Controllo dell'accesso con i gruppi di sicurezza - Amazon Relational Database Service
Panoramica dei gruppi VPC di sicurezzaScenario del gruppo di sicurezzaCreazione di un gruppo VPC di sicurezzaAssociazione a un'istanza database

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo dell'accesso con i gruppi di sicurezza

VPCi gruppi di sicurezza controllano l'accesso del traffico in entrata e in uscita da un di istanze DB. Per impostazione predefinita, l'accesso alla rete è disattivato per un'istanza database. Puoi specificare delle norme in un gruppo di sicurezza che consente l'accesso da un intervallo di indirizzi IP, dalla porta o da un gruppo di sicurezza. Una volta configurate le regole in ingresso, si applicano le stesse regole a tutte le istanze database con associazione a tale gruppo di sicurezza. Puoi specificare fino a 20 norme in un gruppo di sicurezza.

Panoramica dei gruppi VPC di sicurezza

Ogni regola del gruppo di VPC sicurezza consente a una fonte specifica di accedere a un di istanze DB in un VPC cluster associato a quel gruppo VPC di sicurezza. L'origine può essere un intervallo di indirizzi (ad esempio, 203.0.113.0/24) o un altro gruppo di sicurezza. VPC Specificando un gruppo VPC di sicurezza come origine, consentite il traffico in entrata da tutte le istanze (in genere server di applicazioni) che utilizzano il gruppo di sicurezza di origine. VPC VPCi gruppi di sicurezza possono avere regole che regolano il traffico in entrata e in uscita. Tuttavia, le regole del traffico in uscita in genere non si applicano alle istanze database. Le regole del traffico in uscita si applicano solo se l'istanza database funge da client. Ad esempio, le regole del traffico in uscita si applicano a un'istanza database di Oracle con collegamenti database in uscita. È necessario utilizzare l'opzione Amazon EC2 API o Security Group sulla VPC console per creare gruppi VPC di sicurezza.

Quando crei regole per il tuo gruppo di VPC sicurezza che consentono l'accesso ai di istanze presenti nel tuo gruppoVPC, devi specificare una porta per ogni intervallo di indirizzi a cui la regola consente l'accesso. Ad esempio, se desideri attivare l'accesso Secure Shell (SSH) per le istanze diVPC, crea una regola che consenta l'accesso alla TCP porta 22 per l'intervallo di indirizzi specificato.

Puoi configurare più gruppi VPC di sicurezza che consentono l'accesso a porte diverse per diverse istanze del tuo. VPC Ad esempio, puoi creare un gruppo VPC di sicurezza che consenta l'accesso alla TCP porta 80 per i server Web del tuoVPC. Puoi quindi creare un altro gruppo VPC di sicurezza che consenta l'accesso alla TCP porta 3306 RDSper le istanze My SQL My DB del tuo. VPC

Per ulteriori informazioni sui gruppi VPC di sicurezza, consulta la sezione Gruppi di sicurezza nella Amazon Virtual Private Cloud User Guide.

Nota

Se il tuo di istanze DB si trova in un cluster VPC ma non è accessibile pubblicamente, puoi anche utilizzare un AWS Connessione da sito a sito o un VPN AWS Direct Connect connessione per accedervi da una rete privata. Per ulteriori informazioni, consulta Riservatezza del traffico Internet.

Scenario del gruppo di sicurezza

Un uso comune di un di istanze DB in a VPC consiste nel condividere i dati con un server di applicazioni in esecuzione in un'EC2istanza Amazon nella stessaVPC, a cui si accede da un'applicazione client esterna aVPC. In questo scenario, si utilizzano le VPC pagine RDS e di AWS Management Console oppure le EC2 API operazioni RDS e per creare le istanze e i gruppi di sicurezza necessari:

  1. Crea un gruppo VPC di sicurezza (ad esempiosg-0123ec2example) e definisci regole in entrata che utilizzano gli indirizzi IP dell'applicazione client come origine. Questo gruppo di sicurezza consente all'applicazione client di connettersi alle EC2 istanze in un ambiente VPC che utilizza questo gruppo di sicurezza.

  2. Create un'EC2istanza per l'applicazione e aggiungete l'EC2istanza al gruppo di VPC sicurezza (sg-0123ec2example) creato nel passaggio precedente.

  3. Create un secondo gruppo di VPC sicurezza (ad esempiosg-6789rdsexample) e create una nuova regola specificando come origine il gruppo di VPC sicurezza creato nel passaggio 1 (sg-0123ec2example).

  4. Crea un nuovo di istanze DB e aggiungi il di istanze DB al gruppo di VPC sicurezza (sg-6789rdsexample) creato nel passaggio precedente. Quando create il di istanze DB, utilizzate lo stesso numero di porta specificato per la regola del gruppo di VPC sicurezza (sg-6789rdsexample) creata nel passaggio 3.

Il seguente diagramma mostra questo scenario.

di istanze DB e EC2 istanza in un VPC

Per istruzioni dettagliate sulla configurazione di a VPC per questo scenario, consultaTutorial: Creazione di un Amazon VPC da utilizzare con un'istanza database (solo IPv4). Per ulteriori informazioni sull'utilizzo di aVPC, vedereAmazon VPC e Amazon RDS Amazon.

Creazione di un gruppo VPC di sicurezza

È possibile creare un gruppo VPC di sicurezza per un'istanza DB utilizzando la VPC console. Per informazioni sulla creazione di un gruppo di sicurezza, consulta le pagine Fornisci l'accesso alla tua istanza DB VPC tramite la creazione di un gruppo di sicurezza e Gruppi di sicurezza nella Guida per l'utente di Amazon Virtual Private Cloud.

Associazione di un gruppo di sicurezza a un istanza database

Puoi associare un gruppo di sicurezza a un'istanza DB utilizzando Modify sulla RDS console RDSAPI, ModifyDBInstance Amazon o modify-db-instance AWS CLI comando.

L'CLIesempio seguente associa un gruppo di VPC sicurezza specifico e rimuove i gruppi di sicurezza DB dall'istanza DB

aws rds modify-db-instance --db-instance-identifier dbName --vpc-security-group-ids sg-ID

Per ulteriori informazioni sulla modifica di un'istanza di database, consulta Modifica di un'istanza Amazon RDS DB. Per le considerazioni sui gruppi di sicurezza quando si ripristina un'istanza database da uno snapshot DB, consulta Considerazioni relative al gruppo di sicurezza.

Nota

La RDS console visualizza diversi nomi di regole dei gruppi di sicurezza per il database se il valore Port è configurato su un valore non predefinito.

RDSPer le istanze Oracle DB, è possibile associare gruppi di sicurezza aggiuntivi compilando l'impostazione delle opzioni del gruppo di sicurezza per le opzioni Oracle Enterprise Manager Database Express (OEM), Oracle Management Agent for Enterprise Manager Cloud Control (OEMAgent) e Oracle Secure Sockets Layer. In questo caso, entrambi i gruppi di sicurezza associati all'istanza DB e le impostazioni delle opzioni si applicano all'istanza DB. Per ulteriori informazioni su questi gruppi di opzioni, consulta Oracle Enterprise ManagerOracle Management Agent per Enterprise Manager Cloud Control, eOracle Secure Sockets Layer.