Controlla il traffico in VPC Lattice utilizzando gruppi di sicurezza - Amazon VPC Lattice
Elenco di prefissi gestitiRegole del gruppo di sicurezzaGestione dei gruppi di sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlla il traffico in VPC Lattice utilizzando gruppi di sicurezza

AWS i gruppi di sicurezza agiscono come firewall virtuali, controllando il traffico di rete da e verso le entità a cui sono associati. Con VPC Lattice, è possibile creare gruppi di sicurezza e assegnarli all'VPCassociazione che collega una rete di servizio VPC per applicare ulteriori protezioni di sicurezza a livello di rete per la rete di servizio. Se si connette VPC a una rete di servizi utilizzando un VPC endpoint, è possibile assegnare anche gruppi di sicurezza all'endpoint. VPC Allo stesso modo, puoi assegnare gruppi di sicurezza ai gateway di risorse creati per consentire l'accesso alle risorse del tuo. VPC

Elenco di prefissi gestiti

VPCLattice fornisce elenchi di prefissi gestiti che includono gli indirizzi IP utilizzati per instradare il traffico sulla rete VPC Lattice quando si utilizza un'associazione di servizio-rete per connettersi a una rete VPC di servizi utilizzando un'associazione. VPC È possibile fare riferimento agli elenchi di prefissi gestiti di VPC Lattice nelle regole del gruppo di sicurezza. Ciò consente al traffico di fluire dai client, attraverso la rete di servizi VPC Lattice e verso gli obiettivi del servizio VPC Lattice.

Ad esempio, supponiamo di avere un'EC2istanza registrata come destinazione nella regione Stati Uniti occidentali (Oregon) (). us-west-2 È possibile aggiungere una regola al gruppo di sicurezza dell'istanza che consente l'HTTPSaccesso in entrata dall'elenco dei prefissi gestiti di VPC Lattice, in modo che il traffico VPC Lattice in questa regione possa raggiungere l'istanza. Se rimuovi tutte le altre regole in entrata dal gruppo di sicurezza, puoi impedire che qualsiasi traffico diverso dal traffico VPC Lattice raggiunga l'istanza.

I nomi degli elenchi di prefissi gestiti per VPC Lattice sono i seguenti:

  • com.amazonaws. region.vpc-reticolo

  • com.amazonaws. region.ipv6.vpc-reticolo

Per ulteriori informazioni, consulta AWS-managed prefix lists nella Amazon VPC User Guide.

Client Windows

Gli indirizzi negli elenchi di prefissi VPC Lattice sono indirizzi locali del collegamento e indirizzi pubblici non instradabili. Se ti connetti a VPC Lattice da un client Windows, devi aggiornare la configurazione del client Windows in modo che inoltri gli indirizzi locali del collegamento utilizzati da VPC Lattice all'indirizzo IP primario del client. Di seguito è riportato un comando di esempio che aggiorna la configurazione del client Windows, dove 169.254.171.0 è l'indirizzo locale del collegamento utilizzato da VPC Lattice.

C:\> route add 169.254.171.0 mask 255.255.255.0 primary-ip-address

Regole del gruppo di sicurezza

L'uso di VPC Lattice con o senza gruppi di sicurezza non influirà sulla configurazione del gruppo di sicurezza esistenteVPC. Tuttavia, è possibile aggiungere i propri gruppi di sicurezza in qualsiasi momento.

Considerazioni chiave

  • Le regole dei gruppi di sicurezza per i client controllano il traffico in uscita verso Lattice. VPC

  • Le regole dei gruppi di sicurezza per i target controllano il traffico in entrata da VPC Lattice verso i target, incluso il traffico per i controlli di integrità.

  • Regole del gruppo di sicurezza per l'associazione tra la rete di servizi e il VPC controllo dei client che possono accedere alla rete di servizi VPC Lattice.

  • Le regole dei gruppi di sicurezza per il Resource Gateway controllano il traffico in uscita dal Resource Gateway alle risorse.

Regole in uscita consigliate per il traffico che scorre dal Resource Gateway a una risorsa di database

Affinché il traffico fluisca dal gateway di risorse alle risorse, è necessario creare regole in uscita per le porte aperte e protocolli di ascolto accettati per le risorse.

Destinazione Protocollo Intervallo porte Commento
CIDR range for resource TCP 3306 Consenti il traffico dal gateway di risorse ai database
Regole in entrata consigliate per la rete di servizi e le associazioni VPC

Affinché il traffico possa fluire dal client VPCs ai servizi associati alla rete di servizi, è necessario creare regole in entrata per le porte dei listener e i protocolli di ascolto per i servizi.

Crea Protocollo Intervallo porte Commento
VPC CIDR listener listener Consenti il traffico dai client a Lattice VPC
Regole in uscita consigliate per il traffico che fluisce dalle istanze del client a Lattice VPC

Per impostazione predefinita, i gruppi di sicurezza autorizzano tutto il traffico in uscita. Tuttavia, se disponi di regole in uscita personalizzate, devi consentire al traffico in uscita il prefisso VPC Lattice per le porte e i protocolli del listener in modo che le istanze client possano connettersi a tutti i servizi associati alla rete di servizi Lattice. VPC È possibile consentire questo traffico facendo riferimento all'ID dell'elenco dei prefissi per Lattice. VPC

Destinazione Protocollo Intervallo porte Commento
ID of the VPC Lattice prefix list listener listener Consenti il traffico dai client a Lattice VPC
Regole in entrata consigliate per il traffico che scorre da VPC Lattice alle istanze target

Non puoi utilizzare il gruppo di sicurezza del client come fonte per i gruppi di sicurezza del tuo target, perché il traffico proviene da Lattice. VPC Puoi fare riferimento all'ID dell'elenco dei prefissi per VPC Lattice.

Crea Protocollo Intervallo porte Commento
ID of the VPC Lattice prefix list target target Consenti il traffico proveniente da VPC Lattice verso gli obiettivi
ID of the VPC Lattice prefix list health check health check Consenti il controllo dello stato del traffico proveniente da VPC Lattice verso i target

Gestisci i gruppi di sicurezza per un'associazione VPC

È possibile utilizzare il AWS CLI per visualizzare, aggiungere o aggiornare i gruppi di sicurezza nell'associazione di rete VPC al servizio. Quando usi il AWS CLI, ricorda che i comandi vengono eseguiti nella Regione AWS configurazione per il tuo profilo. Per eseguire i comandi in un'altra regione, modificare la regione predefinita per il profilo oppure utilizzare il parametro --region con il comando.

Prima di iniziare, conferma di aver creato il gruppo di sicurezza nello VPC stesso che VPC desideri aggiungere alla rete di servizi. Per ulteriori informazioni, consulta Controlla il traffico verso le tue risorse utilizzando i gruppi di sicurezza nella Amazon VPC User Guide

Per aggiungere un gruppo di sicurezza quando crei un'VPCassociazione utilizzando la console

  1. Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, sotto VPCLattice, scegli Reti di servizio.

  3. Seleziona il nome della rete di servizio per aprirne la pagina dei dettagli.

  4. Nella scheda VPCassociazioni, scegli Crea VPC associazioni, quindi scegli Aggiungi VPC associazione.

  5. Seleziona uno VPC e fino a cinque gruppi di sicurezza.

  6. Scegli Save changes (Salva modifiche).

Per aggiungere o aggiornare gruppi di sicurezza per un'VPCassociazione esistente utilizzando la console

  1. Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, sotto VPCLattice, scegli Reti di servizio.

  3. Seleziona il nome della rete di servizio per aprirne la pagina dei dettagli.

  4. Nella scheda delle VPCassociazioni, seleziona la casella di controllo relativa all'associazione, quindi scegli Azioni, Modifica gruppi di sicurezza.

  5. Aggiungi e rimuovi i gruppi di sicurezza in base alle esigenze.

  6. Scegli Save changes (Salva modifiche).

Per aggiungere un gruppo di sicurezza quando si crea un'VPCassociazione utilizzando il AWS CLI

Utilizzate il comando create-service-network-vpc-association, specificando l'ID dell'VPCVPCassociazione e l'ID dei gruppi di sicurezza da aggiungere.

aws vpc-lattice create-service-network-vpc-association \
    --service-network-identifier sn-0123456789abcdef0 \
    --vpc-identifier vpc-1a2b3c4d \
    --security-group-ids sg-7c2270198example

Se il comando viene eseguito correttamente, verrà visualizzato un output simile al seguente:

{
  "arn": "arn",
  "createdBy": "464296918874",
  "id": "snva-0123456789abcdef0",
  "status": "CREATE_IN_PROGRESS",
  "securityGroupIds": ["sg-7c2270198example"]
}
Per aggiungere o aggiornare i gruppi di sicurezza per un'VPCassociazione esistente utilizzando il AWS CLI

Utilizzare il comando update-service-network-vpc-association, specificando l'ID della rete di servizi e dei gruppi IDs di sicurezza. Questi gruppi di sicurezza sostituiscono tutti i gruppi di sicurezza precedentemente associati. Definisci almeno un gruppo di sicurezza durante l'aggiornamento dell'elenco.

aws vpc-lattice update-service-network-vpc-association 
    --service-network-vpc-association-identifier sn-903004f88example \
    --security-group-ids sg-7c2270198example sg-903004f88example
avvertimento

Non puoi rimuovere tutti i gruppi di sicurezza. È invece necessario prima eliminare l'VPCassociazione e quindi ricrearla senza gruppi di sicurezza. VPC Prestate attenzione quando eliminate l'associazione. VPC Ciò impedisce al traffico di raggiungere i servizi che si trovano in quella rete di servizi.