Criar um grupo de segurança para a instância do Amazon EC2 - Amazon Elastic Compute Cloud

Criar um grupo de segurança para a instância do Amazon EC2

Os grupos de segurança atuam como firewall para instâncias associadas, controlando o tráfego de entrada e de saída no nível da instância. Você pode adicionar regras a um grupo de segurança que permitam que você se conecte à instância usando SSH (instâncias do Linux) ou RDP (instâncias do Windows). Você também pode adicionar regras que permitam o tráfego do cliente, por exemplo, o tráfego HTTP e HTTPS destinado a um servidor Web.

Você pode associar um grupo de segurança a uma instância quando a inicia. Quando você adiciona ou remove regras de grupos de segurança associados, essas alterações são aplicadas automaticamente a todas as instâncias às quais você associou o grupo de segurança.

Depois de iniciar uma instância, você pode associar grupos de segurança adicionais. Para ter mais informações, consulte Alterar os grupos de segurança da instância do Amazon EC2.

Você pode adicionar regras de grupo de segurança de entrada e saída quando criar um grupo de segurança ou pode adicioná-las mais tarde. Para ter mais informações, consulte Configurar regras de grupos de segurança. Para obter exemplos de regras que você pode adicionar a um grupo de segurança, consulte Regras de grupo de segurança para diferentes casos de uso.

Considerações

  • Por padrão, novos grupos de segurança começam com apenas uma regra de saída que permite que todo o tráfego deixe as instâncias. Adicione regras para permitir qualquer tráfego de entrada ou para restringir o tráfego de saída.

  • Ao configurar uma fonte para uma regra que permita acesso SSH ou RDP às instâncias, não autorize acesso de qualquer lugar, pois isso concederia acesso à instância de todos os endereços IP da Internet. Isso é aceitável por um período curto em um ambiente de teste, mas não é seguro em ambientes de produção.

  • Se houver mais de uma regra para uma porta específica, o Amazon EC2 aplicará a regra mais permissiva. Por exemplo, se você tiver uma regra que permita o acesso à porta TCP 22 (SSH) do endereço IP 203.0.113.1 e outra regra que permita o acesso à porta TCP 22 de qualquer lugar, todos terão acesso à porta TCP 22.

  • Você pode associar vários grupos de segurança a uma instância. Portanto, uma instância pode ter centenas de regras aplicáveis. Isso pode causar problemas quando você acessar a instância. Recomendamos que você condense suas regras o máximo possível.

  • Quando você especifica um grupo de segurança como a origem ou o destino de uma regra, a regra afeta todas as instâncias associadas ao grupo de segurança. O tráfego de entrada é permitido com base nos endereços IP privados das instâncias associadas ao grupo de segurança de origem (e não aos endereços IP público ou IP elástico). Para obter mais informações sobre endereços IP, consulte Endereçamento IP de instâncias do Amazon EC2.

  • O Amazon EC2 bloqueia o tráfego na porta 25 por padrão. Para ter mais informações, consulte Restrição para e-mails enviados usando a porta 25.

Para criar um grupo de segurança usando o console

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Grupos de segurança.

  3. Escolha Create grupo de segurança (Criar grupo de segurança).

  4. Insira um nome descritivo e uma breve descrição para o grupo de segurança. Você não pode alterar o nome e a descrição de um grupo de segurança depois que ele é criado.

  5. Em VPC, escolha a VPC na qual você executará suas instâncias do Amazon EC2.

  6. (Opcional) Para adicionar regras de entrada, escolha Regras de entrada. Em cada regra, escolha Adicionar regra e especifique o protocolo, a porta e a origem. Por exemplo, para permitir tráfego SSH, escolha SSH em Tipo e especifique o endereço IPv4 público do seu computador ou rede em Origem.

  7. (Opcional) Para adicionar regras de saída, escolha Regras de saída. Em cada regra, escolha Adicionar regra e especifique o protocolo, a porta e o destino. Caso contrário, você pode manter a regra padrão, o que permite todo o tráfego de saída.

  8. (Opcional) Para adicionar uma tag, escolha Add new tag (Adicionar nova tag) e insira a chave e o valor da tag.

  9. Escolha Create security group (Criar grupo de segurança).

Para criar um security group usando a linha de comando