Ejemplo: controlar el acceso a las instancias de una subred - Amazon Virtual Private Cloud

Ejemplo: controlar el acceso a las instancias de una subred

En este ejemplo, las instancias de su subred se pueden comunicar entre sí, y se puede obtener acceso a ellas desde un equipo remoto de confianza. El equipo remoto puede ser un equipo en la red local o una instancia en una subred o VPC diferente. Se utiliza para conectarse a las instancias para realizar tareas administrativas. Las reglas de su grupo de seguridad y de ACL de red permiten el acceso desde la dirección IP de su equipo remoto (172.31.1.2/32). El resto del tráfico de Internet u otras redes se deniega. Este escenario le proporciona la flexibilidad necesaria para cambiar los grupos de seguridad o las reglas de grupos de seguridad de sus instancias, así como para tener la ACL de red como capa de copia de seguridad de defensa.

Utilización de un grupo de seguridad y una NACL

En la siguiente tabla, se muestran las reglas de entrada para un grupo de seguridad de ejemplo para instancias.

Tipo de protocolo Protocolo Intervalo de puertos Fuente Comentarios
Todo el tráfico Todos Todos sg-1234567890abcdef0 Todas las instancias asociadas a este grupo de seguridad pueden comunicarse entre sí.
SSH TCP 22 172.31.1.2/32 Permite al SSH entrante obtener acceso desde el equipo remoto.

En la siguiente tabla, se muestran las reglas de salida de un grupo de seguridad de ejemplo para las instancias. Los grupos de seguridad son grupos con estado. Por lo tanto, no necesita una regla que permita respuestas al tráfico entrante.

Tipo de protocolo Protocolo Rango de puerto Destino Comentarios
Todo el tráfico Todos Todos sg-1234567890abcdef0 Todas las instancias asociadas a este grupo de seguridad pueden comunicarse entre sí.

En la siguiente tabla, se muestran las redes de entrada para un ejemplo de ACL de red para asociar a las subredes de las instancias. Las reglas de ACL de red se aplican a todas las instancias de la subred.

Regla n.º Tipo Protocolo Intervalo de puertos Fuente Permitir/Denegar Comentarios
100 SSH TCP 22 172.31.1.2/32 PERMITIR Permite al tráfico entrante obtener acceso desde el equipo remoto.
* Todo el tráfico Todos Todos 0.0.0.0/0 DENEGAR Deniega todo el resto de tráfico entrante.

En la siguiente tabla, se muestran las reglas de salida para el ejemplo de ACL de red para asociar a las subredes de las instancias. Las ACL de red son sin estado. Por lo tanto, necesita una regla que permita respuestas al tráfico entrante.

Regla n.º Tipo Protocolo Rango de puerto Destino Permitir/Denegar Comentarios
100 TCP personalizada TCP 1024 - 65535 172.31.1.2/32 PERMITIR Permite las respuestas salientes al equipo remoto.
* Todo el tráfico Todos Todos 0.0.0.0/0 DENEGAR Deniega todo el resto de tráfico saliente.

En caso de crear por error reglas de grupos de seguridad demasiado permisivas, la ACL de red de este ejemplo seguirá permitiendo el acceso solo desde la dirección IP especificada. Por ejemplo, el siguiente grupo de seguridad contiene una regla que permite el acceso SSH entrante desde cualquier dirección IP. Sin embargo, si asocia este grupo de seguridad a una instancia de una subred que utiliza la ACL de red, solo otras instancias de la subred y el equipo remoto pueden acceder a la instancia, ya que las reglas de la ACL de red deniegan cualquier otro tráfico entrante a la subred.

En la siguiente tabla, se muestran las reglas de entrada para un ejemplo de ACL de red para permitir el acceso solo desde la dirección IP especificada.

Tipo Protocolo Intervalo de puertos Fuente Comentarios
Todo el tráfico Todos Todos sg-1234567890abcdef0 Todas las instancias asociadas a este grupo de seguridad pueden comunicarse entre sí.
SSH TCP 22 0.0.0.0/0 Permite el acceso al SSH desde cualquier dirección IP.

En la siguiente tabla, se muestran las reglas de salida para un ejemplo de ACL de red para permitir el acceso solo desde la dirección IP especificada.

Tipo Protocolo Rango de puerto Destino Comentarios
Todo el tráfico Todos Todos 0.0.0.0/0 Permite todo el tráfico saliente.