Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Aggiornamento dei gruppi di sicurezza per fare riferimento a gruppi di sicurezza peer di riferimento
Puoi aggiornare le regole in entrata o in uscita per i tuoi gruppi di sicurezza in modo da fare riferimento ai gruppi VPC di sicurezza per il peering. VPCs In questo modo si consente al traffico di fluire da e verso le istanze associate al gruppo di sicurezza di riferimento nel sistema peered. VPC
Nota
I gruppi di sicurezza in un peer non VPC vengono visualizzati nella console e possono essere selezionati dall'utente.
Requisiti
-
Per fare riferimento a un gruppo di sicurezza in un peerVPC, la connessione VPC peering deve trovarsi nello stato.
active -
Il peer VPC può appartenere al tuo account o VPC VPC a un altro account. AWS Per fare riferimento a un gruppo di sicurezza che si trova in un altro AWS account ma nella stessa regione, includi il numero di account con l'ID del gruppo di sicurezza. Ad esempio
123456789012/sg-1a2b3c4d. -
Non puoi fare riferimento al gruppo di sicurezza di un peer VPC che si trova in una regione diversa. Utilizza invece il CIDR blocco del VPC peer.
-
Se le route vengono configurate per inoltrare il traffico tra due istanze in sottoreti diverse attraverso un'appliance middlebox, è necessario assicurarsi che i gruppi di sicurezza per entrambe le istanze consentano il flusso del traffico tra le istanze. Il gruppo di sicurezza di ogni istanza deve fare riferimento all'indirizzo IP privato dell'altra istanza o all'CIDRintervallo della sottorete che contiene l'altra istanza come origine. Se si fa riferimento al gruppo di sicurezza dell'altra istanza come origine, allora il flusso del traffico tra le istanze non sarà consentito.
Per aggiornare le regole di gruppo di sicurezza tramite la console
Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/
. -
Fai clic su Security Groups (Gruppi di sicurezza) nel pannello di navigazione.
-
Seleziona il gruppo di sicurezza ed esegui una delle seguenti operazioni:
Per modificare le regole in entrata, scegli Azioni, Modifica regole in entrata.
Per modificare le regole in uscita, scegli Azioni, Modifica regole in uscita.
-
Per aggiungere una regola, scegli Aggiungi regola e specifica il tipo, il protocollo e l'intervallo di porte. Per Origine (regola in entrata) o Destinazione (regola in uscita), esegui una delle seguenti operazioni:
Per un peer VPC con lo stesso account e la stessa regione, inserisci l'ID del gruppo di sicurezza.
Per un peer VPC di un account diverso ma della stessa regione, inserisci l'ID dell'account e l'ID del gruppo di sicurezza, separati da una barra (ad esempio,).
123456789012/sg-1a2b3c4dPer un peer VPC in una regione diversa, inserisci il CIDR blocco del peer. VPC
-
Per modificare una regola esistente, cambia i relativi valori (ad esempio, l'origine o la descrizione).
-
Per eliminare una regola, seleziona il pulsante Elimina accanto alla regola corrispondente.
-
Scegliere Salva regole.
Per aggiornare le regole in entrata tramite la riga di comando
-
authorize-security-group-ingress (AWS CLI)
-
Grant-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)
-
Revoke-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)
-
revoke-security-group-ingress (AWS CLI)
Ad esempio, per aggiornare il gruppo di sicurezza in sg-aaaa1111 modo da consentire l'accesso in entrata HTTP da parte sg-bbbb2222 di un peerVPC, utilizzate il comando seguente. Se il peer VPC si trova nella stessa regione ma ha un account diverso, aggiungi --group-owner aws-account-id.
aws ec2 authorize-security-group-ingress --group-idsg-aaaa1111--protocol tcp --port80--source-groupsg-bbbb2222
Per aggiornare le regole in uscita tramite la riga di comando
-
authorize-security-group-egress (AWS CLI)
-
Grant-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)
-
Revoke-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)
-
revoke-security-group-egress (AWS CLI)
Dopo aver aggiornato le regole del gruppo di sicurezza, usa il describe-security-groupscomando per visualizzare il gruppo di sicurezza di riferimento nelle regole del gruppo di sicurezza.
Identificazione dei gruppi di sicurezza a cui si fa riferimento
Per determinare se il tuo gruppo di sicurezza è referenziato nelle regole di un gruppo di sicurezza in un peerVPC, usa uno dei seguenti comandi per uno o più gruppi di sicurezza del tuo account.
-
describe-security-group-references (AWS CLI)
-
Get-EC2SecurityGroupReference (AWS Tools for Windows PowerShell)
-
DescribeSecurityGroupReferences(Amazon EC2 QueryAPI)
Nell'esempio seguente, la risposta indica che un gruppo sg-bbbb2222 di sicurezza fa riferimento a un gruppo di sicurezza in VPCvpc-aaaaaaaa:
aws ec2 describe-security-group-references --group-idsg-bbbb2222
{
"SecurityGroupsReferenceSet": [
{
"ReferencingVpcId": "vpc-aaaaaaaa",
"GroupId": "sg-bbbb2222",
"VpcPeeringConnectionId": "pcx-b04deed9"
}
]
}Se la connessione VPC peering viene eliminata o se il proprietario del peer VPC elimina il gruppo di sicurezza di riferimento, la regola del gruppo di sicurezza diventa obsoleta.
Visualizza ed elimina con regole obsolete del gruppo di sicurezza
Una regola obsoleta del gruppo di sicurezza è una regola che fa riferimento a un gruppo di sicurezza eliminato nello stesso VPC o in un peer VPC oppure che fa riferimento a un gruppo di sicurezza in un peer VPC per il quale è stata eliminata la connessione VPC peering. Quando una regola di gruppo di sicurezza diventa obsoleta, non viene automaticamente rimossa dal gruppo di sicurezza, ma deve essere eliminata manualmente. Se una regola del gruppo di sicurezza è obsoleta perché la connessione VPC peering è stata eliminata, la regola non verrà più contrassegnata come obsoleta se si crea una nuova connessione peering con la stessa. VPC VPCs
Puoi visualizzare ed eliminare le regole obsolete dei gruppi di sicurezza per un VPC utilizzo della VPC console Amazon.
Per visualizzare Ed eliminare regole di gruppo di sicurezza obsolete
Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/
. -
Fai clic su Security Groups (Gruppi di sicurezza) nel pannello di navigazione.
-
Seleziona Actions (Operazioni), Manage stale rules (Gestisci regole obsolete).
-
Perché VPC, scegli quello VPC con le regole obsolete.
-
Scegli Modifica.
-
Scegliere il pulsante Delete (Elimina) a destra della regola da eliminare. Scegliere Preview changes (Anteprima modifiche), Save rules (Salva regole).
Per descrivere le regole obsolete del gruppo di sicurezza utilizzando la riga di comando o un API
-
describe-stale-security-groups (AWS CLI)
-
Get-EC2StaleSecurityGroup (AWS Tools for Windows PowerShell)
-
DescribeStaleSecurityGroups(Amazon EC2 QueryAPI)
Nell'esempio seguente, VPC A(vpc-aaaaaaaa) e VPC B sono stati sottoposti a peering e la connessione VPC peering è stata eliminata. Il gruppo di sicurezza sg-aaaa1111 in VPC A fa riferimento sg-bbbb2222 a VPC B. Quando si esegue il describe-stale-security-groups comando corrispondenteVPC, la risposta indica che il gruppo di sicurezza sg-aaaa1111 ha una SSH regola obsoleta a cui fa riferimento. sg-bbbb2222
aws ec2 describe-stale-security-groups --vpc-idvpc-aaaaaaaa
{
"StaleSecurityGroupSet": [
{
"VpcId": "vpc-aaaaaaaa",
"StaleIpPermissionsEgress": [],
"GroupName": "Access1",
"StaleIpPermissions": [
{
"ToPort": 22,
"FromPort": 22,
"UserIdGroupPairs": [
{
"VpcId": "vpc-bbbbbbbb",
"PeeringStatus": "deleted",
"UserId": "123456789101",
"GroupName": "Prod1",
"VpcPeeringConnectionId": "pcx-b04deed9",
"GroupId": "sg-bbbb2222"
}
],
"IpProtocol": "tcp"
}
],
"GroupId": "sg-aaaa1111",
"Description": "Reference remote SG"
}
]
}Dopo aver identificato le regole obsolete del gruppo di sicurezza, potete eliminarle utilizzando i comandi revoke-security-group-ingresso revoke-security-group-egress.
