Regole del gruppo di sicurezza per diversi casi d'uso
Puoi creare un gruppo di sicurezza e aggiungere regole che rispecchiano il ruolo dell'istanza associata al gruppo di sicurezza. Ad esempio, un'istanza configurata come un server Web richiede regole del gruppo di sicurezza che consentano l'accesso HTTP e HTTPS in entrata. Allo stesso modo, un'istanza di database richiede regole che consentano l'accesso per il tipo di database, ad esempio l'accesso sulla porta 3306 per MySQL.
Di seguito sono illustrati esempi dei tipi di regole che è possibile aggiungere ai gruppi di sicurezza per tipi di accesso specifici.
Esempi
Per istruzioni, consulta Creazione di un gruppo di sicurezza e Configurazione delle regole per i gruppi di sicurezza.
Regole del server Web
Le seguenti regole in entrata permettono l'accesso HTTP e HTTPS da qualunque indirizzo IP. Se il tuo VPC può supportare IPv6, puoi aggiungere regole per controllare il traffico HTTP e HTTPS dagli indirizzi IPv6.
| Tipo di protocollo | Numero di protocollo | Porta | IP di origine | Note |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Permette l'accesso HTTP in entrata da qualunque indirizzo IPv4 |
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Permette l'accesso HTTPS in entrata da qualunque indirizzo IPv4 |
| TCP | 6 | 80 (HTTP) | ::/0 | Permette l'accesso HTTP in entrata da qualunque indirizzo IPv6. |
| TCP | 6 | 443 (HTTPS) | ::/0 | Permette l'accesso HTTPS in entrata da qualunque indirizzo IPv6. |
Regole del server di database
Le seguenti regole in entrata sono esempi di regole che è possibile aggiungere per l'accesso al database a seconda del tipo di database in esecuzione sull'istanza. Per ulteriori informazioni sulle istanze Amazon RDS, consulta la Guida per l'utente di Amazon RDS.
Per l'IP di origine, specifica uno dei seguenti valori:
-
Un indirizzo IP specifico o un intervallo di indirizzi IP (in notazione di blocco CIDR) nella rete locale
-
Un ID del gruppo di sicurezza per un gruppo di istanze che accedono al database
| Tipo di protocollo | Numero di protocollo | Porta | Note |
|---|---|---|---|
| TCP | 6 | 1433 (MS SQL) | La porta predefinita di accesso al database di Microsoft SQL Server, ad esempio su un'istanza Amazon RDS |
| TCP | 6 | 3306 (MYSQL/Aurora) | La porta predefinita di accesso a un database MySQL o Aurora, ad esempio su un'istanza Amazon RDS |
| TCP | 6 | 5439 (Redshift) | La porta predefinita per accedere a un database di cluster Amazon Redshift. |
| TCP | 6 | 5432 (PostgreSQL) | La porta predefinita di accesso a un database PostgreSQL, ad esempio su un'istanza Amazon RDS |
| TCP | 6 | 1521 (Oracle) | La porta predefinita di accesso a un database Oracle, ad esempio su un'istanza Amazon RDS |
Facoltativamente, è possibile limitare il traffico in uscita dai server di database. Ad esempio, è possibile autorizzare l'accesso a Internet per gli aggiornamenti software, ma limitare tutti gli altri tipi di traffico. Occorre prima rimuovere la regola in uscita predefinita che autorizza tutto il traffico in uscita.
| Tipo di protocollo | Numero di protocollo | Porta | IP di destinazione | Note |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Permette l'accesso HTTP in uscita verso qualunque indirizzo IPv4 |
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Permette l'accesso HTTPS in uscita verso qualunque indirizzo IPv4 |
| TCP | 6 | 80 (HTTP) | ::/0 | (Solo VPC che supportano IPv6) Permette l'accesso HTTP in uscita verso qualunque indirizzo IPv6 |
| TCP | 6 | 443 (HTTPS) | ::/0 | (Solo VPC che supportano IPv6) Permette l'accesso HTTPS in uscita verso qualunque indirizzo IPv6 |
Regole per la connessione alle istanze dal computer in uso
Per stabilire la connessione all'istanza, il tuo gruppo di sicurezza deve avere regole in entrata che consentono l'accesso SSH (per le istanze Linux) o l'accesso RDP (per le istanze Windows).
| Tipo di protocollo | Numero di protocollo | Porta | IP di origine |
|---|---|---|---|
| TCP | 6 | 22 (SSH) | L'indirizzo IPv4 pubblico del tuo computer o un intervallo di indirizzi IP nella rete locale. Se il VPC può supportare IPv6 e la tua istanza ha un indirizzo IPv6, puoi inserire un indirizzo o un intervallo IPv6. |
| TCP | 6 | 3389 (RDP) | L'indirizzo IPv4 pubblico del tuo computer o un intervallo di indirizzi IP nella rete locale. Se il VPC può supportare IPv6 e la tua istanza ha un indirizzo IPv6, puoi inserire un indirizzo o un intervallo IPv6. |
Regole per la connessione alle istanze da un'istanza con lo stesso gruppo di sicurezza
Per consentire alle istanze associate allo stesso gruppo di sicurezza di comunicare tra loro, devi aggiungere esplicitamente regole apposite.
Nota
Se le route vengono configurate per inoltrare il traffico tra due istanze in sottoreti diverse attraverso un'appliance middlebox, è necessario assicurarsi che i gruppi di sicurezza per entrambe le istanze consentano il flusso del traffico tra le istanze. Il gruppo di sicurezza per ogni istanza deve fare riferimento all'indirizzo IP privato dell'altra istanza o all'intervallo CIDR della sottorete che contiene l'altra istanza come origine. Se si fa riferimento al gruppo di sicurezza dell'altra istanza come origine, allora il flusso del traffico tra le istanze non sarà consentito.
La tabella seguente descrive la regola in entrata per un gruppo di sicurezza che permette alle istanze associate di comunicare tra loro. La regola autorizza tutti i tipi di traffico.
| Tipo di protocollo | Numero di protocollo | Porte | IP di origine |
|---|---|---|---|
| -1 (Tutti) | -1 (Tutti) | -1 (Tutti) | L'ID del gruppo di sicurezza o l'intervallo CIDR della sottorete che contiene l'altra istanza (vedi nota). |
Regole per Ping/ICMP
Il comando ping è un tipo di traffico ICMP. Per effettuare il ping dell'istanza, devi aggiungere una delle seguenti regole ICMP in entrata.
| Tipo | Protocollo | Origine |
|---|---|---|
| ICMP personalizzato - IPv4 | Richiesta echo | L'indirizzo IPv4 pubblico del tuo computer, un indirizzo IPv4 specifico o un indirizzo IPv4 o IPv6 di qualsiasi provenienza. |
| Tutti ICMP - IPv4 | ICMP IPv4 (1) | L'indirizzo IPv4 pubblico del tuo computer, un indirizzo IPv4 specifico o un indirizzo IPv4 o IPv6 di qualsiasi provenienza. |
Per utilizzare il comando ping6 per eseguire il ping degli indirizzi IPv6 della tua istanza, devi aggiungere la seguente regola ICMPv6 in entrata.
| Tipo | Protocollo | Origine |
|---|---|---|
| Tutto ICMP - IPv6 | ICMP IPv6 (58) | L'indirizzo IPv6 del tuo computer, un indirizzo IPv4 specifico o un indirizzo IPv4 o IPv6 di qualsiasi provenienza. |
Regole del server DNS
Se hai configurato un'istanza EC2 come server DNS, devi verificare che il traffico TCP e UDP possa raggiungere il server DNS tramite la porta 53.
Per l'IP di origine, specifica uno dei seguenti valori:
-
Un indirizzo IP o un intervallo di indirizzi IP (in notazione di blocco CIDR) in una rete
-
L'ID di un gruppo di sicurezza per il set di istanze nella rete che richiedono l'accesso al server DNS
| Tipo di protocollo | Numero di protocollo | Porta |
|---|---|---|
| TCP | 6 | 53 |
| UDP | 17 | 53 |
Regole Amazon EFS
Se utilizzi un file system Amazon EFS con le istanze Amazon EC2 il gruppo di sicurezza che associ ai target di montaggio Amazon EFS deve autorizzare il traffico sul protocollo NFS.
| Tipo di protocollo | Numero di protocollo | Porte | IP di origine | Note |
|---|---|---|---|---|
| TCP | 6 | 2049 (NFS) | L'ID del gruppo di sicurezza | Permette l'accesso NFS in entrata dalle risorse (compreso l'obiettivo di montaggio) associate a questo gruppo di sicurezza. |
Per montare un file system Amazon EFS su un'istanza Amazon EC2, devi connetterti all'istanza. Di conseguenza, il gruppo di sicurezza associato all'istanza deve avere regole che autorizzano il traffico SSH in entrata dal computer locale o dalla rete locale.
| Tipo di protocollo | Numero di protocollo | Porte | IP di origine | Note |
|---|---|---|---|---|
| TCP | 6 | 22 (SSH) | L'intervallo di indirizzi IP del computer locale o l'intervallo di indirizzi IP (in notazione di blocco CIDR) per la rete. | Permette l'accesso SSH in entrata dal tuo computer locale. |
Regole Elastic Load Balancing
Se registri le istanze EC2 in un bilanciatore del carico, il gruppo di sicurezza a esso associato deve permettere la comunicazione con le istanze. Per ulteriori informazioni, consulta la documentazione per il bilanciatore del carico elastico qui di seguito.
