Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Gruppi di sicurezza Amazon EC2 per le istanze EC2
<a name="ec2-security-groups"></a>

Un *gruppo di sicurezza* funge da firewall virtuale per le istanze EC2 per controllare il traffico in entrata e quello in uscita. Le regole in entrata controllano il traffico in entrata verso l'istanza e le regole in uscita controllano il traffico in uscita dall'istanza. Quando avvii un'istanza puoi specificare uno o più gruppi di sicurezza. Se non specifichi un gruppo di sicurezza, Amazon EC2 usa il gruppo di sicurezza predefinito per il VPC. Dopo l'avvio di un'istanza, è possibile modificare i relativi gruppi di sicurezza.

La sicurezza è una responsabilità condivisa tra te AWS e te. Per ulteriori informazioni, vedere[Sicurezza in Amazon EC2](ec2-security.md). AWS fornisce i gruppi di sicurezza come uno degli strumenti per proteggere le istanze e devi configurarli per soddisfare le tue esigenze di sicurezza. Se i gruppi di sicurezza non soddisfano pienamente i requisiti, oltre a utilizzare i gruppi di sicurezza è possibile mantenere il firewall su tutte le istanze.

**Prezzi**  
L'utilizzo di gruppi di sicurezza non comporta costi supplementari.

**Topics**
+ [

## Panoramica di
](#security-group-basics)
+ [

# Creare un gruppo di sicurezza per l'istanza Amazon EC2.
](creating-security-group.md)
+ [

# Modifica i gruppi di sicurezza per l'istanza Amazon EC2.
](changing-security-group.md)
+ [

# Eliminare un gruppo di sicurezza Amazon EC2
](deleting-security-group.md)
+ [

# Monitoraggio della connessione al gruppo di sicurezza Amazon EC2
](security-group-connection-tracking.md)
+ [

# Regole del gruppo di sicurezza per diversi casi d'uso
](security-group-rules-reference.md)

## Panoramica di
<a name="security-group-basics"></a>

È possibile associare ogni istanza a più gruppi di sicurezza e associare ogni gruppo di sicurezza a più istanze. A ciascun gruppo di sicurezza si possono aggiungere regole che permettono il traffico da e verso le istanze a esso associate. Puoi modificare le regole di un gruppo di sicurezza in qualsiasi momento. Regole nuove e modificate vengono applicate automaticamente a tutte le istanze associate al gruppo di sicurezza. Quando Amazon EC2 decide se permettere al traffico di raggiungere un'istanza, valuta tutte le regole da tutti i gruppi di sicurezza associati all'istanza. Per ulteriori informazioni, consulta [Regole del gruppo di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html) nella *Guida per l'utente di Amazon VPC*.

Il diagramma seguente mostra un VPC con una sottorete, un gateway Internet e un gruppo di sicurezza. La sottorete contiene delle istanze EC2. Il gruppo di sicurezza è associato alle istanze. L'unico traffico che raggiunge l'istanza è quello consentito dalle regole del gruppo di sicurezza. Ad esempio, se il gruppo di sicurezza contiene una regola che consente il traffico SSH dalla tua rete, allora puoi connetterti all'istanza dal tuo computer attraverso SSH. Se il gruppo di sicurezza contiene una regola che consente tutto il traffico proveniente dalle risorse a esso associate, ogni istanza può ricevere tutto il traffico inviato dalle altre istanze.

![\[Un VPC con un gruppo di sicurezza. Le istanze EC2 nella sottorete sono associate al gruppo di sicurezza.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/ec2-security-groups.png)


I gruppi di sicurezza sono stateful — Se invii una richiesta da un'istanza, il traffico in risposta alla richiesta è autorizzato a entrare, indipendentemente dalle regole dei gruppi di sicurezza in entrata. Inoltre, l risposte al traffico in entrata autorizzato possono uscire indipendentemente dalle regole in uscita. Per ulteriori informazioni, consulta [Monitoraggio delle connessioni](security-group-connection-tracking.md).

# Creare un gruppo di sicurezza per l'istanza Amazon EC2.
<a name="creating-security-group"></a>

I gruppi di sicurezza fungono da firewall per le istanze associate, controllando sia il traffico in entrata che in uscita a livello di istanza. È possibile aggiungere regole a un gruppo di sicurezza che consentono di connettersi all'istanza tramite SSH (istanze Linux) o RDP (istanze Windows). È inoltre possibile aggiungere regole che consentono il traffico client, ad esempio il traffico HTTP e HTTPS destinato a un server Web.

Puoi associare un gruppo di sicurezza a un'istanza quando la avvii. Quando aggiungi o rimuovi delle regole da dei gruppi di sicurezza associati, queste modifiche vengono applicate automaticamente a tutte le istanze a cui hai associato il gruppo di sicurezza.

Dopo l'avvio di un'istanza, puoi associare altri gruppi di sicurezza. Per ulteriori informazioni, consulta [Modifica i gruppi di sicurezza per l'istanza Amazon EC2.](changing-security-group.md).

Puoi aggiungere regole del gruppo di sicurezza in entrata e in uscita durante la creazione di un gruppo di sicurezza oppure in un secondo momento. Per ulteriori informazioni, consulta [Configurazione delle regole per i gruppi di sicurezza](changing-security-group.md#add-remove-security-group-rules). Per vedere esempi di regole che è possibile aggiungere a un gruppo di sicurezza, consulta [Regole del gruppo di sicurezza per diversi casi d'uso](security-group-rules-reference.md).

**Considerazioni**
+ I nuovi gruppi di sicurezza hanno solo una regola in uscita che autorizza tutto il traffico a lasciare la risorsa. Devi aggiungere le regole per autorizzare qualsiasi tipo di traffico in entrata o per limitare quello in uscita.
+ Quando configuri un'origine per una regola che consente l'accesso SSH o RDP alle tue istanze, non consentire l'accesso da nessuna parte, perché in questo modo consentiresti l'accesso all'istanza da tutti gli indirizzi IP su Internet. Questo è accettabile per un breve periodo di tempo in un ambiente di test, ma non è sicuro per gli ambienti di produzione.
+ Se esistono più regole per una determinata porta, Amazon EC2 applica la regola più permissiva. Ad esempio, se disponi di una regola che autorizza l'accesso alla porta TCP 22 (SSH) dall'indirizzo IP 203.0.113.1 e un'altra regola che autorizza l'accesso alla porta TCP 22 da ovunque, allora chiunque può accedere alla porta TCP 22.
+ Puoi associare più gruppi di sicurezza a un'istanza. Pertanto, un'istanza può disporre di centinaia di regole valide. Questo può causare problemi nell'accesso all'istanza. È consigliabile comprimere le regole il più possibile.
+ Quando specifichi un gruppo di sicurezza come l'origine o la destinazione di una regola, la regola influenza tutte le istanze associate al gruppo di sicurezza. Il traffico in entrata è autorizzato in base agli indirizzi IP privati delle istanze associate al gruppo di sicurezza di origine (e non in base agli indirizzi IP elastici o pubblici). Per ulteriori informazioni sugli indirizzi IP, consulta [Indirizzamento IP per le istanze Amazon EC2](using-instance-addressing.md).
+ Per impostazione predefinita, Amazon EC2 blocca il traffico sulla porta 25. Per ulteriori informazioni, consulta [Restrizione sull'e-mail inviata tramite la porta 25](ec2-resource-limits.md#port-25-throttle).

------
#### [ Console ]

**Per creare un gruppo di sicurezza**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Fare clic su **Security Groups (Gruppi di sicurezza)** nel pannello di navigazione.

1. Scegliere **Create Security Group (Crea gruppo di sicurezza)**.

1. Immettere un nome descrittivo e una breve descrizione del gruppo di sicurezza. Non è possibile modificare il nome e la descrizione di un gruppo di sicurezza dopo averlo creato.

1. Per **VPC**, scegli il VPC su cui eseguirai le tue istanze Amazon EC2.

1. (Facoltativo) Per aggiungere regole in entrata, scegli **Regole in entrata**. Per ogni regola, scegli **Aggiungi regola** e specifica il protocollo, la porta e l'origine. **Ad esempio, per consentire il traffico SSH, scegli **SSH** per **Tipo** e specifica l' IPv4 indirizzo pubblico del computer o della rete come Sorgente.**

1. (Facoltativo) Per aggiungere regole in uscita, scegli **Regole in uscita**. Per ogni regola, scegli **Aggiungi regola** e specifica il protocollo, la porta e la destinazione. Altrimenti, puoi mantenere la regola predefinita, che autorizza tutto il traffico in uscita.

1. (Facoltativo) Per aggiungere un tag, scegli **Add new tag** (Aggiungi nuovo tag) e immetti la chiave e il valore del tag.

1. Scegliere **Create Security Group** (Crea gruppo di sicurezza).

------
#### [ AWS CLI ]

**Per creare un gruppo di sicurezza**  
Utilizza il seguente comando [create-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html).

```
aws ec2 create-security-group \
    --group-name my-security-group \
    --description "my security group" \
    --vpc-id vpc-1234567890abcdef0
```

Per esempi che aggiungono regole, consulta [Configurazione delle regole per i gruppi di sicurezza](changing-security-group.md#add-remove-security-group-rules).

------
#### [ PowerShell ]

**Per creare un gruppo di sicurezza**  
Utilizza il cmdlet [New-EC2SecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2SecurityGroup.html).

```
New-EC2SecurityGroup `
    -GroupName my-security-group `
    -Description "my security group" `
    -VpcId vpc-1234567890abcdef0
```

Per esempi che aggiungono regole, consulta [Configurazione delle regole per i gruppi di sicurezza](changing-security-group.md#add-remove-security-group-rules).

------

# Modifica i gruppi di sicurezza per l'istanza Amazon EC2.
<a name="changing-security-group"></a>

È possibile specificare i gruppi di sicurezza per le istanze Amazon EC2 durante l'avvio. Dopo l'avvio di un'istanza, è possibile aggiungere o rimuovere i gruppi di sicurezza. Puoi anche aggiungere, rimuovere o modificare le regole dei gruppi di sicurezza per i gruppi di sicurezza associati in qualsiasi momento.

I gruppi di sicurezza sono associati alle interfacce di rete. Quando si aggiungono o rimuovono gruppi di sicurezza, cambiano anche i gruppi di sicurezza associati all'interfaccia di rete primaria. Si possono modificare anche i gruppi di sicurezza associati a qualunque interfaccia di rete secondaria. Per ulteriori informazioni, consulta [Modifica degli attributi dell'interfaccia di rete](modify-network-interface-attributes.md).

**Topics**
+ [

## Aggiungi o rimuovi gruppi di sicurezza
](#add-remove-instance-security-groups)
+ [

## Configurazione delle regole per i gruppi di sicurezza
](#add-remove-security-group-rules)

## Aggiungi o rimuovi gruppi di sicurezza
<a name="add-remove-instance-security-groups"></a>

Dopo avere avviato un'istanza, puoi aggiungere o rimuovere gruppi di sicurezza dall'elenco dei gruppi di sicurezza associati. Se associ a un'istanza più gruppi di sicurezza, le regole di ciascun gruppo di sicurezza vengono aggregate efficacemente per creare un unico set di regole. Amazon EC2 utilizza questo set di regole per determinare se consentire il traffico o meno.

**Requisiti**
+ L'istanza deve trovarsi nello stato `running` o `stopped`.

------
#### [ Console ]

**Per modificare i gruppi di sicurezza per un'istanza**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione, scegliere **Instances (Istanze)**.

1. Selezionare l'istanza, quindi scegliere **Actions (Operazioni)**, **Security (Sicurezza)**, **Change security groups (Cambia gruppi di sicurezza)**.

1. Per **Gruppi di sicurezza associati**, selezionare un gruppo di sicurezza dall'elenco e scegliere **Aggiungi gruppo di sicurezza**.

   Per rimuovere un gruppo di sicurezza già associato, scegliere **Rimuovi** per tale gruppo di sicurezza.

1. Scegli **Save** (Salva).

------
#### [ AWS CLI ]

**Per modificare i gruppi di sicurezza per un'istanza**  
Utilizza il seguente comando [modify-instance-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-attribute.html).

```
aws ec2 modify-instance-attribute \
    --instance-id i-1234567890abcdef0 \
    --groups sg-1234567890abcdef0
```

------
#### [ PowerShell ]

**Per modificare i gruppi di sicurezza per un'istanza**  
Utilizza il cmdlet [Edit-EC2InstanceAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceAttribute.html).

```
Edit-EC2InstanceAttribute `
    -InstanceId i-1234567890abcdef0 `
    -Group sg-1234567890abcdef0
```

------

## Configurazione delle regole per i gruppi di sicurezza
<a name="add-remove-security-group-rules"></a>

Dopo aver creato un gruppo di sicurezza, puoi aggiungere, aggiornare ed eliminare le relative regole. Quando aggiungi, aggiorni o elimini una regola, la modifica viene applicata automaticamente alle risorse associate al gruppo di sicurezza.

Per vedere esempi di regole che è possibile aggiungere a un gruppo di sicurezza, consulta [Regole del gruppo di sicurezza per diversi casi d'uso](security-group-rules-reference.md).

**Autorizzazioni richieste**  
Prima di iniziare, assicurati di disporre delle autorizzazioni richieste. Per ulteriori informazioni, consulta [Esempio: utilizzo dei gruppi di sicurezza](iam-policies-ec2-console.md#ex-security-groups).

**Protocolli e porte**
+ Con la console, quando selezioni un tipo predefinito, il **protocollo** e l’**intervallo di porte** vengono specificati automaticamente. Per inserire un intervallo di porte, dovrai selezionare uno dei seguenti tipi personalizzati: **TCP personalizzato** o **UDP personalizzato**.
+ Con AWS CLI, puoi aggiungere una singola regola con una sola porta utilizzando le opzioni `--protocol` and`--port`. Per aggiungere più regole o una regola con un intervallo di porte, seleziona l’opzione `--ip-permissions`.

**Origini e destinazioni**
+ Tramite la console potrai indicare i seguenti dati come origine per le regole in entrata o come destinazione per le regole in uscita:
  + **Personalizzato**: un blocco IPv4 CIDR, un blocco IPv6 CIDR, un gruppo di sicurezza o un elenco di prefissi.
  + **Anywhere- IPv4** — Il blocco CIDR 0.0.0.0/0 IPv4 .
  + **Anywhere- IPv6 —** Il blocco CIDR: :/0. IPv6 
  + **Il mio IP**: l' IPv4 indirizzo pubblico del computer locale.
+ Con AWS CLI, è possibile specificare un blocco IPv4 CIDR utilizzando l'`--cidr`opzione o un gruppo di sicurezza utilizzando l'`--source-group`opzione. Per specificare un elenco di prefissi o un blocco IPv6 CIDR, utilizzate l'opzione. `--ip-permissions`

**avvertimento**  
Se aggiungi delle regole in entrata per le porte 22 (SSH) o 3389 (RDP), è consigliabile autorizzare l'accesso all'istanza solo l'indirizzo IP o l'intervallo di indirizzi specifico. Se scegli **Anywhere- IPv4**, consenti al traffico proveniente da tutti IPv4 gli indirizzi di accedere alle tue istanze utilizzando il protocollo specificato. Se scegli **Anywhere- IPv6**, consenti al traffico proveniente da tutti IPv6 gli indirizzi di accedere alle tue istanze utilizzando il protocollo specificato.

------
#### [ Console ]

**Configurazione delle regole per i gruppi di sicurezza**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Fai clic su **Security Groups (Gruppi di sicurezza)** nel riquadro di navigazione.

1. Selezionare il gruppo di sicurezza.

1. Per modificare le regole in entrata, scegli **Modifica regole in entrata** dalla scheda **Azioni** o dalla scheda **Regole in entrata**.

   1. Per aggiungere una regola, scegli **Aggiungi regola** e immetti il tipo, il protocollo, la porta e l'origine della regola.

      Se il tipo è TCP o UDP, è necessario immettere l'intervallo di porte consentito. Se si sceglie un protocollo ICMP personalizzato, occorre scegliere il nome del tipo ICMP da **Protocollo** e, se applicabile, il nome del codice da **Intervallo di porte**. Se scegli qualsiasi altro tipo, il protocollo e l'intervallo di porte vengono configurati automaticamente.

   1. Per aggiornare una regola, modificane il protocollo, la descrizione e l'origine in base alle esigenze. Tuttavia, il tipo di origine non può essere modificato. Ad esempio, se l'origine è un blocco IPv4 CIDR, non è possibile specificare un blocco IPv6 CIDR, un elenco di prefissi o un gruppo di sicurezza.

   1. Per eliminare una regola, seleziona il pulsante **Elimina** corrispondente.

1. Per modificare le regole in uscita, scegli **Modifica regole in uscita** dalla scheda **Azioni** o dalla scheda **Regole in uscita**.

   1. Per aggiungere una regola, scegli **Aggiungi regola** e immetti il tipo, il protocollo, la porta e la destinazione della regola. Facoltativamente, è possibile inserire una descrizione.

      Se il tipo è TCP o UDP, è necessario immettere l'intervallo di porte consentito. Se si sceglie un protocollo ICMP personalizzato, occorre scegliere il nome del tipo ICMP da **Protocollo** e, se applicabile, il nome del codice da **Intervallo di porte**. Se scegli qualsiasi altro tipo, il protocollo e l'intervallo di porte vengono configurati automaticamente.

   1. Per aggiornare una regola, modificane il protocollo, la descrizione e l'origine in base alle esigenze. Tuttavia, il tipo di origine non può essere modificato. Ad esempio, se l'origine è un blocco IPv4 CIDR, non è possibile specificare un blocco IPv6 CIDR, un elenco di prefissi o un gruppo di sicurezza.

   1. Per eliminare una regola, seleziona il pulsante **Elimina** corrispondente.

1. Scegliere **Salva regole**.

------
#### [ AWS CLI ]

**Per aggiungere regole del gruppo di sicurezza**  
Utilizzate il [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html)comando per aggiungere regole in entrata. Il seguente esempio consente il traffico SSH in entrata dai blocchi CIDR nell’elenco di prefissi specificato.

```
aws ec2 authorize-security-group-ingress \
    --group-id sg-1234567890abcdef0 \
    --ip-permissions 'IpProtocol=tcp,FromPort=22,ToPort=22,PrefixListIds=[{PrefixListId=pl-f8a6439156EXAMPLE}]'
```

Usa il [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html)comando per aggiungere regole in uscita. Il seguente esempio consente il traffico TCP in uscita sulla porta 80 alle istanze con il gruppo di sicurezza specificato.

```
aws ec2 authorize-security-group-egress \
    --group-id sg-1234567890abcdef0 \
    --ip-permissions 'IpProtocol=tcp,FromPort=80,ToPort=80,UserIdGroupPairs=[{GroupId=sg-0aad1c26bb6EXAMPLE}]'
```

**Per rimuovere le regole per del gruppo di sicurezza**  
Utilizzare il [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html)comando seguente per rimuovere una regola in entrata.

```
aws ec2 revoke-security-group-egress \
    --group id sg-1234567890abcdef0 \
    --security-group-rule-ids sgr-09ed298024EXAMPLE
```

Utilizzare il [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html)comando seguente per rimuovere una regola in uscita.

```
aws ec2 revoke-security-group-ingress \
    --group id sg-1234567890abcdef0 \
    --security-group-rule-ids sgr-0352250c1aEXAMPLE
```

**Per modificare le regole del gruppo di sicurezza**  
Utilizza il comando [modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html). L'esempio seguente modifica il blocco IPv4 CIDR della regola del gruppo di sicurezza specificato.

```
aws ec2 modify-security-group-rules \
    --group id sg-1234567890abcdef0 \
    --security-group-rules 'SecurityGroupRuleId=sgr-09ed298024EXAMPLE,SecurityGroupRule={IpProtocol=tcp,FromPort=80,ToPort=80,CidrIpv4=0.0.0.0/0}'
```

------
#### [ PowerShell ]

**Per aggiungere regole del gruppo di sicurezza**  
Utilizzare il [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html)cmdlet per aggiungere regole in entrata. Il seguente esempio consente il traffico SSH in entrata dai blocchi CIDR nell’elenco di prefissi specificato.

```
$plid = New-Object -TypeName Amazon.EC2.Model.PrefixListId
$plid.Id = "pl-f8a6439156EXAMPLE"
Grant-EC2SecurityGroupIngress `
    -GroupId sg-1234567890abcdef0 `
    -IpPermission @{IpProtocol="tcp"; FromPort=22; ToPort=22; PrefixListIds=$plid}
```

Utilizzare il [Grant-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html)cmdlet per aggiungere regole in uscita. Il seguente esempio consente il traffico TCP in uscita sulla porta 80 alle istanze con il gruppo di sicurezza specificato.

```
$uigp = New-Object -TypeName Amazon.EC2.Model.UserIdGroupPair
$uigp.GroupId = "sg-0aad1c26bb6EXAMPLE"
Grant-EC2SecurityGroupEgress `
    -GroupId sg-1234567890abcdef0 `
    -IpPermission @{IpProtocol="tcp"; FromPort=80; ToPort=80; UserIdGroupPairs=$uigp}
```

**Per rimuovere le regole per del gruppo di sicurezza**  
Utilizzare il [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html)cmdlet per rimuovere le regole in entrata.

```
Revoke-EC2SecurityGroupIngress `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRuleId sgr-09ed298024EXAMPLE
```

Utilizzare il [Revoke-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html)cmdlet per rimuovere le regole in uscita.

```
Revoke-EC2SecurityGroupEgress `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRuleId sgr-0352250c1aEXAMPLE
```

**Per modificare le regole del gruppo di sicurezza**  
Utilizza il cmdlet [Edit-EC2SecurityGroupRule](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2SecurityGroupRule.html). L'esempio seguente modifica il blocco IPv4 CIDR della regola del gruppo di sicurezza specificato.

```
$sgrr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleRequest
$sgrr.IpProtocol = "tcp"
$sgrr.FromPort = 80
$sgrr.ToPort = 80
$sgrr.CidrIpv4 = "0.0.0.0/0"
$sgr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleUpdate
$sgr.SecurityGroupRuleId = "sgr-09ed298024EXAMPLE"
$sgr.SecurityGroupRule = $sgrr
Edit-EC2SecurityGroupRule  `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRule $sgr
```

------

# Eliminare un gruppo di sicurezza Amazon EC2
<a name="deleting-security-group"></a>

Quando non hai più bisogno di un gruppo di sicurezza che hai creato per le istanze Amazon EC2, puoi eliminarlo.

**Requisiti**
+ Il gruppo di sicurezza non può essere associato a un'istanza o un'interfaccia di rete.
+ Il gruppo di sicurezza non può essere utilizzato come riferimento da una regola di un altro gruppo di sicurezza.

------
#### [ Console ]

**Per eliminare un gruppo di sicurezza**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. (Facoltativo) Per verificare che il gruppo di sicurezza non sia associato a un'istanza, procedi come segue:

   1. Fai clic su **Gruppi di sicurezza** nel riquadro di navigazione.

   1. Copia l'ID del gruppo di sicurezza da eliminare.

   1. Nel riquadro di navigazione, scegliere **Instances (Istanze)**.

   1. Nella barra di ricerca, aggiungi il filtro **Security group IDs equals** e incolla l'ID del gruppo di sicurezza. Se non ci sono risultati, il gruppo di sicurezza non è associato a un'istanza. In caso contrario, è necessario disassociare il gruppo di sicurezza prima di poterlo eliminare.

1. Fai clic su **Gruppi di sicurezza** nel riquadro di navigazione.

1. Seleziona il gruppo di sicurezza e scegli **Operazioni**, **Elimina gruppi di sicurezza**.

1. Se hai selezionato più di un gruppo di sicurezza, ti verrà richiesta la conferma. Se alcuni gruppi di sicurezza non possono essere eliminati, viene visualizzato lo stato di ciascun gruppo di sicurezza, che indica se verrà eliminato. Per confermare l'eliminazione, immetti **Elimina**.

1. Scegli **Elimina**.

------
#### [ AWS CLI ]

**Per eliminare un gruppo di sicurezza**  
Utilizza il seguente comando [delete-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html).

```
aws ec2 delete-security-group --group-id sg-1234567890abcdef0
```

------
#### [ PowerShell ]

**Per eliminare un gruppo di sicurezza**  
Utilizza il cmdlet [Remove-EC2SecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2SecurityGroup.html).

```
Remove-EC2SecurityGroup -GroupId sg-1234567890abcdef0
```

------

# Monitoraggio della connessione al gruppo di sicurezza Amazon EC2
<a name="security-group-connection-tracking"></a>

I gruppi di sicurezza utilizzano il monitoraggio delle connessioni per tracciare le informazioni sul traffico da e verso l'istanza. Le regole si applicano in base allo stato della connessione per stabilire se il traffico è autorizzato o negato. Con questo approccio, i gruppi di sicurezza sono con stato. Ovvero, le risposte al traffico in entrata possono uscire dall'istanza a prescindere dalle regole del gruppo di sicurezza in uscita, e viceversa.

Ad esempio, supponiamo di avviare un comando come netcat o similare sulle istanze dal computer di casa e che le regole del gruppo di sicurezza in entrata consentano il traffico ICMP. Le informazioni sulla connessione (incluse le informazioni sulla porta) vengono monitorate. Il traffico in risposta dall'istanza per il comando non viene monitorato come nuova richiesta, ma come connessione stabilita e può uscire dall'istanza, anche se le regole del gruppo di sicurezza in uscita limitano il traffico ICMP in uscita.

Per i protocolli diversi da TCP, UDP o ICMP, vengono monitorati solo l'indirizzo IP e il numero di protocollo. Se l'istanza invia traffico a un altro host e l'host invia lo stesso tipo di traffico verso l'istanza entro 600 secondi, verrà accettato dal gruppo di sicurezza dell'istanza a prescindere dalle regole del gruppo di sicurezza in entrata. Il gruppo di sicurezza lo accetta perché considerato traffico di risposta al traffico originale.

Quando si modifica una regola del gruppo di sicurezza, le connessioni tracciate non vengono interrotte immediatamente. Il gruppo di sicurezza continua a consentire i pacchetti fino al timeout delle connessioni esistenti. Per avere la certezza che il traffico venga interrotto immediatamente o che tutto il traffico sia soggetto alle regole del firewall indipendentemente dallo stato di tracciamento, è possibile utilizzare una lista di controllo degli accessi di rete per la sottorete. ACLs Le reti sono prive di stato e pertanto non consentono automaticamente il traffico di risposta. L'aggiunta di una lista di controllo degli accessi di rete che blocca il traffico in entrambe le direzioni interrompe le connessioni esistenti. Per ulteriori informazioni, consulta [Network ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) in the *Amazon VPC User* Guide.

**Nota**  
[I gruppi di sicurezza non hanno alcun effetto sul traffico DNS da o verso il Route 53 Resolver, a volte indicato come «indirizzo IP VPC\$12» (vedi Cos'è Amazon Route 53 Resolver?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) nella *Amazon Route 53 Developer Guide*) o nella 'AmazonProvidedDNS' (consulta [Work with DHCP option sets](https://docs.aws.amazon.com/vpc/latest/userguide/DHCPOptionSet.html) nella *Amazon Virtual Private Cloud User Guide*). Se desideri filtrare le richieste DNS tramite il risolutore Route 53, puoi abilitare DNS Firewall per il risolutore Route 53 (consulta [DNS Firewall per il risolutore Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) nella *Guida per sviluppatori di Amazon Route 53*).

## Connessioni non tracciate
<a name="untracked-connections"></a>

Non vengono monitorati tutti i flussi di traffico. Se una regola del gruppo di sicurezza permette flussi TCP o UDP per tutto il traffico (0.0.0.0/0 o ::/0) e nell'altra direzione c'è una regola corrispondente che autorizza tutto il traffico in risposta (0.0.0.0/0 o ::/0) per qualsiasi porta (0-65535), allora questo flusso di traffico non viene monitorato, a meno che non faccia parte di una [connessione monitorata automaticamente](#automatic-tracking). Il traffico in risposta per un flusso non monitorato può scorrere in base alla regola in entrata o in uscita che autorizza il traffico in risposta, non in base alle informazioni di monitoraggio.

Un flusso di traffico non monitorato viene interrotto immediatamente se la regola che permette il flusso è rimossa o modificata. Ad esempio, se disponi di una regola in uscita (0.0.0.0/0) aperta e rimuovi una regola che autorizza tutto il traffico SSH (porta TCP 22) in entrata (0.0.0.0/0) verso l'istanza (o la modifichi per non consentire più la connessione), le connessioni SSH all'istanza esistenti vengono immediatamente rimosse. Poiché la connessione non è stata in precedenza tracciata, la modifica interromperà la connessione. D'altra parte, se disponi di una regola in entrata più rigida che inizialmente consente una connessione SSH (ovvero la connessione è stata monitorata), ma modifichi la regola per non consentire più nuove connessioni dall'indirizzo del client SSH corrente, la connessione SSH esistente non verrà interrotta poiché è monitorata.

## Connessioni monitorate automaticamente
<a name="automatic-tracking"></a>

Le connessioni effettuate tramite il seguente vengono monitorate automaticamente, anche se la configurazione del gruppo di sicurezza non lo richiede altrimenti:
+ Internet Gateway egress-only
+ Acceleratori di Global Accelerator
+ Gateway NAT
+ Endpoint Firewall Network Firewall
+ Network Load Balancers
+ AWS PrivateLink (endpoint VPC di interfaccia)
+ AWS Lambda (interfacce di rete elastiche Hyperplane)
+ Endpoint gateway DynamoDB: ogni connessione a DynamoDB utilizza 2 voci conntrack.

## Permessi di tracciamento delle connessioni
<a name="connection-tracking-throttling"></a>

Amazon EC2 definisce il numero massimo di connessioni che possono essere monitorate per ogni istanza. Una volta raggiunto il massimo, tutti i pacchetti inviati o ricevuti vengono eliminati perché non è possibile stabilire una nuova connessione. In questo caso, le applicazioni che inviano e ricevono pacchetti non possono comunicare correttamente. Utilizza il parametro delle prestazioni di rete `conntrack_allowance_available` per determinare il numero di connessioni tracciate ancora disponibili per quel tipo di istanza.

Per determinare se i pacchetti sono stati eliminati perché il traffico di rete per l'istanza ha superato il numero massimo di connessioni che possono essere monitorate, utilizza il parametro delle prestazioni di rete `conntrack_allowance_exceeded`. Per ulteriori informazioni, consulta [Monitoraggio delle prestazioni di rete per le impostazioni ENA dell'istanza EC2](monitoring-network-performance-ena.md).

Con Elastic Load Balancing, se si supera il numero massimo di connessioni che è possibile monitorare per istanza, si consiglia di ridimensionare il numero di istanze registrate con il load balancer o la dimensione delle istanze registrate con il load balancer.

## Migliori pratiche di tracciamento delle connessioni
<a name="connection-tracking-performance"></a>

Il routing asimmetrico, in cui il traffico entra in un’istanza attraverso un’interfaccia di rete ed esce da un’altra interfaccia di rete, può ridurre le prestazioni di picco che un’istanza può raggiungere se i flussi vengono tracciati.

Per mantenere le massime prestazioni e ottimizzare la gestione delle connessioni quando il tracciamento delle connessioni è abilitato per i gruppi di sicurezza, consigliamo la seguente configurazione:
+ Evita topologie di routing asimmetriche, se possibile.
+ Invece di utilizzare i gruppi di sicurezza per il filtraggio, utilizza la rete ACLs.
+ Se devi utilizzare gruppi di sicurezza con il tracciamento delle connessioni, configura il timeout di tracciamento delle connessioni in modo che sia inattivo per il minor tempo possibile. Per ulteriori dettagli sul timeout del monitoraggio delle connessioni inattive, consulta la sezione seguente.
+ Con i timeout predefiniti più brevi sulle istanze Nitrov6, le applicazioni con connessioni di lunga durata (come pool di connessioni al database, connessioni HTTP persistenti o carichi di lavoro in streaming) dovrebbero configurare un valore appropriato all'avvio dell'istanza. `TcpEstablishedTimeout`
+ Per le connessioni di lunga durata, configura TCP keep alives in modo che vengano inviate a intervalli inferiori a 5 minuti per garantire che le connessioni rimangano aperte e mantengano il loro stato tracciato. Questo aiuta a prevenire l'interruzione delle connessioni a causa di un timeout di inattività e riduce il sovraccarico dovuto al ripristino della connessione.

Per ulteriori informazioni sull'ottimizzazione della performance sul sistema Nitro, consultare [Considerazioni sul sistema Nitro per l’ottimizzazione delle prestazioni](ena-nitro-perf.md).

## Timeout di tracciamento delle connessioni inattive
<a name="connection-tracking-timeouts"></a>

Il gruppo di sicurezza tiene traccia di ogni connessione stabilita per garantire che i pacchetti restituiti vengano consegnati come previsto. Per ciascuna istanza esiste un numero massimo di connessioni che possono essere monitorate. Le connessioni che rimangono inattive possono portare all'esaurimento del tracciamento delle connessioni, impedire il tracciamento delle connessioni ed eliminare i pacchetti. Ora puoi impostare il timeout in secondi per il tracciamento delle connessioni inattive su un'interfaccia di rete elastica.

**Nota**  
Questa funzionalità è disponibile solo con le [istanze basate su Nitro](instance-types.md#instance-hypervisor-type). È necessario testare le applicazioni sulle istanze di generazione Nitrov6 con il `350` secondo timeout predefinito di tracciamento della connessione ridotto prima di distribuirle in produzione.

Esistono tre timeout configurabili:
+ **Timeout TCP stabilito**: il timeout (in secondi) per le connessioni TCP inattive in uno stato stabilito.
  + Minimo: `60` secondi
  + Massimo: `432000` secondi
  + Impostazione predefinita: `350` secondi per i tipi di istanze [Nitrov6](https://docs.aws.amazon.com/ec2/latest/instancetypes/ec2-nitro-instances.html), escluso P6e-. GB200 E `432000` secondi per altri tipi di istanze, tra cui P6e-. GB200
  + Consigliato: meno di `432000` secondi.
+ **Timeout UDP**: il timeout (in secondi) per i flussi UDP inattivi che hanno registrato traffico solo in un'unica direzione o una singola transazione richiesta-risposta.
  + Minimo: `30` secondi
  + Massimo: `60` secondi
  + Impostazione predefinita: `30` secondi
+ **Timeout del flusso UDP**: il timeout (in secondi) per i flussi UDP inattivi classificati come flussi che hanno registrato più di una transazione richiesta-risposta.
  + Minimo: `60` secondi
  + Massimo: `180` secondi
  + Impostazione predefinita: `180` secondi

Potresti voler modificare i timeout predefiniti per uno dei seguenti casi:
+  Se [stai monitorando le connessioni tracciate utilizzando i parametri delle prestazioni di rete di Amazon EC2](monitoring-network-performance-ena.md), i parametri *conntrack\$1allowance\$1exceeded* e *conntrack\$1allowance\$1available* consentono di monitorare i pacchetti persi e tenere traccia dell'utilizzo della connessione per gestire in modo proattivo la capacità delle istanze EC2 con azioni di aumento o riduzione per contribuire a soddisfare la domanda di connessioni di rete prima di perdere i pacchetti. Se stai riscontrando un calo di *conntrack\$1allowance\$1exceeded* sulle tue istanze EC2, potresti trarre vantaggio dall'impostare un timeout TCP inferiore per tenere conto delle sessioni obsolete causate da client o middlebox di rete impropri. TCP/UDP 
+ In genere, i sistemi di bilanciamento del carico o i firewall hanno un timeout di inattività stabilito dal protocollo TCP compreso tra 60 e 90 minuti. Se utilizzi carichi di lavoro che dovrebbero gestire un numero molto elevato di connessioni (superiore a 100.000) da dispositivi come i firewall di rete, si consiglia di configurare un timeout simile su un'interfaccia di rete EC2.
+ Se stai eseguendo un carico di lavoro che utilizza una topologia di routing asimmetrico, ti consigliamo di configurare un timeout di inattività di 60 secondi, come stabilito dal protocollo TCP.
+ Se esegui carichi di lavoro con un numero elevato di connessioni come DNS, SIP, SNMP, Syslog, Radius e altri servizi che utilizzano principalmente UDP per soddisfare le richieste, l'impostazione del timeout 'UDP-Stream' su 60s consente di aumentare scale/performance la capacità esistente e prevenire errori grigi.
+ Per le connessioni tramite Network Load Balancer, tutte le connessioni vengono tracciate TCP/UDP . Il valore di timeout di inattività per i flussi TCP è di 350 secondi e per i flussi UDP è di 120 secondi e varia a seconda dei valori di timeout a livello di interfaccia. Potresti voler configurare i timeout a livello di interfaccia di rete per consentire una maggiore flessibilità di timeout rispetto ai valori predefiniti per il bilanciatore del carico.

È possibile configurare i timeout di tracciamento della connessione quando si eseguono le seguenti operazioni:
+ [Creazione di un'interfaccia di rete](create-network-interface.md)
+ [Modifica degli attributi dell'interfaccia di rete](modify-network-interface-attributes.md)
+ [Avvio di un'istanza EC2](ec2-instance-launch-parameters.md#liw-network-settings)
+ [Creazione di un modello di avvio di un'istanza EC2](ec2-instance-launch-parameters.md#liw-network-settings)

## Esempio
<a name="connection-tracking-example"></a>

Nell'esempio seguente, il gruppo di sicurezza ha regole in entrata specifiche che autorizzano il traffico TCP e ICMP e regole in uscita che autorizzano tutto il traffico in uscita.


**In entrata**  

| Tipo di protocollo | Numero della porta | Origine | 
| --- | --- | --- | 
| TCP  | 22 (SSH) | 203.0.113.1/32 | 
| TCP  | 80 (HTTP) | 0.0.0.0/0 | 
| TCP  | 80 (HTTP) | ::/0 | 
| ICMP | Tutti | 0.0.0.0/0 | 


**In uscita**  

| Tipo di protocollo | Numero della porta | Destinazione | 
| --- | --- | --- | 
| Tutti | Tutti | 0.0.0.0/0 | 
| Tutti | Tutti | ::/0 | 

Con una connessione di rete diretta all'istanza o all'interfaccia di rete, il comportamento di monitoraggio è il seguente:
+ Il traffico TCP in entrata e in uscita sulla porta 22 (SSH) viene monitorato in quanto la regola in entrata consente il traffico solo da 203.0.113.1/32 e non da tutti gli indirizzi IP (0.0.0.0/0).
+ Il traffico TCP in entrata e in uscita sulla porta 80 (HTTP) non viene monitorato, perché le regole in entrata e in uscita autorizzano il traffico da tutti gli indirizzi IP.
+ Il traffico ICMP viene sempre monitorato.

Se rimuovi la regola in uscita per il IPv4 traffico, viene tracciato tutto il traffico in entrata e in uscita, incluso IPv4 il traffico sulla porta 80 (HTTP). Lo stesso vale per il IPv6 traffico se si rimuove la regola per il traffico in uscita. IPv6 

# Regole del gruppo di sicurezza per diversi casi d'uso
<a name="security-group-rules-reference"></a>

Puoi creare un gruppo di sicurezza e aggiungere regole che rispecchiano il ruolo dell'istanza associata al gruppo di sicurezza. Ad esempio, un'istanza configurata come un server Web richiede regole del gruppo di sicurezza che consentano l'accesso HTTP e HTTPS in entrata. Allo stesso modo, un'istanza di database richiede regole che consentano l'accesso per il tipo di database, ad esempio l'accesso sulla porta 3306 per MySQL.

Di seguito sono illustrati esempi dei tipi di regole che è possibile aggiungere ai gruppi di sicurezza per tipi di accesso specifici.

**Topics**
+ [

## Regole del server Web
](#sg-rules-web-server)
+ [

## Regole del server di database
](#sg-rules-db-server)
+ [

## Regole per la connessione alle istanze dal computer in uso
](#sg-rules-local-access)
+ [

## Regole per la connessione alle istanze da un'istanza con lo stesso gruppo di sicurezza
](#sg-rules-other-instances)
+ [

## Regole per Ping/ICMP
](#sg-rules-ping)
+ [

## Regole del server DNS
](#sg-rules-dns)
+ [

## Regole Amazon EFS
](#sg-rules-efs)
+ [

## Regole Elastic Load Balancing
](#sg-rules-elb)

Per istruzioni, consulta [Creare un gruppo di sicurezza](creating-security-group.md) e [Configurazione delle regole per i gruppi di sicurezza](changing-security-group.md#add-remove-security-group-rules).

## Regole del server Web
<a name="sg-rules-web-server"></a>

Le seguenti regole in entrata permettono l'accesso HTTP e HTTPS da qualunque indirizzo IP. Se il tuo VPC è abilitato per IPv6, puoi aggiungere regole per controllare il traffico HTTP e HTTPS in entrata dagli indirizzi. IPv6 


| Tipo di protocollo | Numero di protocollo | Porta | IP di origine | Note | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Consente l'accesso HTTP in entrata da qualsiasi indirizzo IPv4  | 
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Consente l'accesso HTTPS in entrata da qualsiasi indirizzo IPv4  | 
| TCP | 6 | 80 (HTTP) | ::/0 | Consente l'accesso HTTP in entrata da qualsiasi indirizzo IPv6 | 
| TCP | 6 | 443 (HTTPS) | ::/0 | Consente l'accesso HTTPS in entrata da qualsiasi indirizzo IPv6 | 

## Regole del server di database
<a name="sg-rules-db-server"></a>

Le seguenti regole in entrata sono esempi di regole che è possibile aggiungere per l'accesso al database a seconda del tipo di database in esecuzione sull'istanza. Per ulteriori informazioni sulle istanze Amazon RDS, consulta la [Guida per l'utente di Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/).

Per l'IP di origine, specifica uno dei seguenti valori:
+ Un indirizzo IP specifico o un intervallo di indirizzi IP (in notazione di blocco CIDR) nella rete locale
+ Un ID del gruppo di sicurezza per un gruppo di istanze che accedono al database


| Tipo di protocollo | Numero di protocollo | Porta | Note | 
| --- | --- | --- | --- | 
| TCP | 6 | 1433 (MS SQL) | La porta predefinita di accesso al database di Microsoft SQL Server, ad esempio su un'istanza Amazon RDS | 
| TCP | 6 | 3306 (MYSQL/Aurora) | La porta predefinita di accesso a un database MySQL o Aurora, ad esempio su un'istanza Amazon RDS | 
| TCP | 6 | 5439 (Redshift) | La porta predefinita per accedere a un database di cluster Amazon Redshift. | 
| TCP | 6 | 5432 (PostgreSQL) | La porta predefinita di accesso a un database PostgreSQL, ad esempio su un'istanza Amazon RDS | 
| TCP | 6 | 1521 (Oracle) | La porta predefinita di accesso a un database Oracle, ad esempio su un'istanza Amazon RDS | 

Facoltativamente, è possibile limitare il traffico in uscita dai server di database. Ad esempio, è possibile autorizzare l'accesso a Internet per gli aggiornamenti software, ma limitare tutti gli altri tipi di traffico. Occorre prima rimuovere la regola in uscita predefinita che autorizza tutto il traffico in uscita.


| Tipo di protocollo | Numero di protocollo | Porta | IP di destinazione | Note | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Consente l'accesso HTTP in uscita a qualsiasi indirizzo IPv4  | 
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Consente l'accesso HTTPS in uscita a qualsiasi indirizzo IPv4  | 
| TCP | 6 | 80 (HTTP) | ::/0 | (solo VPC IPv6 abilitato per -enabled) Consente l'accesso HTTP in uscita a qualsiasi indirizzo IPv6  | 
| TCP | 6 | 443 (HTTPS) | ::/0 | (solo VPC IPv6 abilitato per -enabled) Consente l'accesso HTTPS in uscita a qualsiasi indirizzo IPv6  | 

## Regole per la connessione alle istanze dal computer in uso
<a name="sg-rules-local-access"></a>

Per stabilire la connessione all'istanza, il tuo gruppo di sicurezza deve avere regole in entrata che consentono l'accesso SSH (per le istanze Linux) o l'accesso RDP (per le istanze Windows).


| Tipo di protocollo | Numero di protocollo | Porta | IP di origine | 
| --- | --- | --- | --- | 
| TCP | 6 | 22 (SSH) | L' IPv4 indirizzo pubblico del computer o un intervallo di indirizzi IP nella rete locale. Se il tuo VPC è abilitato per IPv6 e l'istanza ha un IPv6 indirizzo, puoi inserire un IPv6 indirizzo o un intervallo. | 
| TCP | 6 | 3389 (RDP) | L' IPv4 indirizzo pubblico del computer o un intervallo di indirizzi IP nella rete locale. Se il tuo VPC è abilitato per IPv6 e l'istanza ha un IPv6 indirizzo, puoi inserire un IPv6 indirizzo o un intervallo. | 

## Regole per la connessione alle istanze da un'istanza con lo stesso gruppo di sicurezza
<a name="sg-rules-other-instances"></a>

Per consentire alle istanze associate allo stesso gruppo di sicurezza di comunicare tra loro, devi aggiungere esplicitamente regole apposite. 

**Nota**  
Se le route vengono configurate per inoltrare il traffico tra due istanze in sottoreti diverse attraverso un'appliance middlebox, è necessario assicurarsi che i gruppi di sicurezza per entrambe le istanze consentano il flusso del traffico tra le istanze. Il gruppo di sicurezza per ogni istanza deve fare riferimento all'indirizzo IP privato dell'altra istanza o all'intervallo CIDR della sottorete che contiene l'altra istanza come origine. Se si fa riferimento al gruppo di sicurezza dell’altra istanza come origine, allora il flusso del traffico tra le istanze non sarà consentito.

La tabella seguente descrive la regola in entrata per un gruppo di sicurezza che permette alle istanze associate di comunicare tra loro. La regola autorizza tutti i tipi di traffico.


| Tipo di protocollo | Numero di protocollo | Porte | IP di origine | 
| --- | --- | --- | --- | 
| -1 (Tutti) | -1 (Tutti) | -1 (Tutti) | L'ID del gruppo di sicurezza o l'intervallo CIDR della sottorete che contiene l'altra istanza (vedi nota). | 

## Regole per Ping/ICMP
<a name="sg-rules-ping"></a>

Il comando **ping** è un tipo di traffico ICMP. Per effettuare il ping dell'istanza, devi aggiungere una delle seguenti regole ICMP in entrata.


| Tipo | Protocollo | Origine | 
| --- | --- | --- | 
| ICMP personalizzato - IPv4 | Richiesta echo | L' IPv4 indirizzo pubblico del computer, un IPv4 indirizzo specifico o un IPv4 IPv6 indirizzo or da qualsiasi luogo. | 
| Tutto ICMP - IPv4 | IPv4 ICMP (1) | L' IPv4 indirizzo pubblico del computer, un IPv4 indirizzo specifico o un IPv4 IPv6 indirizzo or da qualsiasi luogo. | 

Per utilizzare il **ping6** comando per eseguire il ping dell' IPv6 indirizzo dell'istanza, è necessario aggiungere la seguente ICMPv6 regola in entrata.


| Tipo | Protocollo | Origine | 
| --- | --- | --- | 
| Tutto ICMP - IPv6 | IPv6 ICMP (58) | L' IPv6 indirizzo del computer, un IPv4 indirizzo specifico o un IPv4 IPv6 indirizzo or da qualsiasi luogo. | 

## Regole del server DNS
<a name="sg-rules-dns"></a>

Se hai configurato un'istanza EC2 come server DNS, devi verificare che il traffico TCP e UDP possa raggiungere il server DNS tramite la porta 53. 

Per l'IP di origine, specifica uno dei seguenti valori:
+ Un indirizzo IP o un intervallo di indirizzi IP (in notazione di blocco CIDR) in una rete
+ L'ID di un gruppo di sicurezza per il set di istanze nella rete che richiedono l'accesso al server DNS


| Tipo di protocollo | Numero di protocollo | Porta | 
| --- | --- | --- | 
| TCP | 6 | 53 | 
| UDP | 17 | 53 | 

## Regole Amazon EFS
<a name="sg-rules-efs"></a>

Se utilizzi un file system Amazon EFS con le istanze Amazon EC2 il gruppo di sicurezza che associ ai target di montaggio Amazon EFS deve autorizzare il traffico sul protocollo NFS. 


| Tipo di protocollo | Numero di protocollo | Porte | IP di origine | Note | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 2049 (NFS) | L'ID del gruppo di sicurezza | Permette l'accesso NFS in entrata dalle risorse (compreso l'obiettivo di montaggio) associate a questo gruppo di sicurezza. | 

Per montare un file system Amazon EFS su un'istanza Amazon EC2, devi connetterti all'istanza. Di conseguenza, il gruppo di sicurezza associato all'istanza deve avere regole che autorizzano il traffico SSH in entrata dal computer locale o dalla rete locale.


| Tipo di protocollo | Numero di protocollo | Porte | IP di origine | Note | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 22 (SSH) | L'intervallo di indirizzi IP del computer locale o l'intervallo di indirizzi IP (in notazione di blocco CIDR) per la rete. | Permette l'accesso SSH in entrata dal tuo computer locale. | 

## Regole Elastic Load Balancing
<a name="sg-rules-elb"></a>

Se registri le istanze EC2 in un bilanciatore del carico, il gruppo di sicurezza a esso associato deve permettere la comunicazione con le istanze. Per ulteriori informazioni, consulta la documentazione per il bilanciatore del carico elastico qui di seguito.
+ [Gruppi di sicurezza per l'Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-update-security-groups.html)
+ [Gruppi di sicurezza per il Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-security-groups.html)
+ [Configurazione dei gruppi di sicurezza per Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-vpc-security-groups.html)