Reglas de grupo de seguridad para diferentes casos de uso
Puede crear un grupo de seguridad y agregar reglas que reflejen el rol de la instancia que está asociada al grupo de seguridad. Por ejemplo, una instancia configurada como servidor web necesita reglas de grupo de seguridad que permitan el acceso HTTP y HTTPS entrante. Del mismo modo, una instancia de la base de datos necesita reglas que permitan el acceso para el tipo de base de datos, como el acceso a través del puerto 3306 para MySQL.
A continuación, se muestran ejemplos de los tipos de reglas que puede agregar a grupos de seguridad para tipos concretos de acceso.
Ejemplos
- Reglas del servidor web
- Reglas del servidor de bases de datos
- Reglas para conectarse a las instancias desde un equipo
- Reglas para conectarse a las instancias desde una instancia con el mismo grupo de seguridad
- Reglas para hacer ping/ICMP
- Reglas del servidor DNS
- Reglas de Amazon EFS
- Reglas de Elastic Load Balancing
Para obtener instrucciones, consulte Creación de un grupo de seguridad y Configurar reglas del grupo de seguridad.
Reglas del servidor web
Las siguientes reglas de entrada permiten el acceso HTTP y HTTPS de cualquier dirección IP. Si la VPC está habilitada para IPv6, puede agregar reglas para controlar el tráfico HTTP y HTTPS de entrada de direcciones IPv6.
| Tipo de protocolo | Número de protocolo | Puerto | IP de origen | Notas |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Permite el acceso de HTTP entrante de cualquier dirección IPv4. |
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Permite el acceso HTTPS entrante de cualquier dirección IPv4. |
| TCP | 6 | 80 (HTTP) | ::/0 | Permite el acceso HTTP entrante desde cualquier dirección IPv6 |
| TCP | 6 | 443 (HTTPS) | ::/0 | Permite el acceso HTTPS entrante desde cualquier dirección IPv6 |
Reglas del servidor de bases de datos
Las siguientes reglas de entrada son ejemplos de reglas que podría agregar para el acceso a bases de datos, según el tipo de base de datos que esté ejecutando en la instancia. Para obtener más información acerca de las instancias de Amazon RDS, consulte la Guía del usuario de Amazon RDS.
Para la IP de origen, especifique uno de los siguientes:
-
Una dirección IP específica o un rango de direcciones IP (con la notación de bloques de CIDR) de la red local
-
Un ID de grupo de seguridad para un grupo de instancias que obtengan acceso a la base de datos
| Tipo de protocolo | Número de protocolo | Puerto | Notas |
|---|---|---|---|
| TCP | 6 | 1433 (MS SQL) | El puerto predeterminado para obtener acceso a una base de datos Microsoft SQL Server, por ejemplo, en una instancia Amazon RDS. |
| TCP | 6 | 3306 (MYSQL/Aurora) | El puerto predeterminado para obtener acceso a una base de datos MySQL o Aurora, por ejemplo, en una instancia Amazon RDS. |
| TCP | 6 | 5439 (Redshift) | El puerto predeterminado para obtener acceso a una base de datos de clúster Amazon Redshift. |
| TCP | 6 | 5432 (PostgreSQL) | El puerto predeterminado para obtener acceso a una base de datos PostgreSQL, por ejemplo, en una instancia Amazon RDS. |
| TCP | 6 | 1521 (Oracle) | El puerto predeterminado para obtener acceso a una base de datos Oracle, por ejemplo, en una instancia Amazon RDS. |
Opcionalmente, puede restringir el tráfico saliente desde los servidores de base de datos. Por ejemplo, es posible que desee permitir el acceso a Internet para actualizaciones de software y restringir todos los demás tipos de tráfico. Primero debe eliminar la regla de salida predeterminada que permite todo el tráfico de salida.
| Tipo de protocolo | Número de protocolo | Puerto | IP de destino | Notas |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Permite el acceso HTTP saliente a cualquier dirección IPv4. |
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Permite el acceso HTTPS saliente a cualquier dirección IPv4. |
| TCP | 6 | 80 (HTTP) | ::/0 | (Solo para VPC habilitada para IPv6) Permite el acceso HTTP saliente a cualquier dirección IPv6. |
| TCP | 6 | 443 (HTTPS) | ::/0 | (Solo para VPC habilitada para IPv6) Permite el acceso HTTPS saliente a cualquier dirección IPv6. |
Reglas para conectarse a las instancias desde un equipo
Para conectarse a una instancia, el grupo de seguridad debe tener reglas de entrada que permitan el acceso SSH (para instancias de Linux) o el acceso RDP (para instancias de Windows).
| Tipo de protocolo | Número de protocolo | Puerto | IP de origen |
|---|---|---|---|
| TCP | 6 | 22 (SSH) | La dirección IPv4 pública de su equipo o un rango de las direcciones IP en su red local. Si la VPC está habilitada para IPv6 y la instancia tiene una dirección IPv6, puede escribir una dirección IPv6 o un rango. |
| TCP | 6 | 3389 (RDP) | La dirección IPv4 pública de su equipo o un rango de las direcciones IP en su red local. Si la VPC está habilitada para IPv6 y la instancia tiene una dirección IPv6, puede escribir una dirección IPv6 o un rango. |
Reglas para conectarse a las instancias desde una instancia con el mismo grupo de seguridad
Para permitir que las instancias asociadas al mismo grupo de seguridad se comuniquen unas con otras, debe agregar explícitamente reglas para ello.
nota
Si configura rutas para reenviar el tráfico entre dos instancias en subredes diferentes a través de un dispositivo de middlebox, debe asegurarse de que los grupos de seguridad de ambas instancias permiten que el tráfico fluya entre las instancias. El grupo de seguridad de cada instancia debe hacer referencia a la dirección IP privada de la otra instancia, o al rango CIDR de la subred que contiene la otra instancia, como fuente. Si hace referencia al grupo de seguridad de la otra instancia como fuente, esto no permite que el tráfico fluya entre las instancias.
La siguiente tabla describe la regla de entrada para un grupo de seguridad que permite que las instancias asociadas se comuniquen entre sí. La regla permite todo tipo de tráfico.
| Tipo de protocolo | Número de protocolo | Puertos | IP de origen |
|---|---|---|---|
| -1 (Todos) | -1 (Todos) | -1 (Todos) | El ID del grupo de seguridad, o bien el rango CIDR de la subred que contiene la otra instancia (consulte la nota). |
Reglas para hacer ping/ICMP
El comando ping es un tipo de tráfico de ICMP. Para hacer un ping a la instancia, debe agregar una de las siguientes reglas de entrada de ICMP.
| Tipo | Protocolo | Origen |
|---|---|---|
| ICMP personalizado: IPv4 | Repetir solicitud | La dirección IPv4 pública del equipo, una dirección IPv4 específica o una dirección IPv4 o IPv6 de cualquier lugar. |
| Todos ICMP: IPv4 | ICMP de IPv4 (1) | La dirección IPv4 pública del equipo, una dirección IPv4 específica o una dirección IPv4 o IPv6 de cualquier lugar. |
Para utilizar el comando ping6 para hacer ping a la dirección IPv6 de su instancia, debe agregar la siguiente regla de entrada de ICMPv6.
| Tipo | Protocolo | Origen |
|---|---|---|
| Todos los ICMP: IPv6 | ICMP de IPv6 (58) | La dirección IPv6 del equipo, una dirección IPv4 específica o una dirección IPv4 o IPv6 desde cualquier lugar. |
Reglas del servidor DNS
Si ha configurado su instancia de EC2 como un servidor DNS, debe asegurarse de que el tráfico TCP y UDP pueden llegar al servidor DNS a través del puerto 53.
Para la IP de origen, especifique uno de los siguientes:
-
Una dirección IP o un rango de direcciones IP (con la notación de bloques de CIDR) de una local
-
El ID de un grupo de seguridad para el conjunto de instancias de la red que requieran acceso al servidor DNS
| Tipo de protocolo | Número de protocolo | Puerto |
|---|---|---|
| TCP | 6 | 53 |
| UDP | 17 | 53 |
Reglas de Amazon EFS
Si está utilizando un sistema de archivos de Amazon EFS con las instancias Amazon EC2, el grupo de seguridad que asocia a los destinos de montaje de Amazon EFS debe permitir el tráfico a través del protocolo NFS.
| Tipo de protocolo | Número de protocolo | Puertos | IP de origen | Notas |
|---|---|---|---|---|
| TCP | 6 | 2049 (NFS) | El ID del grupo de seguridad | Permite el acceso NFS de entrada desde los recursos (incluido el destino de montaje) asociados a este grupo de seguridad. |
Para montar un sistema de archivos de Amazon EFS en la instancia Amazon EC2, debe conectarse a la instancia. Por consiguiente, el grupo de seguridad asociado a su instancia debe tener reglas que permitan el tráfico SSH entrante de su equipo local o red local.
| Tipo de protocolo | Número de protocolo | Puertos | IP de origen | Notas |
|---|---|---|---|---|
| TCP | 6 | 22 (SSH) | El rango de direcciones IP del equipo local o el rango de direcciones IP (con la notación de bloques de CIDR) de la red. | Permite el acceso SSH entrante desde el equipo local. |
Reglas de Elastic Load Balancing
Si registra sus instancias de EC2 a un equilibrador de carga, el grupo de seguridad asociado al equilibrador de carga debe permitir la comunicación con las instancias. Para obtener más información, consulte lo siguiente en la documentación de Elastic Load Balancing.
