Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gruppi di sicurezza per EC2 Instance Connect Endpoint
Un gruppo di sicurezza controlla il traffico consentito per raggiungere e lasciare le risorse a cui è associato. Ad esempio, neghiamo il traffico da e verso un'EC2istanza Amazon a meno che non sia specificamente consentito dai gruppi di sicurezza associati all'istanza.
Gli esempi seguenti mostrano come configurare le regole del gruppo di sicurezza per l'endpoint EC2 Instance Connect e le istanze di destinazione.
Esempi
EC2Regole del gruppo di sicurezza Instance Connect Endpoint
Le regole del gruppo di sicurezza per un endpoint EC2 Instance Connect devono consentire al traffico in uscita destinato alle istanze di destinazione di lasciare l'endpoint. È possibile specificare il gruppo di sicurezza dell'istanza o l'intervallo di IPv4 indirizzi di come destinazione. VPC
Il traffico verso l'endpoint proviene dal servizio Endpoint Instance EC2 Connect ed è consentito indipendentemente dalle regole in entrata per il gruppo di sicurezza degli endpoint. Per controllare chi può utilizzare EC2 Instance Connect Endpoint per connettersi a un'istanza, utilizza una IAM policy. Per ulteriori informazioni, consulta Autorizzazioni per utilizzare EC2 Instance Connect Endpoint per connettersi alle istanze.
Esempio di regola in uscita: riferimento ai gruppi di sicurezza
L'esempio seguente utilizza il riferimento ai gruppi di sicurezza, il che significa che la destinazione è un gruppo di sicurezza associato alle istanze di destinazione. Questa regola consente il traffico in uscita dall'endpoint verso tutte le istanze che utilizzano questo gruppo di sicurezza.
Protocollo | Destinazione | Intervallo porte | Commento |
---|---|---|---|
TCP | ID of instance security group |
22 | Consente il SSH traffico in uscita verso tutte le istanze associate al gruppo di sicurezza dell'istanza |
Esempio di regola in uscita: intervallo di indirizzi IPv4
L'esempio seguente consente il traffico in uscita verso l'intervallo di IPv4 indirizzi specificato. Gli IPv4 indirizzi di un'istanza vengono assegnati dalla relativa sottorete, quindi è possibile utilizzare l'intervallo di IPv4 indirizzi di. VPC
Protocollo | Destinazione | Intervallo porte | Commento |
---|---|---|---|
TCP | VPC IPv4 CIDR |
22 | Consente il SSH traffico in uscita verso VPC |
Regole del gruppo di sicurezza dell'istanza Target
Le regole del gruppo di sicurezza per le istanze di destinazione devono consentire il traffico in entrata dall'endpoint Instance EC2 Connect. È possibile specificare il gruppo di sicurezza dell'endpoint o un intervallo di IPv4 indirizzi come origine. Se si specifica un intervallo di IPv4 indirizzi, l'origine dipende dal fatto che la conservazione dell'IP del client sia attivata o disattivata. Per ulteriori informazioni, consulta Considerazioni.
Poiché i gruppi di sicurezza sono dotati di stato, il traffico di risposta può uscire VPC indipendentemente dalle regole in uscita per il gruppo di sicurezza dell'istanza.
Esempio di regola in entrata: riferimento al gruppo di sicurezza
L'esempio seguente utilizza il riferimento ai gruppi di sicurezza, il che significa che l'origine è il gruppo di sicurezza associato all'endpoint. Questa regola consente il SSH traffico in entrata dall'endpoint verso tutte le istanze che utilizzano questo gruppo di sicurezza, indipendentemente dal fatto che la conservazione dell'IP del client sia attivata o disattivata. Se non esistono altre regole relative al gruppo di sicurezza in entrataSSH, le istanze accettano il SSH traffico solo dall'endpoint.
Protocollo | Origine | Intervallo porte | Commento |
---|---|---|---|
TCP | ID of endpoint security group |
22 | Consente il SSH traffico in entrata proveniente dalle risorse associate al gruppo di sicurezza dell'endpoint |
Esempio di regola in entrata: conservazione dell'IP del client disattivata
L'esempio seguente consente il SSH traffico in entrata dall'intervallo di IPv4 indirizzi specificato. Poiché la conservazione dell'IP del client è disattivata, l'IPv4indirizzo di origine è l'indirizzo dell'interfaccia di rete dell'endpoint. L'indirizzo dell'interfaccia di rete dell'endpoint viene assegnato dalla relativa sottorete, quindi è possibile utilizzare l'intervallo di IPv4 indirizzi di VPC per consentire le connessioni a tutte le istanze del. VPC
Protocollo | Origine | Intervallo porte | Commento |
---|---|---|---|
TCP | VPC IPv4 CIDR |
22 | Consente il traffico in entrata da SSH VPC |
Esempio di regola in entrata: conservazione dell'IP del client attiva
L'esempio seguente consente il SSH traffico in entrata dall'intervallo di IPv4 indirizzi specificato. Poiché la conservazione dell'IP del client è attiva, l'IPv4indirizzo di origine è l'indirizzo del client.
Protocollo | Origine | Intervallo porte | Commento |
---|---|---|---|
TCP | Public IPv4 address range |
22 | Consente il traffico in entrata dall'intervallo di IPv4 indirizzi del client specificato |