Alterar os grupos de segurança da instância do Amazon EC2
Você pode especificar grupos de segurança para instâncias do Amazon EC2 quando iniciá-las. Depois de iniciar uma instância, você pode adicionar ou remover grupos de segurança. Você também pode adicionar, remover ou editar regras de grupos de segurança para grupos de segurança associados a qualquer momento.
Os grupos de segurança estão associados a interfaces de rede. Adicionar ou remover grupos de segurança altera os grupos de segurança associados à interface de rede primária. Também é possível alterar os grupos de segurança associados a interfaces de rede secundárias. Para ter mais informações, consulte Modificar atributos da interface de rede.
Adicionar ou remover grupos de segurança
Após iniciar uma instância, você pode adicionar ou remover grupos de segurança da lista de grupos de segurança associados. Quando você associa vários grupos de segurança a uma instância, as regras de cada security group são efetivamente agregadas para criar um conjunto de regras. O Amazon EC2 usa esse conjunto de regras para determinar se deve permitir tráfego.
Requisitos
-
A instância deve estar no estado
running
oustopped
. -
Um grupo de segurança é específico de uma VPC. Você pode associar um grupo de segurança a uma ou mais instâncias.
Para alterar os grupos de segurança de uma instância usando o console
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/
. -
No painel de navegação, escolha Instances (Instâncias).
-
Selecione a instância e, em seguida, escolha Actions (Ações), Security (Segurança), Change security groups (Alterar grupos de segurança).
-
Em Associated security groups (Grupos de segurança associados), selecione um grupo de segurança na lista e escolha Add security group (Adicionar grupo de segurança).
Para remover um grupo de segurança já associado, escolha Remove (Remover) para esse grupo de segurança.
-
Escolha Salvar.
Para alterar os grupos de segurança de uma instância usando a linha de comando
-
modify-instance-attribute (AWS CLI)
-
Edit-EC2InstanceAttribute (AWS Tools for Windows PowerShell)
Configurar regras de grupos de segurança
Depois de criar um grupo de segurança, você pode adicionar, atualizar e excluir as regras dele. Quando você adiciona, atualiza ou exclui uma regra, a alteração é aplicada automaticamente aos recursos associados ao grupo de segurança.
Para obter exemplos de regras que você pode adicionar a um grupo de segurança, consulte Regras de grupo de segurança para diferentes casos de uso.
Origens e destinos
Você pode especificar o seguinte como origens para as regras de entrada ou como destinos para as regras de saída.
-
Personalizado: um bloco CIDR IPv4 e um bloco CIDR IPv6, outro grupo de segurança ou uma lista de prefixos.
-
Anywhere-IPv4: o bloco CIDR IPv4 0.0.0.0/0.
-
Anywhere-IPv6: o bloco CIDR IPv6 ::/0.
-
Meu IP: o endereço IPv4 público do computador local.
Atenção
Se você adicionar regras de entrada para as portas 22 (SSH) ou 3389 (RDP), recomendamos enfaticamente que você autorize somente o endereço IP específico ou um intervalo de endereços que precisem de acesso às instâncias. Caso escolha Anywhere-IPv4, você permitirá que o tráfego de todos os endereços IPv4 acessem as instâncias usando o protocolo especificado. Caso escolha Anywhere-IPv6, você permitirá que o tráfego de todos os endereços IPv6 acessem as instâncias usando o protocolo especificado.
Configurar regras de grupos de segurança usando o console
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/
. -
No painel de navegação, selecione Grupos de segurança.
-
Selecione o grupo de segurança.
-
Para editar as regras de entrada, escolha Editar regras de entrada em Ações ou na guia Regras de entrada.
-
Para adicionar uma regra, escolha Adicionar regra e insira o tipo, o protocolo, a porta e a origem da regra.
Se o tipo for TCP ou UDP, será necessário inserir o intervalo de portas a ser permitido. Para ICMP personalizado, você deverá escolher o nome do tipo ICMP em Protocol (Protocolo) e, se aplicável, o nome do código em Port range (Intervalo de portas). Para qualquer outro tipo, o protocolo e o intervalo de portas serão configurados para você.
-
Para atualizar uma regra, altere o protocolo, a descrição e a origem da regra, conforme necessário. Porém, você não pode alterar o tipo de origem. Por exemplo, se a origem for um bloco CIDR IPv4, você não poderá especificar um bloco CIDR IPv6, uma lista de prefixos ou um grupo de segurança.
-
Para excluir uma regra, escolha seu botão Excluir.
-
-
Para editar as regras de saída, escolha Editar regras de saída em Ações ou na guia Regras de saída.
-
Para adicionar uma regra, escolha Adicionar regra e insira o tipo, o protocolo, a porta e o destino da regra. Você também pode inserir uma descrição opcional.
Se o tipo for TCP ou UDP, será necessário inserir o intervalo de portas a ser permitido. Para ICMP personalizado, você deverá escolher o nome do tipo ICMP em Protocol (Protocolo) e, se aplicável, o nome do código em Port range (Intervalo de portas). Para qualquer outro tipo, o protocolo e o intervalo de portas serão configurados para você.
-
Para atualizar uma regra, altere o protocolo, a descrição e a origem da regra, conforme necessário. Porém, você não pode alterar o tipo de origem. Por exemplo, se a origem for um bloco CIDR IPv4, você não poderá especificar um bloco CIDR IPv6, uma lista de prefixos ou um grupo de segurança.
-
Para excluir uma regra, escolha seu botão Excluir.
-
-
Escolha Salvar regras.
Para configurar regras de grupo de segurança usando a AWS CLI
-
Adicionar: use os comandos authorize-security-group-ingress e authorize-security-group-egress.
-
Remover: use os comandos revoke-security-group-ingress e revoke-security-group-egress.
-
Modificar: use os comandos modify-security-group-rules, update-security-group-rule-descriptions-ingress e update-security-group-rule-descriptions-egress.
Configurar regras de grupos de segurança usando o Tools for Windows PowerShell
-
Adicionar: use Grant-EC2SecurityGroupIngress e Grant-EC2SecurityGroupEgress.
-
Remover: use Revoke-EC2SecurityGroupIngress e Revoke-EC2SecurityGroupEgress.
-
Modificar: use Edit-EC2SecurityGroupRule, Update-EC2SecurityGroupRuleIngressDescription e Update-EC2SecurityGroupRuleEgressDescription.