Actualizar grupos de seguridad para que hagan referencia a grupos de seguridad del mismo nivel - Amazon Virtual Private Cloud
Identifique los grupos de seguridad a los que se hace referenciaVer y eliminar reglas de grupo de seguridad obsoletas

Actualizar grupos de seguridad para que hagan referencia a grupos de seguridad del mismo nivel

Puede actualizar las reglas entrantes o salientes de los grupos de seguridad de su VPC para que hagan referencia a los grupos de seguridad de las VPC del mismo nivel. De este modo, garantizará el tráfico entrante y saliente de las instancias asociadas al grupo de seguridad al que se hace referencia en la VPC del mismo nivel.

nota

Los grupos de seguridad de una VPC del mismo nivel no se muestran en la consola para que los seleccione.

Requisitos

  • Para hacer referencia a un grupo de seguridad de una VPC del mismo nivel, la interconexión de VPC debe tener el estado active.

  • La VPC del mismo nivel puede ser una VPC de su cuenta o una VPC de otra cuenta de AWS. Para hacer referencia a un grupo de seguridad que se encuentra en otra cuenta de AWS pero en la misma región, incluya el número de cuenta con el ID del grupo de seguridad. Por ejemplo, 123456789012/sg-1a2b3c4d.

  • No es posible hacer referencia al grupo de seguridad de una VPC del mismo nivel que se encuentra en una región distinta. En lugar de ello, utilice el bloque de CIDR de la VPC del mismo nivel.

  • Si configura rutas para reenviar el tráfico entre dos instancias en subredes diferentes a través de un dispositivo de middlebox, debe asegurarse de que los grupos de seguridad de ambas instancias permiten que el tráfico fluya entre las instancias. El grupo de seguridad de cada instancia debe hacer referencia a la dirección IP privada de la otra instancia, o al rango CIDR de la subred que contiene la otra instancia, como fuente. Si hace referencia al grupo de seguridad de la otra instancia como fuente, esto no permite que el tráfico fluya entre las instancias.

Para actualizar las reglas del grupo de seguridad desde la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Seleccione el grupo de seguridad y haga una de las operaciones siguientes:

    • Para modificar las reglas de entrada, seleccione Acciones, Editar reglas de entrada.

    • Para modificar las reglas de salida, seleccione Acciones, Editar reglas de salida.

  4. Para agregar una regla, elija Agregar regla y especifique el tipo, el protocolo y el rango de puertos. En Origen (regla de entrada) o Destino (regla de salida), haga alguna de las siguientes acciones:

    • Para una VPC del mismo nivel en la misma cuenta y región, ingrese el ID del grupo de seguridad.

    • Para una VPC del mismo nivel en una cuenta diferente pero de la misma región, ingrese el ID de la cuenta y el ID del grupo de seguridad, separados por una barra diagonal (por ejemplo, 123456789012/sg-1a2b3c4d).

    • Para una VPC del mismo nivel en una región diferente, ingrese el bloque de CIDR de la VPC del mismo nivel.

  5. Para editar una regla existente, cambie los valores (por ejemplo, el origen o la descripción).

  6. Para eliminar una regla, elija la opción Eliminar situada junto a la regla.

  7. Seleccione Guardar reglas.

Para actualizar las reglas de entrada mediante la línea de comandos

Por ejemplo, para actualizar el grupo de seguridad sg-aaaa1111 para permitir el acceso entrante a través de HTTP desde sg-bbbb2222 en una VPC del mismo nivel, utilice el siguiente comando. Si la VPC del mismo nivel está en la misma región pero en otra cuenta, agregue --group-owner aws-account-id.

aws ec2 authorize-security-group-ingress --group-id sg-aaaa1111 --protocol tcp --port 80 --source-group sg-bbbb2222
Para actualizar las reglas de salida mediante la línea de comandos

Una vez actualizadas las reglas del grupo de seguridad, utilice el comando describe-security-groups para consultar el grupo de seguridad al que se hace referencia en las reglas del grupo de seguridad.

Identifique los grupos de seguridad a los que se hace referencia

Para determinar si se hace referencia a su grupo de seguridad en las reglas de un grupo de seguridad de una VPC del mismo nivel, utilice uno de los comandos siguientes para uno o varios grupos de seguridad de su cuenta.

En el siguiente ejemplo, la respuesta indica que un grupo de seguridad de la VPC sg-bbbb2222 hace referencia al grupo de seguridad vpc-aaaaaaaa:

aws ec2 describe-security-group-references --group-id sg-bbbb2222
{    
  "SecurityGroupsReferenceSet": [
    {
      "ReferencingVpcId": "vpc-aaaaaaaa",
      "GroupId": "sg-bbbb2222",
      "VpcPeeringConnectionId": "pcx-b04deed9"       
    }   
  ]
}

Si se elimina la interconexión de VPC o si el propietario de la VPC del mismo nivel elimina el grupo de seguridad al que se hace referencia, la regla del grupo de seguridad quedará obsoleta.

Ver y eliminar reglas de grupo de seguridad obsoletas

Las reglas de grupos de seguridad obsoletas son aquellas que hacen referencia a un grupo de seguridad eliminado en la misma VPC o en una VPC del mismo nivel, o que hace referencia a un grupo de seguridad en una VPC del mismo nivel para la que se ha eliminado la conexión de emparejamiento de VPC. Cuando una regla de grupo de seguridad queda obsoleta, esta no se quita automáticamente del grupo de seguridad, sino que debe quitarla manualmente. Si una regla de grupo de seguridad queda obsoleta porque se ha eliminado la interconexión de VPC, esta dejará de marcarse como obsoleto si crea una nueva interconexión de VPC con las mismas VPC.

Puede consultar y eliminar las reglas de grupo de seguridad obsoletas de una VPC mediante la consola de Amazon VPC.

Para ver y eliminar reglas de grupo de seguridad obsoletas

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security groups (Grupos de seguridad).

  3. Elija Actions (Acciones), Manage stale rules (Administrar reglas obsoletas).

  4. En VPC, elija la VPC con las reglas obsoletas.

  5. Elija Edit.

  6. Presione el botón Delete (Eliminar), que se encuentra junto a la regla que desea eliminar. Elija Vista previa de cambios, Guardar reglas.

Descripción de las reglas de grupo de seguridad obsoletas mediante la línea de comandos

En el ejemplo siguiente, se creó una interconexión entre la VPC A (vpc-aaaaaaaa) y la VPC B y se eliminó la interconexión de VPC. El grupo de seguridad sg-aaaa1111 de la VPC A hace referencia al grupo sg-bbbb2222 de la VPC B. Al ejecutar el comando describe-stale-security-groups para su VPC, la respuesta indica que el grupo de seguridad sg-aaaa1111 tiene una regla SSH obsoleta que hace referencia al grupo sg-bbbb2222.

aws ec2 describe-stale-security-groups --vpc-id vpc-aaaaaaaa
{
    "StaleSecurityGroupSet": [
        {
            "VpcId": "vpc-aaaaaaaa", 
            "StaleIpPermissionsEgress": [], 
            "GroupName": "Access1", 
            "StaleIpPermissions": [
                {
                    "ToPort": 22, 
                    "FromPort": 22, 
                    "UserIdGroupPairs": [
                        {
                            "VpcId": "vpc-bbbbbbbb", 
                            "PeeringStatus": "deleted", 
                            "UserId": "123456789101", 
                            "GroupName": "Prod1", 
                            "VpcPeeringConnectionId": "pcx-b04deed9", 
                            "GroupId": "sg-bbbb2222"
                        }
                    ], 
                    "IpProtocol": "tcp"
                }
            ], 
            "GroupId": "sg-aaaa1111", 
            "Description": "Reference remote SG"
        }
    ]
}

Una vez identificadas las reglas de grupo de seguridad obsoletas, puede eliminarlas utilizando los comandos revoke-security-group-ingress o revoke-security-group-egress.