Grupos de seguridad predeterminados para las VPC
Las VPC predeterminadas y las VPC que cree incluyen un grupo de seguridad predeterminado. El nombre del grupo de seguridad predeterminado es “default”.
Se recomienda crear grupos de seguridad para recursos o grupos de recursos específicos en lugar de utilizar el grupo de seguridad predeterminado. Sin embargo, si no asocia un grupo de seguridad con algunos recursos en el momento de la creación, los asociamos con el grupo de seguridad predeterminado. Por ejemplo, si no especifica un grupo de seguridad cuando lanza una instancia EC2, asociamos la instancia con el grupo de seguridad predeterminado para su VPC.
Conceptos básicos de un grupo de seguridad predeterminado
-
Puede cambiar las reglas de un grupo de seguridad predeterminado.
-
El grupo de seguridad predeterminado no se puede eliminar. Si intenta eliminar el grupo de seguridad predeterminado, devolveremos el siguiente código de error:
Client.CannotDelete
.
Reglas predeterminadas
En la tabla siguiente se describen las reglas de entrada predeterminadas del grupo de seguridad predeterminado.
Origen | Protocolo | Rango de puerto | Descripción |
---|---|---|---|
sg-1234567890abcdef0 |
Todos | Todos | Permite el tráfico entrante de todos los recursos asignados a este grupo de seguridad. El origen es el ID de este grupo de seguridad. |
En la tabla siguiente se describen las reglas de salida predeterminadas del grupo de seguridad predeterminado.
Destino | Protocolo | Rango de puerto | Descripción |
---|---|---|---|
0.0.0.0/0 | Todos | Todos | Permite todo el tráfico IPv4 saliente. |
::/0 | Todos | Todos | Permite todo el tráfico IPv6 saliente. Esta regla se agrega solo si su VPC tiene un bloque de CIDR IPv6 asociado. |
Ejemplo
En el siguiente diagrama se muestra una VPC con un grupo de seguridad predeterminado, una puerta de enlace de Internet y una puerta de enlace de NAT. La seguridad predeterminada contiene solo sus reglas predeterminadas y está asociada con dos instancias de EC2 que se ejecutan en la VPC. En este escenario, cada instancia puede recibir tráfico entrante de la otra instancia en todos los puertos y protocolos. Las reglas predeterminadas no permiten que las instancias reciban tráfico de la puerta de enlace de Internet ni de la puerta de enlace de NAT. Si las instancias deben recibir tráfico adicional, se recomienda crear un grupo de seguridad con las reglas necesarias y asociar el grupo de seguridad nuevo a las instancias en lugar del grupo de seguridad predeterminado.