Reglas del grupo de seguridad
Las reglas de un grupo de seguridad controlan el tráfico de entrada que puede llegar a los recursos asociados al grupo de seguridad. Las reglas también controlan el tráfico saliente que puede salir de ellos.
Puede añadir o quitar reglas de un grupo de seguridad (este proceso también se conoce como autorización o revocación del acceso entrante o saliente). Las reglas se aplican al tráfico entrante (entrada) o saliente (salida). Puede conceder acceso a un origen o destino específicos.
Contenido
- Conceptos básicos de las reglas de los grupos de seguridad
- Componentes de una regla de grupo de seguridad
- Referencia a grupos de seguridad
- Tamaño del grupo de seguridad
- Reglas antiguas de los grupos de seguridad
- Trabajar con reglas de grupos de seguridad
- Reglas de ejemplo
- Solución de problemas de accesibilidad
Conceptos básicos de las reglas de los grupos de seguridad
-
Puede especificar reglas de permiso, pero no reglas de denegación.
-
Cuando se crea un grupo de seguridad, este carece de reglas de entrada. Por lo tanto, no se permitirá el tráfico de entrada hasta que no agregue reglas de entrada al grupo de seguridad.
-
La primera vez que crea un grupo de seguridad, este tiene una regla de salida que permite todo el tráfico de salida procedente del recurso. Es posible quitar esta regla y añadir reglas saliente que permitan solo el tráfico saliente específico. Si el grupo de seguridad no tiene reglas de entrada, no se permitirá el tráfico de salida.
-
Cuando asocia varios grupos de seguridad a un recurso, las reglas de cada grupo de seguridad se agregan para formar un solo conjunto de reglas utilizadas para determinar si se permite el acceso.
-
Cuando se agregan, actualizan o eliminan reglas, los cambios se aplican automáticamente a todos los recursos asociados al grupo de seguridad. El efecto de algunos cambios en las reglas puede depender de cómo se realiza el seguimiento del tráfico. Para obtener más información, consulte Seguimiento de la conexión en la Guía del usuario de Amazon EC2.
-
Cuando usted crea una regla de grupo de seguridad, AWS le asigna un ID único. Puede utilizar el ID de una regla cuando utilice la API o la CLI para modificarla o eliminarla.
Limitación
Los grupos de seguridad no pueden bloquear las solicitudes de DNS hacia Route 53 Resolver o desde este, a veces denominado “dirección IP de VPC+2” (consulte Amazon Route 53 Resolver en la Guía para desarrolladores de Amazon Route 53) o AmazonProvidedDNS. Para filtrar las solicitudes de DNS a través de Route 53 Resolver, utilice el Firewall de DNS de Route 53 Resolver.
Componentes de una regla de grupo de seguridad
-
Protocolo: el protocolo que se permite. Los protocolos más habituales son 6 (TCP), 17 (UDP) y 1 (ICMP).
-
Rango de puertos: para TCP, UDP o un protocolo personalizado, el rango de puertos que se permite. Puede especificar un solo número de puerto (por ejemplo,
22
), o bien un rango de números de puertos (por ejemplo,7000-8000
). -
Tipo y código ICMP: para ICMP, el tipo y el código ICMP. Por ejemplo, utilice el tipo 8 para la Echo Request de ICMP o el tipo 128 para la Echo Request de ICMPv6.
-
Origen o destino: el origen (reglas de entrada) o el destino (reglas de salida) del tráfico que se va a permitir. Especifique uno de los siguientes valores:
-
Una única dirección IPv4. Debe utilizar la longitud de prefijo
/32
. Por ejemplo,203.0.113.1/32
. -
Una única dirección IPv6. Debe utilizar la longitud de prefijo
/128
. Por ejemplo,2001:db8:1234:1a00::123/128
. -
Un rango de direcciones IPv4 en notación de bloque de CIDR. Por ejemplo,
203.0.113.0/24
. -
Un rango de direcciones IPv6 en notación de bloque de CIDR. Por ejemplo,
2001:db8:1234:1a00::/64
. -
El ID de una lista de prefijos. Por ejemplo,
pl-1234abc1234abc123
. Para obtener más información, consulte Agrupar bloques de CIDR mediante listas de prefijos administradas. -
El ID de un grupo de seguridad. Por ejemplo,
sg-1234567890abcdef0
. Para obtener más información, consulte Referencia a grupos de seguridad.
-
-
(Opcional) Descripción: puede agregar una descripción a la regla, que puede ayudarlo a identificarla más adelante. Una descripción puede tener una longitud máxima de 255 caracteres. Los caracteres permitidos incluyen a-z, A-Z, 0-9, espacios y ._-:/()#,@[]+=;{}!$*.
Referencia a grupos de seguridad
Al especificar un grupo de seguridad como origen o destino de una regla, la regla afecta a todas las instancias que están asociadas a los grupos de seguridad. Las instancias se pueden comunicar en la dirección que se determine, mediante las direcciones IP privadas de las instancias, a través del protocolo y el puerto especificados.
Por ejemplo, a continuación, se representa una regla de entrada para un grupo de seguridad que hace referencia al grupo de seguridad sg-0abcdef1234567890. Esta regla permite el tráfico SSH entrante desde las instancias asociadas a sg-0abcdef1234567890.
Origen | Protocolo | Intervalo de puertos |
---|---|---|
sg-0abcdef1234567890 |
TCP | 22 |
Al hacer referencia a un grupo de seguridad en una regla de grupo de seguridad, tenga en cuenta lo siguiente:
-
Los dos grupos de seguridad deben pertenecer a la misma VPC o a VPC emparejadas.
-
No se agrega ninguna regla del grupo de seguridad al que se hace referencia al grupo de seguridad que hace referencia a él.
-
En el caso de las reglas de entrada, las instancias de EC2 asociadas al grupo de seguridad pueden recibir tráfico entrante de las direcciones IP privadas de las instancias de EC2 asociadas al grupo de seguridad al que se hace referencia.
-
En el caso de las reglas de salida, las instancias de EC2 asociadas al grupo de seguridad pueden enviar tráfico saliente a las direcciones IP privadas de las instancias de EC2 asociadas al grupo de seguridad al que se hace referencia.
Limitación
Si configura rutas para reenviar el tráfico entre dos instancias en subredes diferentes a través de un dispositivo de middlebox, debe asegurarse de que los grupos de seguridad de ambas instancias permiten que el tráfico fluya entre las instancias. El grupo de seguridad de cada instancia debe hacer referencia a la dirección IP privada de la otra instancia o al rango CIDR de la subred que contiene la otra instancia como fuente. Si hace referencia al grupo de seguridad de la otra instancia como fuente, esto no permite que el tráfico fluya entre las instancias.
Ejemplo
En el siguiente diagrama se muestra una VPC con subredes en dos zonas de disponibilidad, una puerta de enlace de Internet y un equilibrador de carga de aplicación. Cada zona de disponibilidad tiene una subred pública para servidores web y una subred privada para servidores de bases de datos. Hay grupos de seguridad independientes para el equilibrador de carga, los servidores web y los servidores de bases de datos. Cree las siguientes reglas de grupo de seguridad para permitir el tráfico.
-
Agregue reglas al grupo de seguridad del equilibrador de carga para permitir el tráfico HTTP y HTTPS de Internet. El origen es 0.0.0.0/0.
-
Agregue reglas al grupo de seguridad para servidores web para permitir solo el tráfico HTTP y HTTPS del equilibrador de carga. El origen es el grupo de seguridad para el equilibrador de carga.
-
Agregue reglas al grupo de seguridad para servidores de bases de datos para permitir solicitudes de bases de datos de servidores web. El origen es el grupo de seguridad para los servidores web.
![Una VPC con dos grupos de seguridad, servidores en dos zonas de disponibilidad, una puerta de enlace de Internet y un equilibrador de carga de aplicación. Hay un grupo de seguridad para los servidores web en las subredes públicas y otro grupo de seguridad para los servidores de bases de datos en las subredes privadas.](images/security-group-referencing.png)
Tamaño del grupo de seguridad
El tipo de origen o destino determina la forma en que cada regla cuenta para el número máximo de reglas que puede tener por grupo de seguridad.
-
Una regla que hace referencia a un bloque de CIDR cuenta como una regla.
-
Una regla que hace referencia a otro grupo de seguridad cuenta como una regla, independientemente del tamaño del grupo de seguridad al que se hace referencia.
-
Una regla que hace referencia a una lista de prefijos administrada por el cliente cuenta como el tamaño máximo de la lista de prefijos. Por ejemplo, si el tamaño máximo de la lista de prefijos es 20, una regla que haga referencia a esta lista de prefijos cuenta como 20 reglas.
-
Una regla que hace referencia a una lista de prefijos administrados por AWS cuenta como el peso de la lista de prefijos. Por ejemplo, si el peso de la lista de prefijos es 10, una regla que haga referencia a esta lista de prefijos cuenta como 10 reglas. Para obtener más información, consulte Listas de prefijos administradas por AWS disponibles.
Reglas antiguas de los grupos de seguridad
Si su VPC tiene una conexión de emparejamiento de VPC con otra VPC, o si utiliza una VPC compartida con otra cuenta, la regla del grupo de seguridad puede hacer referencia a otro grupo de seguridad de la VPC del mismo nivel. Esto permite que los recursos asociados al grupo de seguridad al que se hace referencia y los asociados al grupo de seguridad que hace la referencia se comuniquen entre sí.
Si se elimina el grupo de seguridad de la VPC compartida o si se elimina la conexión de emparejamiento de VPC, la regla del grupo de seguridad se marca como obsoleta. Las reglas obsoletas de los grupos de seguridad se pueden eliminar de la misma manera que cualquier otra regla del grupo de seguridad. Para obtener más información, consulte Trabajo con reglas de grupo de seguridad obsoletas en la Guía de interconexión de Amazon VPC.
Trabajar con reglas de grupos de seguridad
Las siguientes tareas muestran cómo trabajar con reglas de grupos de seguridad.
Permisos necesarios
Tareas
Agregar reglas a un grupo de seguridad
Al agregar una regla a un grupo de seguridad, la nueva regla se aplica automáticamente a cualquier recurso asociado al grupo de seguridad.
Si tiene una interconexión de VPC, podrá hacer referencia a grupos de seguridad de la VPC del mismo nivel como origen o destino en sus reglas de grupo de seguridad. Para obtener más información, consulte Actualizar los grupos de seguridad para que hagan referencia a grupos de seguridad de VPC del mismo nivel en la Guía de interconexión de Amazon VPC.
Para obtener más información sobre los permisos necesarios para administrar las reglas de los grupos de seguridad, consulte Administración de reglas de grupos de seguridad.
aviso
Si elige Anywhere-IPv4, permite el tráfico desde todas las direcciones IPv4. Si elige Anywhere-IPv6, permite el tráfico desde todas las direcciones IPv6. Cuando agrega reglas para los puertos 22 (SSH) o 3389 (RDP), autorice solo un rango de direcciones IP específico para que accedan a sus instancias.
Para agregar una regla a través de la consola
Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/
. -
En el panel de navegación, elija Grupos de seguridad.
-
Seleccione el grupo de seguridad.
-
Elija Actions (Acciones), Edit inbound rules (Editar reglas de entrada) o Actions (Acciones), Edit outbound rules (Editar reglas de salida).
-
Para cada regla, elija Add Rule (Agregar regla) y realice lo siguiente.
-
En Type (Tipo), elija el tipo de protocolo que desea permitir.
-
Para TCP o UDP, debe ingresar el rango de puertos que va a permitir.
-
Para el protocolo ICMP personalizado, debe elegir el nombre del tipo de ICMP en Protocol (Protocolo) y, si se aplica, el nombre del código en Port Range (Rango de puertos).
-
Si elige cualquier otro tipo, el protocolo y el rango de puertos se configurarán de forma automática.
-
-
Para Source type (Tipo de origen) (reglas de entrada) o Destination type (Tipo de destino) (reglas de salida), realice alguna de las siguientes acciones para permitir el tráfico:
-
Elija Personalizado y, a continuación, ingrese una dirección IP en notación CIDR, un bloque de CIDR, otro grupo de seguridad o una lista de prefijos.
-
Elija Anywhere-IPv4 para permitir el tráfico de cualquier dirección IPv4 (reglas de entrada) o para permitir que el tráfico llegue a todas las direcciones IPv4 (reglas de salida). Esto agrega automáticamente una regla para el bloque de CIDR IPv4 0.0.0.0/0.
-
Elija Anywhere-IPv6 para permitir el tráfico de cualquier dirección IPv6 (reglas de entrada) o para permitir que el tráfico llegue a todas las direcciones IPv6 (reglas de salida). Esto agrega automáticamente una regla para el bloque de CIDR IPv6 ::/0.
-
Elija My IP (Mi IP) para permitir solo el tráfico entrante (reglas de entrada) o saliente (reglas de salida) de la dirección IPv4 pública de su computadora local.
-
-
En Description (Descripción), especifique una breve descripción de la regla.
-
-
Seleccione Save rules (Guardar reglas).
Para agregar una regla a un grupo de seguridad mediante la AWS CLI
Utilice los comandos authorize-security-group-ingress y authorize-security-group-egress.
Actualizar reglas de los grupos de seguridad
Cuando actualiza una regla, esta se aplica automáticamente a todos los recursos asociados al grupo de seguridad.
Para obtener más información sobre los permisos necesarios para administrar las reglas de los grupos de seguridad, consulte Administración de reglas de grupos de seguridad.
Para actualizar una regla a través de la consola
Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/
. -
En el panel de navegación, elija Grupos de seguridad.
-
Seleccione el grupo de seguridad.
-
Elija Actions (Acciones), Edit inbound rules (Editar reglas de entrada) o Actions (Acciones), Edit outbound rules (Editar reglas de salida).
-
Actualice la regla según sea necesario.
-
Seleccione Save rules (Guardar reglas).
Para actualizar una regla de grupo de seguridad mediante la AWS CLI
Utilice los comandos modify-security-group-rules, update-security-group-rule-descriptions-ingress y update-security-group-rule-descriptions-egress.
Etiquete las reglas de los grupos de seguridad
Añada etiquetas a sus recursos para organizarlos e identificarlos mejor, por ejemplo, por objetivo, propietario o entorno. Puede agregar etiquetas a las reglas de los grupos de seguridad. Las claves de las etiquetas deben ser únicas para cada regla de grupo de seguridad. Si agrega una etiqueta con una clave que ya está asociada a la regla del grupo de seguridad, se actualizará el valor de esa etiqueta.
Para etiquetar una regla mediante la consola
Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/
. -
En el panel de navegación, elija Grupos de seguridad.
-
Seleccione el grupo de seguridad.
-
En la pestaña Reglas de entrada o Reglas de salida, seleccione la casilla de verificación correspondiente a la regla y, luego, elija Administrar etiquetas.
-
La página Administrar etiquetas muestra las etiquetas asignadas a la regla. Para agregar una etiqueta, elija Agregar etiqueta e ingrese la clave y el valor de la etiqueta. Para eliminar una etiqueta, elija Remove (Eliminar) junto a la etiqueta que desee eliminar.
-
Elija Save changes.
Para etiquetar una regla mediante la AWS CLI
Utilice el comando create-tags.
Eliminar las reglas de un grupo de seguridad
Al eliminar una regla de un grupo de seguridad, el cambio se aplica de forma automática a toda instancia asociada al grupo de seguridad.
Para eliminar una regla del grupo de seguridad desde la consola
Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/
. -
En el panel de navegación, elija Grupos de seguridad.
-
Seleccione el grupo de seguridad.
-
Seleccione Actions (Acciones) y, a continuación, elija Edit inbound rules (Editar reglas de entrada) para eliminar una regla de entrada o Edit outbound rules (Editar reglas de salida) para eliminar una regla de salida.
-
Seleccione el botón Delete (Eliminar) situado junto a la regla que desea eliminar.
-
Seleccione Save rules (Guardar reglas). También puede seleccionar Vista previa de los cambios, revisar los cambios y elegir Confirmar.
Para eliminar una regla del grupo de seguridad mediante la AWS CLI
Utilice los comandos revoke-security-group-ingress y revoke-security-group-egress.
Reglas de ejemplo
Servidores web
Las siguientes reglas de ejemplo describen un grupo de seguridad de servidores web. Los servidores web pueden recibir tráfico HTTP y HTTPS de todas las direcciones IPv4 e IPv6 y enviar el tráfico SQL o MySQL a los servidores de la base de datos.
aviso
Al agregar reglas para los puertos 22 (SSH) o 3389 (RDP) para acceder a sus instancias de EC2, le recomendamos que autorice solo rangos de direcciones IP específicas. Si especifica 0.0.0.0/0 (IPv4) y ::/ (IPv6), esto permite a cualquier persona acceder a sus instancias desde cualquier dirección IP mediante el protocolo especificado.
Entrada | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Fuente | Protocolo | Rango de puerto | Descripción | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
0.0.0.0/0 |
TCP |
80 |
Permite el acceso HTTP de entrada desde todas las direcciones IPv4 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
::/0 | TCP | 80 | Permite el acceso HTTP entrante desde todas las direcciones IPv6 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
0.0.0.0/0 |
TCP |
443 |
Permite el acceso HTTPS de entrada desde todas las direcciones IPv4 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
::/0 | TCP | 443 | Permite el acceso HTTPS entrante desde todas las direcciones IPv6 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Rango de direcciones IPv4 públicas de su red |
TCP |
22 |
(Opcional) Permite el acceso SSH de entrada desde las direcciones IP IPv4 de su red |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Rango de direcciones IPv6 de su red |
TCP | 22 | (Opcional) Permite el acceso SSH de entrada desde las direcciones IP IPv6 de su red | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Rango de direcciones IPv4 públicas de su red |
TCP |
3389 |
(Opcional) Permite el acceso RDP de entrada desde las direcciones IP IPv4 de su red |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Rango de direcciones IPv6 de su red |
TCP | 3389 | (Opcional) Permite el acceso RDP de entrada desde las direcciones IP IPv6 de su red | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ID de este grupo de seguridad |
Todos | Todos | (Opcional) Permite el tráfico entrante de otros servidores asociados a este grupo de seguridad |
Salida | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Destino | Protocolo | Rango de puerto | Descripción | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ID del grupo de seguridad para instancias que ejecuten Microsoft SQL Server |
TCP |
1433 |
Permite el acceso de Microsoft SQL Server de salida |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ID del grupo de seguridad para instancias que ejecuten MySQL |
TCP |
3306 |
Permite el acceso de MySQL de salida |
Servidores de bases de datos
Los servidores de bases de datos requieren reglas que permitan protocolos específicos de entrada, como MySQL o Microsoft SQL Server. Para ver ejemplos, consulte Database server rules (Reglas del servidor de base de datos) en la Guía del usuario de Amazon EC2. Para obtener más información acerca de los grupos de seguridad para instancias de base de datos de Amazon RDS, consulte Control de acceso con grupos de seguridad en la Guía del usuario de Amazon RDS.
Solución de problemas de accesibilidad
Reachability Analyzer es una herramienta de análisis de configuración estática. Utilice Reachability Analyzer para analizar y depurar la accesibilidad de la red entre dos recursos en la VPC. Reachability Analyzer produce detalles salto a salto de la ruta virtual entre estos recursos cuando son accesibles y, en caso contrario, identifica el componente de bloqueo. Por ejemplo, puede identificar reglas de grupos de seguridad faltantes o mal configuradas.
Para obtener más información, consulte la Guía del Analizador de accesibilidad.