Compartir grupos de seguridad con AWS Organizations - Amazon Virtual Private Cloud
Compartir un grupo de seguridadDejar de compartir un grupo de seguridad

Compartir grupos de seguridad con AWS Organizations

La característica Grupo de seguridad compartido le permite compartir un grupo de seguridad con otras cuentas de AWS Organizations y hacer que el grupo de seguridad esté disponible para que lo utilicen esas cuentas.

En el siguiente diagrama, se muestra cómo puede utilizar la característica Grupo de seguridad compartido para simplificar la administración de los grupos de seguridad en todas las cuentas de su AWS Organizations:

Diagrama del uso compartido de grupo de seguridad con otras cuentas en una subred de VPC compartida.

En este diagrama, se muestran tres cuentas que forman parte de la misma organización. La cuenta A comparte una subred de VPC con las cuentas B y C. La cuenta A comparte el grupo de seguridad con las cuentas B y C mediante la característica de Grupos de seguridad compartidos. A continuación, las cuentas B y C utilizan ese grupo de seguridad cuando lanzan instancias en la subred compartida. Esto permite a la cuenta A administrar el grupo de seguridad; cualquier actualización del grupo de seguridad se aplica a los recursos que las cuentas B y C tienen en ejecución en la subred de VPC compartida.

Requisitos de la característica de Grupos de seguridad compartidos

  • Esta característica solo está disponible para las cuentas de la misma organización en AWS Organizations. Debe habilitar el uso compartido de recursos en AWS Organizations.

  • La cuenta que comparte el grupo de seguridad debe ser propietaria tanto de la VPC como del grupo de seguridad.

  • No puede compartir los grupos de seguridad predeterminados.

  • No puede compartir grupos de seguridad que estén en una VPC predeterminada.

  • Las cuentas participantes pueden crear grupos de seguridad en una VPC compartida, pero no pueden compartir esos grupos de seguridad.

  • Se requiere un conjunto mínimo de permisos para que una entidad principal de IAM comparta un grupo de seguridad con AWS RAM. Use las política de IAM administradas AmazonEC2FullAccess y AWSResourceAccessManagerFullAccess para garantizar que las entidades principales de IAM dispongan de los permisos necesarios para compartir y utilizar los grupos de seguridad compartidos. Si utiliza una política de IAM personalizada, las acciones c2:PutResourcePolicy y ec2:DeleteResourcePolicy son obligatorias. Estas son acciones de IAM solo de permiso. Si a una entidad principal de IAM no se le conceden estos permisos, se producirá un error al intentar compartir el grupo de seguridad mediante la AWS RAM.

Servicios que admiten esta característica

  • Amazon API Gateway

  • Amazon EC2

  • Amazon ECS

  • Amazon EFS

  • Amazon EKS

  • Amazon EMR

  • Amazon FSx

  • Amazon ElastiCache

  • AWS Elastic Beanstalk

  • AWS Glue

  • Amazon MQ

  • Amazon SageMaker

  • Elastic Load Balancing

    • Equilibrador de carga de aplicación

    • Equilibrador de carga de red

Cómo afecta esta característica a las cuotas existentes

Se aplican cuotas de los grupos de seguridad. Sin embargo, para la cuota “Grupos de seguridad por interfaz de red”, si un participante utiliza grupos propios y compartidos en una interfaz de red elástica (ENI), se aplica la cuota mínima de propietario y participante.

Ejemplo para demostrar cómo esta característica afecta a la cuota:

  • Cuota de cuentas de propietarios: 4 grupos de seguridad por interfaz

  • Cuota de cuentas de participantes: 5 grupos de seguridad por interfaz.

  • El propietario comparte los grupos SG-O1, SG-O2, SG-O3, SG-O4 y SG-O5 con el participante. El participante ya tiene sus propios grupos en la VPC: SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.

  • Si el participante crea una ENI y utiliza solo sus propios grupos, puede asociar los 5 grupos de seguridad (SG-P1, SG-P2, SG-P3, SG-P4 y SG-P5), ya que esa es su cuota.

  • Si el participante crea una ENI y utiliza algún grupo compartido en ella, solo podrá asociar hasta 4 grupos. En este caso, la cuota de una ENI de este tipo es la cuota mínima de propietarios y participantes. Las posibles configuraciones válidas tendrán el siguiente aspecto:

    • SG-O1, SG-P1, SG-P2, SG-P3

    • SG-O1, SG-O2, SG-O3, SG-O4

Compartir un grupo de seguridad

En esta sección, se explica cómo usar la AWS Management Console y la AWS CLI para compartir un grupo de seguridad con otras cuentas de su organización.

AWS Management Console
Para compartir un grupo de seguridad

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación izquierdo, elija Grupos de seguridad.

  3. Elija un grupo de seguridad para ver sus detalles.

  4. Elija la pestaña Sharing (Compartir) .

  5. Elija Compartir grupo de seguridad.

  6. Elija Crear recurso compartido. Como resultado, se abre la consola de AWS RAM, donde se creará el recurso compartido para el grupo de seguridad.

  7. Ingrese un Nombre para el recurso compartido.

  8. En Recursos (opcional), elija Grupos de seguridad.

  9. Elija un grupo de seguridad. El grupo de seguridad no puede ser un grupo de seguridad predeterminado ni estar asociado a la VPC predeterminada.

  10. Elija Siguiente.

  11. Revise las acciones que las entidades principales podrán realizar y seleccione Siguiente.

  12. En Entidades principales (opcional), seleccione Permitir compartir solo dentro de la organización.

  13. En Entidades principales, seleccione uno de los siguientes tipos de entidades principales e introduzca los números correspondientes:

    • Cuenta de AWS: el número de una cuenta de su organización.

    • Organización: el ID de AWS Organizations.

    • Unidad organizativa (OU): el ID de una OU de la organización.

    • Rol de IAM: el ARN de un rol de IAM. La cuenta que creó el rol debe ser miembro de la misma organización que la cuenta que creó este recurso compartido.

    • Usuario de IAM: el ARN de un usuario de IAM. La cuenta que creó el usuario debe ser miembro de la misma organización que la cuenta que creó este recurso compartido.

    • Entidad principal del servicio: no puede compartir un grupo de seguridad con una entidad principal del servicio.

  14. Seleccione Añadir.

  15. Elija Siguiente.

  16. Elija Crear recurso compartido.

  17. En Recursos compartidos, espere que el Estado sea Associated. Si se produce un error en la asociación de grupos de seguridad puede deberse a una de las limitaciones que se han indicado anteriormente. Consulte los detalles del grupo de seguridad y la pestaña Compartir de la página de detalles para ver cualquier mensaje relacionado con los motivos por los que un grupo de seguridad no se puede compartir.

  18. Vuelva a la lista de grupos de seguridad de la consola de la VPC.

  19. Elija el grupo de seguridad que compartió.

  20. Elija la pestaña Sharing (Compartir) . Su recurso de AWS RAM debería aparecer allí. Si no es así, es posible que se haya producido un error al crear el recurso compartido y que tenga que volver a crearlo.

El grupo de seguridad ya está compartido.

Command line
Para compartir un grupo de seguridad

  1. En primer lugar, debe crear un recurso compartido para el grupo de seguridad que desee compartir con AWS RAM. Consulte Crear un recurso compartido en AWS RAM en la Guía del usuario de AWS RAM para conocer los pasos para crear un recurso compartido con AWS RAM usando la AWS CLI

  2. Para ver las asociaciones de recursos compartidos creadas, utilice get-resource-share-associations.

El grupo de seguridad ya está compartido.

Dejar de compartir un grupo de seguridad

En esta sección, se explica cómo utilizar la AWS Management Console y la AWS CLI para dejar de compartir un grupo de seguridad con otras cuentas de la organización.

AWS Management Console
Para dejar de compartir un grupo de seguridad

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación izquierdo, elija Grupos de seguridad.

  3. Elija un grupo de seguridad para ver sus detalles.

  4. Elija la pestaña Sharing (Compartir) .

  5. Elija un recurso compartido de un grupo de seguridad y elija Dejar de compartir.

  6. Seleccione Sí, dejar de compartir.

Command line

Para dejar de compartir un grupo de seguridad

Elimine el recurso compartido con delete-resource-share.

El grupo de seguridad ya no está compartido. Cuando el propietario deja de compartir un grupo de seguridad, se aplican las siguientes reglas:

  • Las interfaces de red elásticas (ENI) existentes participantes siguen recibiendo las actualizaciones de reglas de los grupos de seguridad que se realicen en los grupos de seguridad no compartidos. Dejar de compartir solo impide que el participante cree nuevas asociaciones con el grupo no compartido.

  • Los participantes ya no pueden asociar el grupo de seguridad no compartido a ninguna ENI de su propiedad.

  • Los participantes pueden describir y eliminar las ENI que siguen asociadas a los grupos de seguridad no compartidos.

  • Si los participantes siguen teniendo ENI asociadas al grupo de seguridad no compartido, el propietario no puede eliminarlo. El propietario solo puede eliminar el grupo de seguridad después de que los participantes disocien (eliminen) el grupo de seguridad de todas sus ENI.