grupo de seguridad](changing-security-group.md#add-remove-security-group-rules).

------

# Cambie los grupos de seguridad para la instancia de Amazon EC2
<a name="changing-security-group"></a>

Puede especificar grupos de seguridad para sus instancias de Amazon EC2 cuando las inicie. Una vez iniciada la instancia, puede agregar o eliminar grupos de seguridad. También puede agregar, eliminar o editar las reglas de los grupos de seguridad asociados en cualquier momento.

Los grupos de seguridad están asociados a interfaces de red. Al agregar o eliminar grupos de seguridad se cambian los grupos de seguridad asociados a la interfaz de red principal. También puede cambiar los grupos de seguridad asociados a cualquier otra interfaz de red secundaria. Para obtener más información, consulte [Modificar atributos de interfaz de red](modify-network-interface-attributes.md).

**Topics**
+ [

## Agregar o eliminar grupos de seguridad
](#add-remove-instance-security-groups)
+ [

## Configurar reglas del grupo de seguridad
](#add-remove-security-group-rules)

## Agregar o eliminar grupos de seguridad
<a name="add-remove-instance-security-groups"></a>

Tras iniciar una instancia, puede agregar o eliminar grupos de seguridad de la lista de grupos de seguridad asociados. Al asociar varios grupos de seguridad a una instancia, las reglas de cada grupo de seguridad se agregan de manera eficiente para crear un conjunto de reglas. Amazon EC2 utiliza este conjunto de reglas para determinar si permite el tráfico.

**Requisitos**
+ El estado de la instancia debe ser `running` o `stopped`.

------
#### [ Console ]

**Para cambiar los grupos de seguridad de una instancia**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En el panel de navegación, seleccione **Instances (Instancias)**.

1. Seleccione la instancia y, a continuación, elija **Acciones**, **Seguridad**, **Cambiar grupos de seguridad**.

1. En **Grupos de seguridad asociados**, seleccione un grupo de seguridad de la lista y elija **Agregar grupo de seguridad**.

   Para quitar un grupo de seguridad ya asociado, elija **Quitar** para ese grupo de seguridad.

1. Seleccione **Save**.

------
#### [ AWS CLI ]

**Para cambiar los grupos de seguridad de una instancia**  
Utilice el siguiente comando [modify-instance-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-attribute.html).

```
aws ec2 modify-instance-attribute \
    --instance-id i-1234567890abcdef0 \
    --groups sg-1234567890abcdef0
```

------
#### [ PowerShell ]

**Para cambiar los grupos de seguridad de una instancia**  
Utilice el cmdlet [Edit-EC2InstanceAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceAttribute.html).

```
Edit-EC2InstanceAttribute `
    -InstanceId i-1234567890abcdef0 `
    -Group sg-1234567890abcdef0
```

------

## Configurar reglas del grupo de seguridad
<a name="add-remove-security-group-rules"></a>

Tras crear un grupo de seguridad, puede agregar, actualizar y eliminar sus reglas de grupo de seguridad. Cuando agrega, actualiza o elimina una regla, el cambio se aplica automáticamente a todos los recursos asociados al grupo de seguridad.

Para ver ejemplos de reglas que puede agregar a un grupo de seguridad, consulte [Reglas de grupo de seguridad para diferentes casos de uso](security-group-rules-reference.md).

**Permisos necesarios**  
Antes de comenzar, asegúrese de tener los permisos necesarios. Para obtener más información, consulte [Ejemplo: Trabajar con grupos de seguridad](iam-policies-ec2-console.md#ex-security-groups).

**Protocolos y puertos**
+ Con la consola, si selecciona un tipo predefinido, el **Protocolo** y el **Rango de puertos** se especifican automáticamente. Para introducir un rango de puertos, debe seleccionar uno de los siguientes tipos personalizados: **TCP personalizado** o **UDP personalizado**.
+ Con la AWS CLI, puede agregar una sola regla con un solo puerto mediante las opciones `--protocol` y `--port`. Para añadir varias reglas, o una regla con un rango de puertos, utilice la opción `--ip-permissions`.

**Orígenes y destinos**
+ Con la consola, puede especificar lo siguiente como origen de las reglas de entrada o como destino de las reglas de salida:
  + **Personalizado**: un bloque de CIDR de IPv4 y un bloque de CIDR de IPv6, un grupo de seguridad o una lista de prefijos.
  + **Anywhere-IPv4**: el bloque de CIDR IPv4 0.0.0.0/0.
  + **Anywhere-IPv6**: el bloque de CIDR ::/0 IPv6.
  + **Mi IP**: la dirección IPv4 pública de su equipo local.
+ Con la AWS CLI, puede especificar un bloque de CIDR de IPv4 mediante la opción `--cidr` o un grupo de seguridad mediante la opción `--source-group`. Para especificar una lista de prefijos o un bloque de CIDR de IPv6, utilice la opción `--ip-permissions`.

**aviso**  
Si agrega reglas de entrada para los puertos 22 (SSH) o 3389 (RDP), se le recomienda que autorice solo a la dirección IP específica o al rango de direcciones que necesita acceder a sus instancias. Si elige **Anywhere-IPv4**, permite que el tráfico de todas las direcciones IPv4 tengan acceso a sus instancias mediante el protocolo especificado. Si elige **Anywhere-IPv6**, permite que el tráfico de todas las direcciones IPv6 tengan acceso a sus instancias mediante el protocolo especificado.

------
#### [ Console ]

**Configuración de reglas de grupos de seguridad**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En el panel de navegación, elija **Security Groups (Grupos de seguridad)**.

1. Seleccione el grupo de seguridad.

1. Para editar las reglas de entrada, seleccione **Editar reglas de entrada** en **Acciones** o en la pestaña **Reglas de entrada**.

   1. Para agregar una regla, elija **Agregar regla** e ingrese el tipo, el protocolo, el puerto y la fuente de la regla.

      Si el tipo es TCP o UDP, debe ingresar el rango de puertos que va a permitir. Para el protocolo ICMP personalizado, debe elegir el nombre del tipo de ICMP en **Protocol** (Protocolo) y, si se aplica, el nombre del código en **Port Range** (Rango de puertos). Si elige cualquier otro tipo, el protocolo y el rango de puertos se configurarán en su nombre.

   1. Para actualizar una regla, cambie su protocolo, descripción y fuente según sea necesario. Sin embargo, no puede cambiar el tipo de fuente. Por ejemplo, si el origen es un bloque CIDR de IPv4, no puede especificar un bloque de CIDR de IPv6, una lista de prefijos o un grupo de seguridad.

   1. Para eliminar una regla, pulse el botón **Eliminar**.

1. Para editar las reglas de salida, selecciona **Editar reglas de salida** en **Acciones** o en la pestaña **Reglas de salida**.

   1. Para agregar una regla, elija **Agregar regla** e ingrese el tipo, el protocolo, el puerto y el destino de la regla. También puede introducir una descripción opcional.

      Si el tipo es TCP o UDP, debe ingresar el rango de puertos que va a permitir. Para el protocolo ICMP personalizado, debe elegir el nombre del tipo de ICMP en **Protocol** (Protocolo) y, si se aplica, el nombre del código en **Port Range** (Rango de puertos). Si elige cualquier otro tipo, el protocolo y el rango de puertos se configurarán en su nombre.

   1. Para actualizar una regla, cambie su protocolo, descripción y fuente según sea necesario. Sin embargo, no puede cambiar el tipo de fuente. Por ejemplo, si el origen es un bloque CIDR de IPv4, no puede especificar un bloque de CIDR de IPv6, una lista de prefijos o un grupo de seguridad.

   1. Para eliminar una regla, pulse el botón **Eliminar**.

1. Seleccione **Guardar reglas**.

------
#### [ AWS CLI ]

**Adición de reglas de grupos de seguridad**  
Utilice el comando [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) para agregar reglas de entrada. En el siguiente ejemplo, se permite el tráfico SSH entrante procedente de los bloques de CIDR de la lista de prefijos especificada.

```
aws ec2 authorize-security-group-ingress \
    --group-id sg-1234567890abcdef0 \
    --ip-permissions 'IpProtocol=tcp,FromPort=22,ToPort=22,PrefixListIds=[{PrefixListId=pl-f8a6439156EXAMPLE}]'
```

Utilice el comando [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html) para agregar reglas de salida. En el siguiente ejemplo, se permite el tráfico TCP saliente en el puerto 80 a las instancias con el grupo de seguridad especificado.

```
aws ec2 authorize-security-group-egress \
    --group-id sg-1234567890abcdef0 \
    --ip-permissions 'IpProtocol=tcp,FromPort=80,ToPort=80,UserIdGroupPairs=[{GroupId=sg-0aad1c26bb6EXAMPLE}]'
```

**Eliminación de las reglas del grupo de seguridad**  
Utilice el siguiente comando [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) para eliminar una regla de entrada.

```
aws ec2 revoke-security-group-egress \
    --group id sg-1234567890abcdef0 \
    --security-group-rule-ids sgr-09ed298024EXAMPLE
```

Utilice el siguiente comando [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) para eliminar una regla de salida.

```
aws ec2 revoke-security-group-ingress \
    --group id sg-1234567890abcdef0 \
    --security-group-rule-ids sgr-0352250c1aEXAMPLE
```

**Modificación de las reglas del grupo de seguridad**  
Utilice el comando [modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html). En el siguiente ejemplo, se cambia el bloque de CIDR IPv4 de la regla del grupo de seguridad especificada.

```
aws ec2 modify-security-group-rules \
    --group id sg-1234567890abcdef0 \
    --security-group-rules 'SecurityGroupRuleId=sgr-09ed298024EXAMPLE,SecurityGroupRule={IpProtocol=tcp,FromPort=80,ToPort=80,CidrIpv4=0.0.0.0/0}'
```

------
#### [ PowerShell ]

**Adición de reglas de grupos de seguridad**  
Utilice el cmdlet [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) para agregar reglas de entrada. En el siguiente ejemplo, se permite el tráfico SSH entrante procedente de los bloques de CIDR de la lista de prefijos especificada.

```
$plid = New-Object -TypeName Amazon.EC2.Model.PrefixListId
$plid.Id = "pl-f8a6439156EXAMPLE"
Grant-EC2SecurityGroupIngress `
    -GroupId sg-1234567890abcdef0 `
    -IpPermission @{IpProtocol="tcp"; FromPort=22; ToPort=22; PrefixListIds=$plid}
```

Utilice el cmdlet [Grant-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html) para agregar reglas de salida. En el siguiente ejemplo, se permite el tráfico TCP saliente en el puerto 80 a las instancias con el grupo de seguridad especificado.

```
$uigp = New-Object -TypeName Amazon.EC2.Model.UserIdGroupPair
$uigp.GroupId = "sg-0aad1c26bb6EXAMPLE"
Grant-EC2SecurityGroupEgress `
    -GroupId sg-1234567890abcdef0 `
    -IpPermission @{IpProtocol="tcp"; FromPort=80; ToPort=80; UserIdGroupPairs=$uigp}
```

**Eliminación de las reglas del grupo de seguridad**  
Utilice el cmdlet [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) para eliminar reglas de entrada.

```
Revoke-EC2SecurityGroupIngress `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRuleId sgr-09ed298024EXAMPLE
```

Utilice el cmdlet [Revoke-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html) para eliminar reglas de salida.

```
Revoke-EC2SecurityGroupEgress `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRuleId sgr-0352250c1aEXAMPLE
```

**Modificación de las reglas del grupo de seguridad**  
Utilice el cmdlet [Edit-EC2SecurityGroupRule](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2SecurityGroupRule.html). En el siguiente ejemplo, se cambia el bloque de CIDR IPv4 de la regla del grupo de seguridad especificada.

```
$sgrr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleRequest
$sgrr.IpProtocol = "tcp"
$sgrr.FromPort = 80
$sgrr.ToPort = 80
$sgrr.CidrIpv4 = "0.0.0.0/0"
$sgr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleUpdate
$sgr.SecurityGroupRuleId = "sgr-09ed298024EXAMPLE"
$sgr.SecurityGroupRule = $sgrr
Edit-EC2SecurityGroupRule  `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRule $sgr
```

------

# Eliminar un grupo de seguridad de Amazon EC2
<a name="deleting-security-group"></a>

Cuando ya no necesite un grupo de seguridad creado para utilizar con instancias de Amazon EC2, puede eliminarlo.

**Requisitos**
+ El grupo de seguridad no se puede asociar a una instancia o interfaz de red.
+ Una regla no puede hacer referencia al grupo de seguridad en otro grupo de seguridad.

------
#### [ Console ]

**Para eliminar un grupo de seguridad**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. (Opcional) Para comprobar que el grupo de seguridad no está asociado a una instancia, haga lo siguiente:

   1. En el panel de navegación, elija **Grupos de seguridad**.

   1. Copie el ID del grupo de seguridad que desee eliminar.

   1. En el panel de navegación, seleccione **Instances (Instancias)**.

   1. En la barra de búsqueda, agregue **los ID del grupo de seguridad equivalen a**, filtre y pegue el ID del grupo de seguridad. Si no hay resultados, el grupo de seguridad no está asociado a ninguna instancia. De lo contrario, debe desasociar el grupo de seguridad antes de poder eliminarlo.

1. En el panel de navegación, elija **Grupos de seguridad**.

1. Seleccione un grupo de seguridad y elija **Acciones**, **Eliminar grupo de seguridad**.

1. Si ha seleccionado más de un grupo de seguridad, se le solicitará que lo confirme. Si algunos de los grupos de seguridad no se pueden eliminar, mostramos el estado de cada grupo de seguridad, que indica si se eliminará. Para confirmar la eliminación, use **Eliminar**.

1. Elija **Eliminar**.

------
#### [ AWS CLI ]

**Para eliminar un grupo de seguridad**  
Utilice el siguiente comando [delete-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html).

```
aws ec2 delete-security-group --group-id sg-1234567890abcdef0
```

------
#### [ PowerShell ]

**Para eliminar un grupo de seguridad**  
Utilice el cmdlet [Remove-EC2SecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2SecurityGroup.html).

```
Remove-EC2SecurityGroup -GroupId sg-1234567890abcdef0
```

------

# Seguimiento de conexiones del grupo de seguridad de Amazon EC2
<a name="security-group-connection-tracking"></a>

Los grupos de seguridad utilizan el seguimiento de las conexiones para realizar un seguimiento de la información sobre el tráfico hacia y desde la instancia. Las reglas se aplican según el estado de la conexión del tráfico para determinar si el tráfico se permite o se deniega. Con este enfoque, los grupos de seguridad tienen estado. Esto significa que se permite la salida de las repuestas al tráfico de entrada de la instancia, independientemente de las reglas de salida del grupo de seguridad y viceversa.

Por ejemplo, suponga que inicia un comando como netcat o alguno similar en las instancias desde la computadora doméstica y las reglas de tráfico de entrada del grupo de seguridad permiten el tráfico de ICMP. Se realiza un seguimiento de la información sobre la conexión (incluida la información del puerto). El tráfico de respuesta desde la instancia del comando no se sigue como una nueva solicitud, sino como una conexión establecida, y se permite que salga de la instancia, aunque las reglas de salida del grupo de seguridad restrinjan el tráfico de ICMP de salida.

En el caso de otros protocolos que no sean TCP, UDP o ICMP, solo se realiza el seguimiento de la dirección IP y del número de protocolo. Si la instancia envía tráfico a otro host, y este envía el mismo tipo de tráfico a su instancia en un plazo de 600 segundos, el grupo de seguridad de la instancia lo acepta independientemente de las reglas de entrada. El grupo de seguridad lo acepta porque se considera un tráfico de respuesta del tráfico original.

Cuando cambia una regla del grupo de seguridad, las conexiones de seguimiento no se interrumpen de forma inmediata. El grupo de seguridad sigue permitiendo paquetes hasta que las conexiones existentes se agoten. Para asegurarse de que el tráfico se interrumpa de forma inmediata, o que todo el tráfico esté sujeto a reglas de firewall, independientemente del estado de seguimiento, puede utilizar una ACL de red para su subred. Las ACL de red son sin estado y, por lo tanto, no permiten automáticamente el tráfico de respuesta. Agregar una ACL de red que bloquee el tráfico en cualquier dirección provoca la interrupción de las conexiones existentes. Para obtener más información, consulte la sección relacionada con las [ACL de red](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) en la *Guía del usuario de Amazon VPC*.

**nota**  
Los grupos de seguridad no afectan al tráfico de DNS hacia el servicio Route 53 Resolver o desde el mismo, a veces denominado “dirección IP de VPC\$12” (consulte [¿Qué es Amazon Route 53 Resolver?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) en la *Guía para desarrolladores de Amazon Route 53*) o “AmazonProvidedDNS” (consulte [Trabajo con conjuntos de opciones de DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/DHCPOptionSet.html) en la *Guía del usuario de Amazon Virtual Private Cloud*). Si desea filtrar las solicitudes de DNS a través de Route 53 Resolver, puede habilitar el firewall de DNS de Route 53 Resolver (consulte [Firewall de DNS de Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) en la *Guía para desarrolladores de Amazon Route 53*).

## Conexiones sin seguimiento
<a name="untracked-connections"></a>

No se realiza un seguimiento de todos los flujos de tráfico. Si una regla del grupo de seguridad permite los flujos TCP o UDP para todo el tráfico (0.0.0.0/0 o ::/0) y hay una regla correspondiente en la otra dirección que permita todo el tráfico de respuesta (0.0.0.0/0 o ::/0) para todos los puertos (0-65 535), no se realizará un seguimiento de ese flujo de tráfico, a menos que sea parte de una [conexión de la cual se realiza un seguimiento de manera automática](#automatic-tracking). En el caso de un flujo sin seguimiento, se permite el tráfico de respuesta en función de la regla de entrada o de salida que permita el tráfico de respuesta y no según la información de seguimiento.

Un flujo de tráfico del que no se realiza seguimiento se interrumpe de inmediato si se elimina o modifica la regla que permite el flujo. Por ejemplo, si tiene una regla de salida abierta (0.0.0.0/0) y elimina una regla que permite todo el tráfico SSH (puerto TCP 22) entrante (0.0.0.0/0) a la instancia (o la modifica de modo que la conexión ya no se permita), las conexiones SSH existentes a la instancia se eliminan inmediatamente. La conexión no estaba siendo rastreada previamente, por lo que el cambio romperá la conexión. Por otro lado, si tiene una regla de entrada más estrecha que inicialmente permite la conexión SSH (lo que significa que se hizo un seguimiento de la conexión), pero cambia esa regla para que ya no permita nuevas conexiones desde la dirección del cliente SSH actual, la conexión SSH existente no se interrumpirá porque se le ha hecho un seguimiento.

## Conexiones con seguimiento automático
<a name="automatic-tracking"></a>

Se hace un seguimiento automático de las conexiones realizadas a través de lo siguiente, incluso si la configuración del grupo de seguridad no requiere ningún tipo de seguimiento:
+ Puerta de enlace de Internet de solo salida
+ Aceleradores de Global Accelerator
+ Puerta de enlace de NAT
+ Puntos de conexión de firewall de Network Firewall
+ Network Load Balancers
+ AWS PrivateLink (Puntos de conexión de VPC de tipo interfaz)
+ AWS Lambda (interfaces de red elásticas de hiperplano)
+ Puntos de conexión de la puerta de enlace de DynamoDB: cada conexión a DynamoDB consume 2 entradas de conntrack.

## Permisos de seguimiento de conexiones
<a name="connection-tracking-throttling"></a>

Amazon EC2 define el número máximo de conexiones que se pueden rastrear por instancia. Una vez alcanzado el máximo, los paquetes que se envían o reciben se pierden porque no se puede establecer una nueva conexión. Cuando esto sucede, las aplicaciones que envían y reciben paquetes no pueden comunicarse correctamente. Utilice la métrica de rendimiento de red `conntrack_allowance_available` para determinar la cantidad de conexiones rastreadas que aún están disponibles para ese tipo de instancia.

Para determinar si los paquetes se descartaron porque el tráfico de red de la instancia excedió el número máximo de conexiones que se pueden rastrear, utilice la métrica de rendimiento de red `conntrack_allowance_exceeded`. Para obtener más información, consulte [Supervisar el rendimiento de la red para ajustes ENA en la instancia de EC2](monitoring-network-performance-ena.md).

Con Elastic Load Balancing, si supera el número máximo de conexiones que se pueden rastrear por instancia, se recomienda escalar el número de instancias registradas con el equilibrador de carga o el tamaño de instancias registradas con el equilibrador de carga.

## Prácticas recomendadas de seguimiento de conexión
<a name="connection-tracking-performance"></a>

El enrutamiento asimétrico, en el que el tráfico entra en una instancia a través de una interfaz de red y sale por una interfaz de red diferente, puede reducir el rendimiento máximo que puede alcanzar una instancia si se realiza un seguimiento de los flujos.

Para mantener un rendimiento máximo y optimizar la gestión de las conexiones cuando el seguimiento de conexiones está habilitado para sus grupos de seguridad, le recomendamos la siguiente configuración:
+ Si es posible, evite las topologías de enrutamiento asimétrico.
+ En lugar de usar grupos de seguridad para filtrar, utilice las ACL de la red.
+ Si es necesario utilizar grupos de seguridad con seguimiento de conexiones, configure el tiempo de espera de seguimiento de conexiones inactivas más corto posible. Para obtener más detalles sobre el tiempo de espera de seguimiento de conexiones inactivas, consulte la siguiente sección.
+ Con los tiempos de espera predeterminados más cortos en las instancias de Nitrov6, las aplicaciones con conexiones de larga duración (como grupos de conexiones de bases de datos, conexiones HTTP persistentes o cargas de trabajo de streaming) deben configurar un valor de `TcpEstablishedTimeout` adecuado al lanzar la instancia.
+ En el caso de conexiones de larga duración, configure TCP keep alives para que se envíen a intervalos de menos de 5 minutos a fin de garantizar que las conexiones permanezcan abiertas y mantener su estado de seguimiento. Esto ayuda a evitar que las conexiones se interrumpan debido a un tiempo de inactividad y reduce la sobrecarga que supone restablecer la conexión.

Para obtener más información sobre el ajuste del rendimiento en el sistema Nitro, consulte [Consideraciones sobre el Nitro System para ajustar el rendimiento](ena-nitro-perf.md).

## Tiempo de espera de seguimiento de conexiones inactivas
<a name="connection-tracking-timeouts"></a>

El grupo de seguridad hace el seguimiento de cada conexión establecida para asegurarse de que los paquetes devueltos se entreguen como se espera. Existe un número máximo de conexiones que se pueden rastrear por instancia. Las conexiones que permanecen inactivas pueden provocar que se agote el seguimiento de las conexiones, que no se rastreen y que se pierdan paquetes. Puede establecer el tiempo de espera para el seguimiento de las conexiones inactivas en una interfaz de red elástica.

**nota**  
Esta característica solo está disponible con las [instancias basadas en Nitro](instance-types.md#instance-hypervisor-type). Antes de implementar sus aplicaciones en producción, debe probarlas en instancias de la generación Nitrov6 con el tiempo de espera de seguimiento de conexiones predeterminado reducido a `350` segundos.

Hay tres tiempos de espera configurables:
+ **Tiempo de espera establecido de TCP**: tiempo de espera (en segundos) para las conexiones TCP inactivas en un estado establecido.
  + Mínimo: `60` segundos
  + Máximo: `432000` segundos
  + Predeterminado: `350` segundos para los tipos de instancias de [Nitrov6](https://docs.aws.amazon.com/ec2/latest/instancetypes/ec2-nitro-instances.html), excepto P6e-GB200. Y `432000` segundos para otros tipos de instancias, incluida P6e-GB200.
  + Recomendado: menos de `432000` segundos
+ **Tiempo de espera de UDP**: tiempo de espera (en segundos) para los flujos de UDP inactivos que solo han registrado tráfico en una sola dirección o en una sola transacción de solicitud-respuesta.
  + Mínimo: `30` segundos
  + Máximo: `60` segundos
  + Valor predeterminado: `30` segundos
+ **Tiempo de espera del flujo de UDP**: tiempo de espera (en segundos) para los flujos de UDP inactivos clasificados como flujos que han recibido más de una transacción de solicitud-respuesta.
  + Mínimo: `60` segundos
  + Máximo: `180` segundos
  + Valor predeterminado: `180` segundos

Si quiere modificar los tiempos de espera predeterminados para cualquiera de los siguientes casos:
+  Si [supervisa las conexiones rastreadas mediante métricas de rendimiento de red de Amazon EC2](monitoring-network-performance-ena.md), las métricas *conntrack\$1allowance\$1exceeded* y *conntrack\$1allowance\$1available* le permiten supervisar los paquetes descartados y el uso de las conexiones rastreadas para administrar de forma proactiva la capacidad de la instancia de EC2 con acciones de escalado vertical u horizontal para ayudar a satisfacer la demanda de conexiones de red antes de descartar paquetes. Si observa caídas de *conntrack\$1allowance\$1exceeded* en sus instancias de EC2, puede resultarle útil definir un tiempo de espera establecido de TCP más bajo para tener en cuenta las sesiones de TCP/UDP obsoletas que se deben a clientes o cajas intermedias de red inadecuadas.
+ Por lo general, los equilibradores de carga o los firewalls tienen un tiempo de espera de inactividad establecido de TCP de entre 60 y 90 minutos. Si ejecuta cargas de trabajo que se espera que gestionen un número muy elevado de conexiones (más de 100 000) desde dispositivos como firewalls de red, se recomienda configurar un tiempo de espera similar en una interfaz de red de EC2.
+ Si ejecuta una carga de trabajo que utiliza una topología de enrutamiento asimétrico, le recomendamos que configure un tiempo de espera de inactividad establecido de TCP de 60 segundos.
+ Si ejecuta cargas de trabajo con un gran número de conexiones, como DNS, SIP, SNMP, Syslog, Radius y otros servicios que utilizan principalmente UDP para atender las solicitudes, establecer el tiempo de espera de “flujo de UDP” en 60 segundos proporciona una mayor escala o un mayor rendimiento para la capacidad existente y evita errores grises.
+ En el caso de las conexiones TCP/UDP a través de los equilibradores de carga de red, se realiza un seguimiento de todas las conexiones. El valor de tiempo de espera de inactividad para los flujos de TCP es de 350 segundos y para los flujos de UDP es de 120 segundos, y varía según los valores de tiempo de espera de nivel de interfaz. Puede configurar los tiempos de espera a nivel de la interfaz de red para contar con mayor flexibilidad que los valores predeterminados del equilibrador de carga.

Tiene la opción de configurar los tiempos de espera de seguimiento de conexiones si hace lo siguiente:
+ [Crear una interfaz de red](create-network-interface.md)
+ [Modificar atributos de interfaz de red](modify-network-interface-attributes.md)
+ [Iniciar una instancia de EC2](ec2-instance-launch-parameters.md#liw-network-settings)
+ [Crear una plantilla de lanzamiento de una instancia de EC2](ec2-instance-launch-parameters.md#liw-network-settings)

## Ejemplo
<a name="connection-tracking-example"></a>

En el siguiente ejemplo, el grupo de seguridad incluye reglas de entrada que permiten el tráfico TCP e ICMP y reglas de salida que permiten todo el tráfico de salida.


**Entrada**  

| Tipo de protocolo | Número de puerto | Origen | 
| --- | --- | --- | 
| TCP  | 22 (SSH) | 203.0.113.1/32 | 
| TCP  | 80 (HTTP) | 0.0.0.0/0 | 
| TCP  | 80 (HTTP) | ::/0 | 
| ICMP | Todos | 0.0.0.0/0 | 


**Salida**  

| Tipo de protocolo | Número de puerto | Destino | 
| --- | --- | --- | 
| Todos | Todos | 0.0.0.0/0 | 
| Todos | Todos | ::/0 | 

Con una conexión de red directa a la instancia o la interfaz de red, el comportamiento del seguimiento es el siguiente:
+ Se hace un seguimiento del tráfico TCP entrante y saliente en el puerto 22 (SSH), ya que la regla de entrada solo permite el tráfico desde 203.0.113.1/32 y no todas las direcciones IP (0.0.0.0/0).
+ No se hace un seguimiento del tráfico TCP entrante y saliente en el puerto 80 (HTTP), ya que tanto las reglas de entrada como las de salida permiten el tráfico desde todas las direcciones IP.
+ Siempre se hace un seguimiento del tráfico ICMP.

Si elimina la regla de salida para el tráfico IPv4, se hace un seguimiento de todo el tráfico IPv4 entrante y saliente, incluido el tráfico del puerto 80 (HTTP). Lo mismo ocurre con el tráfico IPv6 si se elimina la regla de salida para este.

# Reglas de grupo de seguridad para diferentes casos de uso
<a name="security-group-rules-reference"></a>

Puede crear un grupo de seguridad y agregar reglas que reflejen el rol de la instancia que está asociada al grupo de seguridad. Por ejemplo, una instancia configurada como servidor web necesita reglas de grupo de seguridad que permitan el acceso HTTP y HTTPS entrante. Del mismo modo, una instancia de la base de datos necesita reglas que permitan el acceso para el tipo de base de datos, como el acceso a través del puerto 3306 para MySQL.

A continuación, se muestran ejemplos de los tipos de reglas que puede agregar a grupos de seguridad para tipos concretos de acceso.

**Topics**
+ [

## Reglas del servidor web
](#sg-rules-web-server)
+ [

## Reglas del servidor de bases de datos
](#sg-rules-db-server)
+ [

## Reglas para conectarse a las instancias desde un equipo
](#sg-rules-local-access)
+ [

## Reglas para conectarse a las instancias desde una instancia con el mismo grupo de seguridad
](#sg-rules-other-instances)
+ [

## Reglas para hacer ping/ICMP
](#sg-rules-ping)
+ [

## Reglas del servidor DNS
](#sg-rules-dns)
+ [

## Reglas de Amazon EFS
](#sg-rules-efs)
+ [

## Reglas de Elastic Load Balancing
](#sg-rules-elb)

Para obtener instrucciones, consulte [Creación de un grupo de seguridad](creating-security-group.md) y [Configurar reglas del grupo de seguridad](changing-security-group.md#add-remove-security-group-rules).

## Reglas del servidor web
<a name="sg-rules-web-server"></a>

Las siguientes reglas de entrada permiten el acceso HTTP y HTTPS de cualquier dirección IP. Si la VPC está habilitada para IPv6, puede agregar reglas para controlar el tráfico HTTP y HTTPS de entrada de direcciones IPv6.


| Tipo de protocolo | Número de protocolo | Puerto | IP de origen | Notas | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Permite el acceso de HTTP entrante de cualquier dirección IPv4. | 
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Permite el acceso HTTPS entrante de cualquier dirección IPv4. | 
| TCP | 6 | 80 (HTTP) | ::/0 | Permite el acceso HTTP entrante desde cualquier dirección IPv6 | 
| TCP | 6 | 443 (HTTPS) | ::/0 | Permite el acceso HTTPS entrante desde cualquier dirección IPv6 | 

## Reglas del servidor de bases de datos
<a name="sg-rules-db-server"></a>

Las siguientes reglas de entrada son ejemplos de reglas que podría agregar para el acceso a bases de datos, según el tipo de base de datos que esté ejecutando en la instancia. Para obtener más información acerca de las instancias de Amazon RDS, consulte la [Guía del usuario de Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/).

Para la IP de origen, especifique uno de los siguientes:
+ Una dirección IP específica o un rango de direcciones IP (con la notación de bloques de CIDR) de la red local
+ Un ID de grupo de seguridad para un grupo de instancias que obtengan acceso a la base de datos


| Tipo de protocolo | Número de protocolo | Puerto | Notas | 
| --- | --- | --- | --- | 
| TCP | 6 | 1433 (MS SQL) | El puerto predeterminado para obtener acceso a una base de datos Microsoft SQL Server, por ejemplo, en una instancia Amazon RDS. | 
| TCP | 6 | 3306 (MYSQL/Aurora) | El puerto predeterminado para obtener acceso a una base de datos MySQL o Aurora, por ejemplo, en una instancia Amazon RDS. | 
| TCP | 6 | 5439 (Redshift) | El puerto predeterminado para obtener acceso a una base de datos de clúster Amazon Redshift. | 
| TCP | 6 | 5432 (PostgreSQL) | El puerto predeterminado para obtener acceso a una base de datos PostgreSQL, por ejemplo, en una instancia Amazon RDS. | 
| TCP | 6 | 1521 (Oracle) | El puerto predeterminado para obtener acceso a una base de datos Oracle, por ejemplo, en una instancia Amazon RDS. | 

Opcionalmente, puede restringir el tráfico saliente desde los servidores de base de datos. Por ejemplo, es posible que desee permitir el acceso a Internet para actualizaciones de software y restringir todos los demás tipos de tráfico. Primero debe eliminar la regla de salida predeterminada que permite todo el tráfico de salida.


| Tipo de protocolo | Número de protocolo | Puerto | IP de destino | Notas | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Permite el acceso HTTP saliente a cualquier dirección IPv4. | 
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Permite el acceso HTTPS saliente a cualquier dirección IPv4. | 
| TCP | 6 | 80 (HTTP) | ::/0 | (Solo para VPC habilitada para IPv6) Permite el acceso HTTP saliente a cualquier dirección IPv6. | 
| TCP | 6 | 443 (HTTPS) | ::/0 | (Solo para VPC habilitada para IPv6) Permite el acceso HTTPS saliente a cualquier dirección IPv6. | 

## Reglas para conectarse a las instancias desde un equipo
<a name="sg-rules-local-access"></a>

Para conectarse a una instancia, el grupo de seguridad debe tener reglas de entrada que permitan el acceso SSH (para instancias de Linux) o el acceso RDP (para instancias de Windows).


| Tipo de protocolo | Número de protocolo | Puerto | IP de origen | 
| --- | --- | --- | --- | 
| TCP | 6 | 22 (SSH) | La dirección IPv4 pública de su equipo o un rango de las direcciones IP en su red local. Si la VPC está habilitada para IPv6 y la instancia tiene una dirección IPv6, puede escribir una dirección IPv6 o un rango. | 
| TCP | 6 | 3389 (RDP) | La dirección IPv4 pública de su equipo o un rango de las direcciones IP en su red local. Si la VPC está habilitada para IPv6 y la instancia tiene una dirección IPv6, puede escribir una dirección IPv6 o un rango. | 

## Reglas para conectarse a las instancias desde una instancia con el mismo grupo de seguridad
<a name="sg-rules-other-instances"></a>

Para permitir que las instancias asociadas al mismo grupo de seguridad se comuniquen unas con otras, debe agregar explícitamente reglas para ello. 

**nota**  
Si configura rutas para reenviar el tráfico entre dos instancias en subredes diferentes a través de un dispositivo de middlebox, debe asegurarse de que los grupos de seguridad de ambas instancias permiten que el tráfico fluya entre las instancias. El grupo de seguridad de cada instancia debe hacer referencia a la dirección IP privada de la otra instancia, o al rango CIDR de la subred que contiene la otra instancia, como fuente. Si hace referencia al grupo de seguridad de la otra instancia como fuente, esto no permite que el tráfico fluya entre las instancias.

La siguiente tabla describe la regla de entrada para un grupo de seguridad que permite que las instancias asociadas se comuniquen entre sí. La regla permite todo tipo de tráfico.


| Tipo de protocolo | Número de protocolo | Puertos | IP de origen | 
| --- | --- | --- | --- | 
| -1 (Todos) | -1 (Todos) | -1 (Todos) | El ID del grupo de seguridad, o bien el rango CIDR de la subred que contiene la otra instancia (consulte la nota). | 

## Reglas para hacer ping/ICMP
<a name="sg-rules-ping"></a>

El comando **ping** es un tipo de tráfico de ICMP. Para hacer un ping a la instancia, debe agregar una de las siguientes reglas de entrada de ICMP.


| Tipo | Protocolo | Origen | 
| --- | --- | --- | 
| ICMP personalizado: IPv4 | Repetir solicitud | La dirección IPv4 pública del equipo, una dirección IPv4 específica o una dirección IPv4 o IPv6 de cualquier lugar. | 
| Todos ICMP: IPv4 | ICMP de IPv4 (1) | La dirección IPv4 pública del equipo, una dirección IPv4 específica o una dirección IPv4 o IPv6 de cualquier lugar. | 

Para utilizar el comando **ping6** para hacer ping a la dirección IPv6 de su instancia, debe agregar la siguiente regla de entrada de ICMPv6.


| Tipo | Protocolo | Origen | 
| --- | --- | --- | 
| Todos los ICMP: IPv6 | ICMP de IPv6 (58) | La dirección IPv6 del equipo, una dirección IPv4 específica o una dirección IPv4 o IPv6 desde cualquier lugar. | 

## Reglas del servidor DNS
<a name="sg-rules-dns"></a>

Si ha configurado su instancia de EC2 como un servidor DNS, debe asegurarse de que el tráfico TCP y UDP pueden llegar al servidor DNS a través del puerto 53. 

Para la IP de origen, especifique uno de los siguientes:
+ Una dirección IP o un rango de direcciones IP (con la notación de bloques de CIDR) de una local
+ El ID de un grupo de seguridad para el conjunto de instancias de la red que requieran acceso al servidor DNS


| Tipo de protocolo | Número de protocolo | Puerto | 
| --- | --- | --- | 
| TCP | 6 | 53 | 
| UDP | 17 | 53 | 

## Reglas de Amazon EFS
<a name="sg-rules-efs"></a>

Si está utilizando un sistema de archivos de Amazon EFS con las instancias Amazon EC2, el grupo de seguridad que asocia a los destinos de montaje de Amazon EFS debe permitir el tráfico a través del protocolo NFS. 


| Tipo de protocolo | Número de protocolo | Puertos | IP de origen | Notas | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 2049 (NFS) | El ID del grupo de seguridad | Permite el acceso NFS de entrada desde los recursos (incluido el destino de montaje) asociados a este grupo de seguridad. | 

Para montar un sistema de archivos de Amazon EFS en la instancia Amazon EC2, debe conectarse a la instancia. Por consiguiente, el grupo de seguridad asociado a su instancia debe tener reglas que permitan el tráfico SSH entrante de su equipo local o red local.


| Tipo de protocolo | Número de protocolo | Puertos | IP de origen | Notas | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 22 (SSH) | El rango de direcciones IP del equipo local o el rango de direcciones IP (con la notación de bloques de CIDR) de la red. | Permite el acceso SSH entrante desde el equipo local. | 

## Reglas de Elastic Load Balancing
<a name="sg-rules-elb"></a>

Si registra sus instancias de EC2 a un equilibrador de carga, el grupo de seguridad asociado al equilibrador de carga debe permitir la comunicación con las instancias. Para obtener más información, consulte lo siguiente en la documentación de Elastic Load Balancing.
+ [Grupos de seguridad para el equilibrador de carga de aplicación](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-update-security-groups.html)
+ [Grupos de seguridad para el equilibrador de carga de red](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-security-groups.html)
+ [Configurar grupos de seguridad para el equilibrador de carga clásico](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-vpc-security-groups.html)