Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Grupos de seguridad para el Equilibrador de carga de aplicación
El grupo de seguridad del Equilibrador de carga de aplicación controla el tráfico al que se le permite llegar y dejar el equilibrador de carga. Debe asegurarse de que el equilibrador de carga pueda comunicarse con los destinos registrados en el puerto del oyente y en el puerto de comprobación de estado. Cada vez que agregue un oyente al equilibrador de carga o actualice la comprobación de estado de un grupo de destino que el equilibrador de carga utilice para direccionar solicitudes, debe asegurarse de que los grupos de seguridad asociados a ese equilibrador de carga permitan el tráfico en el nuevo puerto en ambas direcciones. Si no es así, puede editar las reglas de los grupos de seguridad que estén asociados al equilibrador de carga o bien asociarle otros grupos de seguridad. Puede elegir los puertos y los protocolos que desee permitir. Por ejemplo, puede abrir conexiones del Protocolo de mensajes de control de internet (ICMP) para que el equilibrador de carga responda a las solicitudes de ping (sin embargo, las solicitudes de ping no se reenvían a ninguna instancia).
**Consideraciones**
+ Para garantizar que sus destinos reciban tráfico exclusivamente del equilibrador de carga, limite los grupos de seguridad asociados a los destinos para que acepten únicamente el tráfico del equilibrador de carga. Para ello, configure el grupo de seguridad del equilibrador de carga como el origen en la regla de entrada del grupo de seguridad del destino.
+ Si el equilibrador de carga de aplicaciones es un destino de un equilibrador de carga de red, los grupos de seguridad del equilibrador de carga de aplicaciones usan el seguimiento de conexiones para rastrear información sobre el tráfico que proviene del equilibrador de carga de red. Esto ocurre independientemente de las reglas del grupo de seguridad establecidas para su Equilibrador de carga de aplicación. Para obtener más información, consulte [Seguimiento de conexiones de grupos de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) en la *Guía del usuario de Amazon EC2*.
+ Recomendamos permitir el tráfico ICMP entrante para admitir el descubrimiento de MTU de ruta. Para obtener más información, consulte [Detección de la MTU de la ruta](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html#path_mtu_discovery) en la *Guía del usuario de Amazon EC2*.
## Reglas recomendadas
Las siguientes reglas se recomiendan para un equilibrador de carga de acceso a internet con instancias como destinos.
|
|
| **Inbound** |
| --- |
| Source | Port Range | Comment |
| 0.0.0.0/0 | *listener* | Permitir todo el tráfico entrante en el puerto del oyente del equilibrador de carga |
| **Outbound** |
| --- |
| Destination | Port Range | Comment |
| *instance security group* | *instance listener* | Permitir el tráfico saliente a las instancias en el puerto del oyente de la instancia |
| *instance security group* | *health check* | Permitir el tráfico saliente a las instancias en el puerto de comprobación de estado |
Las siguientes reglas se recomiendan para un equilibrador de carga interno con instancias como destinos.
|
|
| **Inbound** |
| --- |
| Source | Port Range | Comment |
| *VPC CIDR* | *listener* | Permitir el tráfico entrante del CIDR de VPC en el puerto del oyente del equilibrador de carga |
| **Outbound** |
| --- |
| Destination | Port Range | Comment |
| *instance security group* | *instance listener* | Permitir el tráfico saliente a las instancias en el puerto del oyente de la instancia |
| *instance security group* | *health check* | Permitir el tráfico saliente a las instancias en el puerto de comprobación de estado |
Las siguientes reglas se recomiendan para un equilibrador de carga de aplicaciones con instancias como destinos cuando este es un destino de un equilibrador de carga de red.
|
|
| **Inbound** |
| --- |
| Source | Port Range | Comment |
| *client IP addresses/CIDR* | *`alb `listener* | Permite el tráfico entrante del cliente en el puerto del oyente del equilibrador de carga. |
| *VPC CIDR* | *`alb `listener* | Permita que el tráfico de clientes entrante pase por AWS PrivateLink el puerto de escucha del balanceador de carga |
| *VPC CIDR* | *`alb `listener* | Permitir el tráfico de estado entrante desde el Equilibrador de carga de red |
| **Outbound** |
| --- |
| Destination | Port Range | Comment |
| *instance security group* | *instance listener* | Permitir el tráfico saliente a las instancias en el puerto del oyente de la instancia |
| *instance security group* | *health check* | Permitir el tráfico saliente a las instancias en el puerto de comprobación de estado |
## Actualizar los grupos de seguridad asociados
Puede actualizar los grupos de seguridad asociados con el equilibrador de carga en cualquier momento.
------
#### [ Console ]
**Para actualizar los grupos de seguridad**
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En el panel de navegación, seleccione **Load Balancers**.
1. Seleccione el equilibrador de carga.
1. En la pestaña **Seguridad**, seleccione **Editar**.
1. Para asociar un grupo de seguridad al equilibrador de carga, selecciónelo. Para eliminar la asociación de un grupo de seguridad, elija el icono **X** del grupo de seguridad.
1. Seleccione **Save changes (Guardar cambios)**.
------
#### [ AWS CLI ]
**Para actualizar los grupos de seguridad**
Utilice el comando [set-security-groups](https://docs.aws.amazon.com/cli/latest/reference/elbv2/set-security-groups.html).
```
aws elbv2 set-security-groups \
--load-balancer-arn load-balancer-arn \
--security-groups sg-01dd3383691d02f42 sg-00f4e409629f1a42d
```
------
#### [ CloudFormation ]
**Para actualizar los grupos de seguridad**
Actualiza el recurso. [AWS::ElasticLoadBalancingV2::LoadBalancer](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-loadbalancer.html)
```
Resources:
myLoadBalancer:
Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
Properties:
Name: my-alb
Type: application
Scheme: internal
Subnets:
- !Ref subnet-AZ1
- !Ref subnet-AZ2
SecurityGroups:
- !Ref mySecurityGroup
- !Ref myNewSecurityGroup
```
------