Actualizar grupos de seguridad para que hagan referencia a grupos de seguridad del mismo nivel
Puede actualizar las reglas entrantes o salientes de los grupos de seguridad de su VPC para que hagan referencia a grupos de seguridad de la VPC del mismo nivel. De este modo, garantizará el tráfico entrante y saliente de las instancias asociadas al grupo de seguridad al que se hace referencia en la VPC del mismo nivel.
Requisitos
-
La VPC del mismo nivel puede ser una VPC de su cuenta o una VPC de otra cuenta de AWS. Para hacer referencia a un grupo de seguridad de otra cuenta de AWS, incluya el número de cuenta en el campo Source (Origen) o Destination (Destino) como, por ejemplo,
123456789012/sg-1a2b3c4d. -
No es posible hacer referencia al grupo de seguridad de una VPC interconectada que se encuentra en una región distinta. En lugar de ello, utilice el bloque de CIDR de la VPC del mismo nivel.
-
Para hacer referencia a un grupo de seguridad de una VPC del mismo nivel, la interconexión de VPC debe tener el estado
active. -
Si configura rutas para reenviar el tráfico entre dos instancias en subredes diferentes a través de un dispositivo de middlebox, debe asegurarse de que los grupos de seguridad de ambas instancias permiten que el tráfico fluya entre las instancias. El grupo de seguridad de cada instancia debe hacer referencia a la dirección IP privada de la otra instancia, o al rango CIDR de la subred que contiene la otra instancia, como fuente. Si hace referencia al grupo de seguridad de la otra instancia como fuente, esto no permite que el tráfico fluya entre las instancias.
Para actualizar las reglas del grupo de seguridad desde la consola
Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/
. -
En el panel de navegación, elija Grupos de seguridad.
-
Seleccione el grupo de seguridad y elija Acciones, Editar reglas entrantes para modificar las reglas entrantes, o elija Acciones, Editar reglas salientes para modificar las reglas salientes.
-
Para agregar una regla, elija Agregar regla y especifique el tipo, el protocolo y el rango de puertos. En Origen (regla entrante) o Destino (regla saliente), ingrese el ID del grupo de seguridad de la VPC del mismo nivel si está en la misma región, o el bloque CIDR de la VPC del mismo nivel si está en una región diferente.
nota
Los grupos de seguridad de una VPC del mismo nivel no se muestran automáticamente.
-
Para editar una regla existente, cambie los valores (por ejemplo, el origen o la descripción).
-
Para eliminar una regla, elija la opción Eliminar situada junto a la regla.
-
Seleccione Guardar reglas.
Para actualizar las reglas de entrada mediante la línea de comandos
-
authorize-security-group-ingress (AWS CLI)
-
Grant-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)
-
Revoke-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)
-
revoke-security-group-ingress (AWS CLI)
Para actualizar las reglas de salida mediante la línea de comandos
-
authorize-security-group-egress (AWS CLI)
-
Grant-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)
-
Revoke-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)
-
revoke-security-group-egress (AWS CLI)
Por ejemplo, para actualizar el grupo de seguridad sg-aaaa1111 para permitir el acceso entrante a través de HTTP desde el grupo sg-bbbb2222 que se encuentra en una VPC del mismo nivel, puede utilizar el comando de AWS CLI siguiente:
aws ec2 authorize-security-group-ingress --group-idsg-aaaa1111--protocol tcp --port80--source-groupsg-bbbb2222
Una vez actualizadas las reglas del grupo de seguridad, utilice el comando describe-security-groups para consultar el grupo de seguridad al que se hace referencia en las reglas del grupo de seguridad.
Identifique los grupos de seguridad a los que se hace referencia
Para determinar si se hace referencia a su grupo de seguridad en las reglas de un grupo de seguridad de una VPC del mismo nivel, utilice uno de los comandos siguientes para uno o varios grupos de seguridad de su cuenta.
-
describe-security-group-references (AWS CLI)
-
Get-EC2SecurityGroupReference (AWS Tools for Windows PowerShell)
-
DescribeSecurityGroupReferences (API de consulta de Amazon EC2)
En el siguiente ejemplo, la respuesta indica que un grupo de seguridad de la VPC sg-bbbb2222 hace referencia al grupo de seguridad vpc-aaaaaaaa:
aws ec2 describe-security-group-references --group-idsg-bbbb2222
{
"SecurityGroupsReferenceSet": [
{
"ReferencingVpcId": "vpc-aaaaaaaa",
"GroupId": "sg-bbbb2222",
"VpcPeeringConnectionId": "pcx-b04deed9"
}
]
}Si se elimina la interconexión de VPC o si el propietario de la VPC del mismo nivel elimina el grupo de seguridad al que se hace referencia, la regla del grupo de seguridad quedará obsoleta.
Ver y eliminar reglas de grupo de seguridad obsoletas
Las reglas de grupos de seguridad obsoletas son aquellas que hacen referencia a un grupo de seguridad eliminado en la misma VPC o en una VPC del mismo nivel, o que hace referencia a un grupo de seguridad en una VPC del mismo nivel para la que se ha eliminado la conexión de emparejamiento de VPC. Cuando una regla de grupo de seguridad queda obsoleta, esta no se quita automáticamente del grupo de seguridad, sino que debe quitarla manualmente. Si una regla de grupo de seguridad queda obsoleta porque se ha eliminado la interconexión de VPC, esta dejará de marcarse como obsoleto si crea una nueva interconexión de VPC con las mismas VPC.
Puede consultar y eliminar las reglas de grupo de seguridad obsoletas de una VPC mediante la consola de Amazon VPC.
Para ver y eliminar reglas de grupo de seguridad obsoletas
Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/
. -
En el panel de navegación, elija Security groups (Grupos de seguridad).
-
Elija Actions (Acciones), Manage stale rules (Administrar reglas obsoletas).
-
En VPC, elija la VPC con las reglas obsoletas.
-
Elija Edit.
-
Presione el botón Delete (Eliminar), que se encuentra junto a la regla que desea eliminar. Elija Vista previa de cambios, Guardar reglas.
Para describir las reglas de grupo de seguridad obsoletas mediante la línea de comandos o una API
-
describe-stale-security-groups (AWS CLI)
-
Get-EC2StaleSecurityGroup (AWS Tools for Windows PowerShell)
-
DescribeStaleSecurityGroups (API de consulta de Amazon EC2)
En el ejemplo siguiente, se creó una interconexión entre la VPC A (vpc-aaaaaaaa) y la VPC B y se eliminó la interconexión de VPC. El grupo de seguridad sg-aaaa1111 de la VPC A hace referencia al grupo sg-bbbb2222 de la VPC B. Al ejecutar el comando describe-stale-security-groups para su VPC, la respuesta indica que el grupo de seguridad sg-aaaa1111 tiene una regla SSH obsoleta que hace referencia al grupo sg-bbbb2222.
aws ec2 describe-stale-security-groups --vpc-idvpc-aaaaaaaa
{
"StaleSecurityGroupSet": [
{
"VpcId": "vpc-aaaaaaaa",
"StaleIpPermissionsEgress": [],
"GroupName": "Access1",
"StaleIpPermissions": [
{
"ToPort": 22,
"FromPort": 22,
"UserIdGroupPairs": [
{
"VpcId": "vpc-bbbbbbbb",
"PeeringStatus": "deleted",
"UserId": "123456789101",
"GroupName": "Prod1",
"VpcPeeringConnectionId": "pcx-b04deed9",
"GroupId": "sg-bbbb2222"
}
],
"IpProtocol": "tcp"
}
],
"GroupId": "sg-aaaa1111",
"Description": "Reference remote SG"
}
]
}Una vez identificadas las reglas de grupo de seguridad obsoletas, puede eliminarlas utilizando los comandos revoke-security-group-ingress o revoke-security-group-egress.
