Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS
Controlla il traffico in VPC Lattice utilizzando gruppi di sicurezza - Amazon VPC Lattice
Elenco di prefissi gestitiRegole del gruppo di sicurezzaGestione dei gruppi di sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlla il traffico in VPC Lattice utilizzando gruppi di sicurezza

PDFRSS

AWS i gruppi di sicurezza agiscono come firewall virtuali, controllando il traffico di rete da e verso le entità a cui sono associati. Con VPC Lattice, puoi creare gruppi di sicurezza e assegnarli all'associazione VPC che collega un VPC a una rete di servizi per applicare protezioni di sicurezza aggiuntive a livello di rete per la tua rete di servizi. Se connetti un VPC a una rete di servizi utilizzando un endpoint VPC, puoi assegnare gruppi di sicurezza anche all'endpoint VPC. Allo stesso modo, puoi assegnare gruppi di sicurezza ai gateway di risorse che crei per consentire l'accesso alle risorse nel tuo VPC.

Elenco di prefissi gestiti

VPC Lattice fornisce elenchi di prefissi gestiti che includono gli indirizzi IP utilizzati per instradare il traffico sulla rete VPC Lattice quando si utilizza un'associazione di rete di servizio per connettere il VPC a una rete di servizi utilizzando un'associazione VPC. Si tratta di collegamenti privati, locali o pubblici non instradabili. IPs IPs IPs

Puoi fare riferimento agli elenchi di prefissi gestiti da VPC Lattice nelle regole del tuo gruppo di sicurezza. Ciò consente al traffico di fluire dai client, attraverso la rete di servizi VPC Lattice, e verso gli obiettivi del servizio VPC Lattice.

Ad esempio, supponiamo di avere un' EC2 istanza registrata come destinazione nella regione Stati Uniti occidentali (Oregon) (). us-west-2 Puoi aggiungere una regola al gruppo di sicurezza dell'istanza che consente l'accesso HTTPS in entrata dall'elenco dei prefissi gestiti di VPC Lattice, in modo che il traffico VPC Lattice in questa regione possa raggiungere l'istanza. Se rimuovi tutte le altre regole in entrata dal gruppo di sicurezza, puoi impedire a qualsiasi traffico diverso dal traffico VPC Lattice di raggiungere l'istanza.

I nomi degli elenchi di prefissi gestiti per VPC Lattice sono i seguenti:

  • com.amazonaws. region.vpc-reticolo

  • com.amazonaws. region.ipv6.vpc-reticolo

Per maggiori informazioni, consulta Elenchi di prefissi gestiti da AWS nella Guida dell'utente di Amazon VPC.

Client Windows

Gli indirizzi negli elenchi di prefissi VPC Lattice sono indirizzi locali del collegamento e indirizzi pubblici non instradabili. Se ti connetti a VPC Lattice da un client Windows, devi aggiornare la configurazione del client Windows in modo che inoltri gli indirizzi IP nell'elenco dei prefissi gestiti all'indirizzo IP primario del client. Di seguito è riportato un comando di esempio che aggiorna la configurazione del client Windows, dove 169.254.171.0 è uno degli indirizzi nell'elenco dei prefissi gestiti. 

C:\> route add 169.254.171.0 mask 255.255.255.0 primary-ip-address

Regole del gruppo di sicurezza

L'utilizzo di VPC Lattice con o senza gruppi di sicurezza non influirà sulla configurazione del gruppo di sicurezza VPC esistente. Tuttavia, puoi aggiungere i tuoi gruppi di sicurezza in qualsiasi momento.

Considerazioni chiave

  • Le regole dei gruppi di sicurezza per i client controllano il traffico in uscita verso VPC Lattice.

  • Le regole dei gruppi di sicurezza per le destinazioni controllano il traffico in entrata da VPC Lattice alle destinazioni, incluso il traffico per il controllo dello stato di salute.

  • Le regole del gruppo di sicurezza per l'associazione tra la rete di servizi e il VPC controllano quali client possono accedere alla rete di servizi VPC Lattice.

  • Le regole dei gruppi di sicurezza per il Resource Gateway controllano il traffico in uscita dal Resource Gateway alle risorse.

Regole in uscita consigliate per il traffico che scorre dal Resource Gateway a una risorsa di database

Affinché il traffico possa fluire dal Resource Gateway alle risorse, è necessario creare regole in uscita per le porte aperte e protocolli listener accettati per le risorse.

Destinazione Protocollo Intervallo porte Commento
CIDR range for resource TCP 3306 Consenti il traffico dal gateway di risorse ai database
Regole in entrata consigliate per le associazioni di reti di servizi e VPC

Affinché il traffico possa fluire dal client VPCs ai servizi associati alla rete di servizi, è necessario creare regole in entrata per le porte del listener e i protocolli di ascolto per i servizi.

Crea Protocollo Intervallo porte Commento
VPC CIDR listener listener Consenti il traffico dai client a VPC Lattice
Regole in uscita consigliate per il flusso di traffico dalle istanze client a VPC Lattice

Per impostazione predefinita, i gruppi di sicurezza autorizzano tutto il traffico in uscita. Tuttavia, se disponi di regole in uscita personalizzate, devi consentire il traffico in uscita al prefisso VPC Lattice per le porte e i protocolli del listener in modo che le istanze client possano connettersi a tutti i servizi associati alla rete di servizi VPC Lattice. Puoi consentire questo traffico facendo riferimento all'ID dell'elenco dei prefissi per VPC Lattice.

Destinazione Protocollo Intervallo porte Commento
ID of the VPC Lattice prefix list listener listener Consenti il traffico dai client a VPC Lattice
Regole in entrata consigliate per il traffico che fluisce da VPC Lattice alle istanze di destinazione

Non puoi utilizzare il gruppo di sicurezza del client come fonte per i gruppi di sicurezza del tuo target, perché il traffico proviene da VPC Lattice. Puoi fare riferimento all'ID dell'elenco dei prefissi per VPC Lattice.

Crea Protocollo Intervallo porte Commento
ID of the VPC Lattice prefix list target target Consenti il traffico da VPC Lattice agli obiettivi
ID of the VPC Lattice prefix list health check health check Consenti il traffico di health check da VPC Lattice agli obiettivi

Gestire i gruppi di sicurezza per un'associazione VPC

È possibile utilizzare l'associazione AWS CLI di rete da VPC a service per visualizzare, aggiungere o aggiornare i gruppi di sicurezza sul VPC. Quando usi il AWS CLI, ricorda che i comandi vengono eseguiti nella Regione AWS configurazione per il tuo profilo. Per eseguire i comandi in un'altra regione, modificare la regione predefinita per il profilo oppure utilizzare il parametro --region con il comando.

Prima di iniziare, conferma di aver creato il gruppo di sicurezza nello stesso VPC del VPC che desideri aggiungere alla rete di servizi. Per ulteriori informazioni, consulta Controlla il traffico verso le tue risorse utilizzando i gruppi di sicurezza nella Amazon VPC User Guide

Per aggiungere un gruppo di sicurezza quando si crea un'associazione VPC utilizzando la console

  1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, in VPC Lattice, scegli Reti di servizio.

  3. Seleziona il nome della rete di servizio per aprirne la pagina dei dettagli.

  4. Nella scheda Associazioni VPC, scegli Crea associazioni VPC, quindi scegli Aggiungi associazione VPC.

  5. Seleziona un VPC e fino a cinque gruppi di sicurezza.

  6. Scegli Save changes (Salva modifiche).

Per aggiungere o aggiornare gruppi di sicurezza per un'associazione VPC esistente utilizzando la console

  1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, in VPC Lattice, scegli Reti di servizio.

  3. Seleziona il nome della rete di servizio per aprirne la pagina dei dettagli.

  4. Nella scheda Associazioni VPC, seleziona la casella di controllo relativa all'associazione, quindi scegli Azioni, Modifica gruppi di sicurezza.

  5. Aggiungi e rimuovi i gruppi di sicurezza secondo necessità.

  6. Scegli Save changes (Salva modifiche).

Per aggiungere un gruppo di sicurezza quando si crea un'associazione VPC utilizzando AWS CLI

Utilizza il comando create-service-network-vpc-association, specificando l'ID del VPC per l'associazione VPC e l'ID dei gruppi di sicurezza da aggiungere.

aws vpc-lattice create-service-network-vpc-association \
    --service-network-identifier sn-0123456789abcdef0 \
    --vpc-identifier vpc-1a2b3c4d \
    --security-group-ids sg-7c2270198example

Se il comando viene eseguito correttamente, verrà visualizzato un output simile al seguente:

{
  "arn": "arn",
  "createdBy": "464296918874",
  "id": "snva-0123456789abcdef0",
  "status": "CREATE_IN_PROGRESS",
  "securityGroupIds": ["sg-7c2270198example"]
}
Per aggiungere o aggiornare gruppi di sicurezza per un'associazione VPC esistente utilizzando il AWS CLI

Utilizzare il comando update-service-network-vpc-association, specificando l'ID della rete di servizi e dei gruppi IDs di sicurezza. Questi gruppi di sicurezza sostituiscono tutti i gruppi di sicurezza precedentemente associati. Definisci almeno un gruppo di sicurezza durante l'aggiornamento dell'elenco.

aws vpc-lattice update-service-network-vpc-association 
    --service-network-vpc-association-identifier sn-903004f88example \
    --security-group-ids sg-7c2270198example sg-903004f88example
avvertimento

Non puoi rimuovere tutti i gruppi di sicurezza. È invece necessario prima eliminare l'associazione VPC e quindi ricreare l'associazione VPC senza gruppi di sicurezza. Fai attenzione quando elimini l'associazione VPC. Ciò impedisce al traffico di raggiungere i servizi che si trovano in quella rete di servizi.

Argomento successivo:

Rete ACLs

Argomento precedente:

Politiche di autenticazione

Hai bisogno di aiuto?

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.