# Grupos de segurança do Amazon EC2 para as instâncias do EC2
<a name="ec2-security-groups"></a>

Um *grupo de segurança* atua como firewall virtual para as instâncias do EC2 visando controlar o tráfego de entrada e de saída. As regras de entrada controlam o tráfego de entrada para a instância e as regras de saída controlam o tráfego de saída da instância. Ao executar sua instância, é possível especificar um ou mais grupos de segurança. Se você não especificar um grupo de segurança, o Amazon EC2 usará o grupo de segurança padrão para a VPC. Depois de executar uma instância, é possível alterar seus grupos de segurança.

A segurança é uma responsabilidade compartilhada entre a AWS e você. Para obter mais informações, consulte [Segurança no Amazon EC2](ec2-security.md). A AWS fornece grupos de segurança como uma das ferramentas para proteger as instâncias, e você precisa configurá-los para atender às suas necessidades de segurança. Se houver requisitos que não sejam totalmente atendidos pelos grupos de segurança, é possível manter seu próprio firewall em qualquer uma das instâncias além de usar grupos de segurança.

**Preços**  
Não há cobrança adicional pelo uso de grupos de segurança.

**Topics**
+ [

## Visão geral
](#security-group-basics)
+ [

# Criar um grupo de segurança para a instância do Amazon EC2
](creating-security-group.md)
+ [

# Alterar os grupos de segurança da instância do Amazon EC2
](changing-security-group.md)
+ [

# Excluir um grupo de segurança do Amazon EC2
](deleting-security-group.md)
+ [

# Rastreamento de conexão de grupo de segurança do Amazon EC2
](security-group-connection-tracking.md)
+ [

# Regras de grupo de segurança para diferentes casos de uso
](security-group-rules-reference.md)

## Visão geral
<a name="security-group-basics"></a>

É possível associar cada instância a vários grupos de segurança e associar cada grupo de segurança a várias instâncias. Você adiciona regras a cada security group que permite tráfego de entrada ou de saída das instâncias associadas. É possível modificar as regras de um grupo de segurança a qualquer momento. As regras novas e modificadas são aplicadas automaticamente para todas as instâncias que estão associados ao grupo de segurança. Quando o Amazon EC2 decide se deve permitir que o tráfego atinja uma instância, ele avalia todas as regras de todos os grupos de segurança associados à instância. Para ter mais informações, consulte [Security group rules](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html) no *Guia do usuário da Amazon VPC*.

O diagrama a seguir mostra uma VPC com uma sub-rede, um gateway da Internet e um grupo de segurança. A sub-rede contém instâncias do EC2. O grupo de segurança está associado às instâncias. O único tráfego que chega à instância é aquele permitido pelas regras do grupo de segurança. Por exemplo, se o grupo de segurança contiver uma regra que permita o tráfego SSH da rede, será possível realizar a conexão com a instância com o computador ao usar SSH. Se o grupo de segurança contiver uma regra que permita todo o tráfego dos recursos associados a ele, cada instância poderá receber qualquer tráfego enviado das outras instâncias.

![\[Uma VPC com um grupo de segurança. As instâncias do EC2 na sub-rede estão associadas ao grupo de segurança.\]](http://docs.aws.amazon.com/pt_br/AWSEC2/latest/UserGuide/images/ec2-security-groups.png)


Os grupos de segurança são stateful — se você enviar uma solicitação da instância, o tráfego da resposta dessa solicitação terá permissão para fluir, independentemente das regras de entrada do grupo de segurança. Além disso, as respostas ao tráfego de entrada autorizado são permitidas para fluir, independentemente das regras de saída. Para obter mais informações, consulte [Acompanhamento da conexão](security-group-connection-tracking.md).

# Criar um grupo de segurança para a instância do Amazon EC2
<a name="creating-security-group"></a>

Os grupos de segurança atuam como firewall para instâncias associadas, controlando o tráfego de entrada e de saída no nível da instância. É possível adicionar regras a um grupo de segurança que permitam que você se conecte à instância usando SSH (instâncias do Linux) ou RDP (instâncias do Windows). Você também pode adicionar regras que permitam o tráfego do cliente, por exemplo, o tráfego HTTP e HTTPS destinado a um servidor Web.

É possível associar um grupo de segurança a uma instância quando a inicia. Quando você adiciona ou remove regras de grupos de segurança associados, essas alterações são aplicadas automaticamente a todas as instâncias às quais você associou o grupo de segurança.

Depois de iniciar uma instância, você pode associar grupos de segurança adicionais. Para obter mais informações, consulte [Alterar os grupos de segurança da instância do Amazon EC2](changing-security-group.md).

É possível adicionar regras de grupo de segurança de entrada e saída quando criar um grupo de segurança ou pode adicioná-las mais tarde. Para obter mais informações, consulte [Configurar regras de grupos de segurança](changing-security-group.md#add-remove-security-group-rules). Para obter exemplos de regras que você pode adicionar a um grupo de segurança, consulte [Regras de grupo de segurança para diferentes casos de uso](security-group-rules-reference.md).

**Considerações**
+ Novos grupos de segurança começam com apenas uma regra de saída que permite que todo o tráfego deixe as instâncias. Adicione regras para permitir qualquer tráfego de entrada ou para restringir o tráfego de saída.
+ Ao configurar uma fonte para uma regra que permita acesso SSH ou RDP às instâncias, não autorize acesso de qualquer lugar, pois isso concederia acesso à instância de todos os endereços IP da Internet. Isso é aceitável por um período curto em um ambiente de teste, mas não é seguro em ambientes de produção.
+ Se houver mais de uma regra para uma porta específica, o Amazon EC2 aplicará a regra mais permissiva. Por exemplo, se você tiver uma regra que permita o acesso à porta TCP 22 (SSH) do endereço IP 203.0.113.1 e outra regra que permita o acesso à porta TCP 22 de qualquer lugar, todos terão acesso à porta TCP 22.
+ É possível associar vários grupos de segurança a uma instância. Portanto, uma instância pode ter centenas de regras aplicáveis. Isso pode causar problemas quando você acessar a instância. Recomendamos que você condense suas regras o máximo possível.
+ Quando você especifica um grupo de segurança como a origem ou o destino de uma regra, a regra afeta todas as instâncias associadas ao grupo de segurança. O tráfego de entrada é permitido com base nos endereços IP privados das instâncias associadas ao grupo de segurança de origem (e não aos endereços IP público ou IP elástico). Para obter mais informações sobre endereços IP, consulte [Endereçamento IP de instâncias do Amazon EC2](using-instance-addressing.md).
+ O Amazon EC2 bloqueia o tráfego na porta 25 por padrão. Para obter mais informações, consulte [Restrição para e-mails enviados usando a porta 25](ec2-resource-limits.md#port-25-throttle).

------
#### [ Console ]

**Para criar um security group**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, selecione **Grupos de segurança**.

1. Escolha **Criar grupo de segurança**.

1. Insira um nome descritivo e uma breve descrição para o grupo de segurança. Você não pode alterar o nome e a descrição de um grupo de segurança depois que ele é criado.

1. Em **VPC**, escolha a VPC na qual você executará suas instâncias do Amazon EC2.

1. (Opcional) Para adicionar regras de entrada, escolha **Regras de entrada**. Em cada regra, escolha **Adicionar regra** e especifique o protocolo, a porta e a origem. Por exemplo, para permitir tráfego SSH, escolha **SSH** em **Tipo** e especifique o endereço IPv4 público do seu computador ou rede em **Origem**.

1. (Opcional) Para adicionar regras de saída, escolha **Regras de saída**. Em cada regra, escolha **Adicionar regra** e especifique o protocolo, a porta e o destino. Caso contrário, você pode manter a regra padrão, o que permite todo o tráfego de saída.

1. (Opcional) Para adicionar uma tag, escolha **Add new tag** (Adicionar nova tag) e insira a chave e o valor da tag.

1. Escolha **Create security group (Criar grupo de segurança)**.

------
#### [ AWS CLI ]

**Como criar um grupo de segurança**  
Use o seguinte comando [create-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html).

```
aws ec2 create-security-group \
    --group-name my-security-group \
    --description "my security group" \
    --vpc-id vpc-1234567890abcdef0
```

Para exemplos que adicionam regras, consulte [Configurar regras de grupos de segurança](changing-security-group.md#add-remove-security-group-rules).

------
#### [ PowerShell ]

**Como criar um grupo de segurança**  
Use o cmdlet [New-EC2SecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2SecurityGroup.html).

```
New-EC2SecurityGroup `
    -GroupName my-security-group `
    -Description "my security group" `
    -VpcId vpc-1234567890abcdef0
```

Para exemplos que adicionam regras, consulte [Configurar regras de grupos de segurança](changing-security-group.md#add-remove-security-group-rules).

------

# Alterar os grupos de segurança da instância do Amazon EC2
<a name="changing-security-group"></a>

É possível especificar grupos de segurança para instâncias do Amazon EC2 quando iniciá-las. Depois de iniciar uma instância, você pode adicionar ou remover grupos de segurança. Você também pode adicionar, remover ou editar regras de grupos de segurança para grupos de segurança associados a qualquer momento.

Os grupos de segurança estão associados a interfaces de rede. Adicionar ou remover grupos de segurança altera os grupos de segurança associados à interface de rede primária. Também é possível alterar os grupos de segurança associados a interfaces de rede secundárias. Para obter mais informações, consulte [Modificar atributos da interface de rede](modify-network-interface-attributes.md).

**Topics**
+ [

## Adicionar ou remover grupos de segurança
](#add-remove-instance-security-groups)
+ [

## Configurar regras de grupos de segurança
](#add-remove-security-group-rules)

## Adicionar ou remover grupos de segurança
<a name="add-remove-instance-security-groups"></a>

Após iniciar uma instância, você pode adicionar ou remover grupos de segurança da lista de grupos de segurança associados. Quando você associa vários grupos de segurança a uma instância, as regras de cada security group são efetivamente agregadas para criar um conjunto de regras. O Amazon EC2 usa esse conjunto de regras para determinar se deve permitir tráfego.

**Requisitos**
+ A instância deve estar no estado `running` ou `stopped`.

------
#### [ Console ]

**Para modificar os grupos de segurança de uma instância**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, escolha **Instances (Instâncias)**.

1. Selecione a instância e, em seguida, escolha **Actions** (Ações), **Security ** (Segurança), **Change security groups** (Alterar grupos de segurança).

1. Em **Associated security groups** (Grupos de segurança associados), selecione um grupo de segurança na lista e escolha **Add security group** (Adicionar grupo de segurança).

   Para remover um grupo de segurança já associado, escolha **Remove (Remover)** para esse grupo de segurança.

1. Escolha **Salvar**.

------
#### [ AWS CLI ]

**Para modificar os grupos de segurança de uma instância**  
Use o seguinte comando [modify-instance-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-attribute.html).

```
aws ec2 modify-instance-attribute \
    --instance-id i-1234567890abcdef0 \
    --groups sg-1234567890abcdef0
```

------
#### [ PowerShell ]

**Para modificar os grupos de segurança de uma instância**  
Use o cmdlet [Edit-EC2InstanceAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceAttribute.html).

```
Edit-EC2InstanceAttribute `
    -InstanceId i-1234567890abcdef0 `
    -Group sg-1234567890abcdef0
```

------

## Configurar regras de grupos de segurança
<a name="add-remove-security-group-rules"></a>

Depois de criar um grupo de segurança, você pode adicionar, atualizar e excluir as regras dele. Quando você adiciona, atualiza ou exclui uma regra, a alteração é aplicada automaticamente aos recursos associados ao grupo de segurança.

Para obter exemplos de regras que você pode adicionar a um grupo de segurança, consulte [Regras de grupo de segurança para diferentes casos de uso](security-group-rules-reference.md).

**Permissões obrigatórias**  
Antes de começar, verifique se você tem as permissões necessárias. Para obter mais informações, consulte [Exemplo: trabalhar com grupos de segurança](iam-policies-ec2-console.md#ex-security-groups).

**Protocolos e portas**
+ Com o console, quando você seleciona um tipo predefinido, **Protocolo** e **Intervalo de portas** são especificados para você. Para inserir um intervalo de portas, você deve selecionar um dos seguintes tipos personalizados: **TCP personalizado** ou **UDP personalizado** .
+ Com a AWS CLI, você pode adicionar uma única regra com uma única porta usando as opções `--protocol` e `--port`. Para adicionar várias regras ou uma regra com um intervalo de portas, use a opção `--ip-permissions`.

**Origens e destinos**
+ Com o console, você pode especificar o seguinte como origens para as regras de entrada ou destinos para as regras de saída.
  + **Personalizado**: um bloco CIDR IPv4 e um bloco CIDR IPv6, um grupo de segurança ou uma lista de prefixos.
  + **Anywhere-IPv4**: o bloco CIDR IPv4 0.0.0.0/0.
  + **Anywhere-IPv6**: o bloco CIDR IPv6 ::/0.
  + **Meu IP**: o endereço IPv4 público do computador local.
+ Com a AWS CLI, você pode especificar um bloco CIDR IPv4 usando a opção `--cidr` ou um grupo de segurança usando a opção `--source-group`. Para especificar uma lista de prefixos ou um bloco CIDR IPv6, use a opção `--ip-permissions`.

**Atenção**  
Se você adicionar regras de entrada para as portas 22 (SSH) ou 3389 (RDP), recomendamos enfaticamente que você autorize somente o endereço IP específico ou um intervalo de endereços que precisem de acesso às instâncias. Caso escolha **Anywhere-IPv4**, você permitirá que o tráfego de todos os endereços IPv4 acessem as instâncias usando o protocolo especificado. Caso escolha **Anywhere-IPv6**, você permitirá que o tráfego de todos os endereços IPv6 acessem as instâncias usando o protocolo especificado.

------
#### [ Console ]

**Para configurar regras do grupo de segurança**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, selecione **Grupos de segurança**.

1. Selecione o grupo de segurança.

1. Para editar as regras de entrada, escolha **Editar regras de entrada** em **Ações** ou na guia **Regras de entrada**.

   1. Para adicionar uma regra, escolha **Adicionar regra** e insira o tipo, o protocolo, a porta e a origem da regra.

      Se o tipo for TCP ou UDP, será necessário inserir o intervalo de portas a ser permitido. Para ICMP personalizado, você deverá escolher o nome do tipo ICMP em **Protocol** (Protocolo) e, se aplicável, o nome do código em **Port range** (Intervalo de portas). Para qualquer outro tipo, o protocolo e o intervalo de portas serão configurados para você.

   1. Para atualizar uma regra, altere o protocolo, a descrição e a origem da regra, conforme necessário. Porém, você não pode alterar o tipo de origem. Por exemplo, se a origem for um bloco CIDR IPv4, você não poderá especificar um bloco CIDR IPv6, uma lista de prefixos ou um grupo de segurança.

   1. Para excluir uma regra, escolha seu botão **Excluir**.

1. Para editar as regras de saída, escolha **Editar regras de saída** em **Ações** ou na guia **Regras de saída**.

   1. Para adicionar uma regra, escolha **Adicionar regra** e insira o tipo, o protocolo, a porta e o destino da regra. Você também pode inserir uma descrição opcional.

      Se o tipo for TCP ou UDP, será necessário inserir o intervalo de portas a ser permitido. Para ICMP personalizado, você deverá escolher o nome do tipo ICMP em **Protocol** (Protocolo) e, se aplicável, o nome do código em **Port range** (Intervalo de portas). Para qualquer outro tipo, o protocolo e o intervalo de portas serão configurados para você.

   1. Para atualizar uma regra, altere o protocolo, a descrição e a origem da regra, conforme necessário. Porém, você não pode alterar o tipo de origem. Por exemplo, se a origem for um bloco CIDR IPv4, você não poderá especificar um bloco CIDR IPv6, uma lista de prefixos ou um grupo de segurança.

   1. Para excluir uma regra, escolha seu botão **Excluir**.

1. Selecione **Salvar regras**.

------
#### [ AWS CLI ]

**Para adicionar regras de grupo de segurança**  
Use o comando [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) para adicionar regras de entrada. O exemplo a seguir permite tráfego SSH de entrada proveniente dos blocos CIDR na lista de prefixos especificada.

```
aws ec2 authorize-security-group-ingress \
    --group-id sg-1234567890abcdef0 \
    --ip-permissions 'IpProtocol=tcp,FromPort=22,ToPort=22,PrefixListIds=[{PrefixListId=pl-f8a6439156EXAMPLE}]'
```

Use o comando [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html) para adicionar regras de saída. O exemplo a seguir permite tráfego TCP de saída na porta 80 para instâncias com o grupo de segurança especificado.

```
aws ec2 authorize-security-group-egress \
    --group-id sg-1234567890abcdef0 \
    --ip-permissions 'IpProtocol=tcp,FromPort=80,ToPort=80,UserIdGroupPairs=[{GroupId=sg-0aad1c26bb6EXAMPLE}]'
```

**Para remover regras de grupo de segurança**  
Use o seguinte comando [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) para remover uma regra de entrada.

```
aws ec2 revoke-security-group-egress \
    --group id sg-1234567890abcdef0 \
    --security-group-rule-ids sgr-09ed298024EXAMPLE
```

Use o seguinte comando [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) para remover uma regra de saída.

```
aws ec2 revoke-security-group-ingress \
    --group id sg-1234567890abcdef0 \
    --security-group-rule-ids sgr-0352250c1aEXAMPLE
```

**Para modificar regras do grupo de segurança**  
Use o comando [modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html). O exemplo a seguir altera o bloco CIDR IPv4 da regra do grupo de segurança especificado.

```
aws ec2 modify-security-group-rules \
    --group id sg-1234567890abcdef0 \
    --security-group-rules 'SecurityGroupRuleId=sgr-09ed298024EXAMPLE,SecurityGroupRule={IpProtocol=tcp,FromPort=80,ToPort=80,CidrIpv4=0.0.0.0/0}'
```

------
#### [ PowerShell ]

**Para adicionar regras de grupo de segurança**  
Use o cmdlet [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) para adicionar regras de entrada. O exemplo a seguir permite tráfego SSH de entrada proveniente dos blocos CIDR na lista de prefixos especificada.

```
$plid = New-Object -TypeName Amazon.EC2.Model.PrefixListId
$plid.Id = "pl-f8a6439156EXAMPLE"
Grant-EC2SecurityGroupIngress `
    -GroupId sg-1234567890abcdef0 `
    -IpPermission @{IpProtocol="tcp"; FromPort=22; ToPort=22; PrefixListIds=$plid}
```

Use o cmdlet [Grant-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html) para adicionar regras de saída. O exemplo a seguir permite tráfego TCP de saída na porta 80 para instâncias com o grupo de segurança especificado.

```
$uigp = New-Object -TypeName Amazon.EC2.Model.UserIdGroupPair
$uigp.GroupId = "sg-0aad1c26bb6EXAMPLE"
Grant-EC2SecurityGroupEgress `
    -GroupId sg-1234567890abcdef0 `
    -IpPermission @{IpProtocol="tcp"; FromPort=80; ToPort=80; UserIdGroupPairs=$uigp}
```

**Para remover regras de grupo de segurança**  
Use o cmdlet [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) para remover regras de entrada.

```
Revoke-EC2SecurityGroupIngress `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRuleId sgr-09ed298024EXAMPLE
```

Use o cmdlet [Revoke-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html) para remover regras de saída.

```
Revoke-EC2SecurityGroupEgress `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRuleId sgr-0352250c1aEXAMPLE
```

**Para modificar regras do grupo de segurança**  
Use o cmdlet [Edit-EC2SecurityGroupRule](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2SecurityGroupRule.html). O exemplo a seguir altera o bloco CIDR IPv4 da regra do grupo de segurança especificado.

```
$sgrr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleRequest
$sgrr.IpProtocol = "tcp"
$sgrr.FromPort = 80
$sgrr.ToPort = 80
$sgrr.CidrIpv4 = "0.0.0.0/0"
$sgr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleUpdate
$sgr.SecurityGroupRuleId = "sgr-09ed298024EXAMPLE"
$sgr.SecurityGroupRule = $sgrr
Edit-EC2SecurityGroupRule  `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRule $sgr
```

------

# Excluir um grupo de segurança do Amazon EC2
<a name="deleting-security-group"></a>

Quando você não precisar mais de um grupo de segurança que criou para usar com instâncias do Amazon EC2, poderá excluí-lo.

**Requisitos**
+ O grupo de segurança não pode ser associado a uma instância ou a uma interface de rede.
+ O grupo de segurança não pode ser referenciado por uma regra de outro grupo de segurança.

------
#### [ Console ]

**Para excluir um security group**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. (Opcional) Para verificar se o grupo de segurança não está associado a uma instância, faça o seguinte:

   1. No painel de navegação, escolha **Security Groups (Grupos de segurança)**.

   1. Copie o ID do grupo de segurança a ser excluído.

   1. No painel de navegação, escolha **Instâncias**.

   1. Na barra de pesquisa, adicione o filtro **IDs do grupo de segurança que são iguais a** e cole o ID do grupo de segurança. Se não houver resultados, então o grupo de segurança não está associado a uma instância. Caso contrário, você deverá desassociar o grupo de segurança antes de poder excluí-lo.

1. No painel de navegação, escolha **Security Groups (Grupos de segurança)**.

1. Selecione o grupo de segurança e escolha **Ações**, **Excluir grupos de segurança**.

1. Caso tenha selecionado mais de um grupo de segurança, será solicitada sua confirmação. Se alguns dos grupos de segurança não puderem ser excluídos, exibiremos o status de cada grupo de segurança, que indicará se ele será ou não excluído. Para confirmar a exclusão, insira **Excluir**.

1. Escolha **Excluir**.

------
#### [ AWS CLI ]

**Para excluir um security group**  
Use o seguinte comando [delete-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html).

```
aws ec2 delete-security-group --group-id sg-1234567890abcdef0
```

------
#### [ PowerShell ]

**Para excluir um security group**  
Use o cmdlet [Remove-EC2SecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2SecurityGroup.html).

```
Remove-EC2SecurityGroup -GroupId sg-1234567890abcdef0
```

------

# Rastreamento de conexão de grupo de segurança do Amazon EC2
<a name="security-group-connection-tracking"></a>

Os grupos de segurança usam o acompanhamento da conexão para acompanhar as informações sobre o tráfego de entrada e saída da instância. As regras são aplicadas com base no estado da conexão do tráfego para determinar se o tráfego é permitido ou negado. Com essa abordagem, os grupos de segurança são tipo com estado. Isso significa que as respostas ao tráfego de entrada têm permissão para sair da instância independentemente das regras do grupo de segurança de saída e vice-versa.

Por exemplo, suponha que você inicie um comando como netcat ou similar para instâncias de seu computador doméstico, e as regras de grupo de segurança de entrada permitam tráfego ICMP. As informações sobre a conexão (inclusive as informações da porta) são rastreadas. O tráfego de resposta da instância para o comando não é monitorado como uma nova solicitação, mas sim como uma conexão estabelecida e tem permissão para sair da instância, mesmo que as regras de seu grupo de segurança restrinjam o tráfego de saída ICMP.

Para protocolos diferentes de TCP, UDP ou ICMP, somente o endereço IP e o número do protocolo são acompanhados. Se a instância enviar tráfego para outro host e esse host iniciar o mesmo tipo de tráfego para a instância em 600 segundos, o grupo de segurança para a instância o aceitará independentemente das regras de entrada do grupo de segurança. O grupo de segurança aceitará isso, pois será considerado como tráfego de resposta para o tráfego original.

Quando você altera uma regra do grupo de segurança, suas conexões monitoradas não são imediatamente interrompidas. O grupo de segurança continua a permitir pacotes até o tempo limite das conexões existentes. Para garantir que o tráfego seja interrompido imediatamente, ou que todo o tráfego esteja sujeito às regras do firewall, independentemente do estado de monitoramento, será possível usar uma Network ACL para a sub-rede. As Network ACLs são stateless e, portanto, não permitem automaticamente o tráfego de resposta. A adição de uma ACL de rede que bloqueia o tráfego em qualquer direção quebra as conexões existentes. Para saber mais, consulte [Network ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) no *Guia do usuário da Amazon VPC*.

**nota**  
Os grupos de segurança não têm efeito sobre o tráfego de DNS de ou para o Route 53 Resolver, às vezes chamadas de “endereço IP VPC\$12” (consulte [O que é o Amazon Route 53 Resolver?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) no *Guia do desenvolvedor do Amazon Route 53*) ou o “AmazonProvidedDNS” (consulte [Trabalhar com conjuntos de opções de DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/DHCPOptionSet.html) no *Guia do usuário do Amazon Virtual Private Cloud*). Se você quiser filtrar solicitações de DNS por meio do Route 53 Resolver, é possível habilitar o Route 53 Resolver DNS Firewall (consulte [Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) no *Guia do desenvolvedor do Amazon Route 53*).

## Conexões não rastreadas
<a name="untracked-connections"></a>

Nem todos os fluxos de tráfego são acompanhados. Se uma regra do grupo de segurança permitir fluxos TCP ou UDP para todo o tráfego (0.0.0.0/0 ou ::/0) e houver uma regra correspondente na outra direção que permita todo o tráfego de resposta (0.0.0.0/0 ou ::/0) para qualquer porta (0-65535), esse fluxo de tráfego não será monitorado, a menos que faça parte de uma [conexão monitorada automaticamente](#automatic-tracking). O tráfego de resposta para um fluxo não monitorado é permitido com base na regra de entrada ou de saída que permite o tráfego de resposta, e não é baseado nas informações de monitoramento.

Um fluxo de tráfego não acompanhado será interrompido imediatamente se a regra que permite o fluxo for removida ou alterada. Por exemplo, se você tiver uma regra de saída aberta (0.0.0.0/0) e remover uma regra que permita todo tráfego (porta TCP 22) SSH de entrada (0.0.0.0/0) para a instância (ou modificá-la de forma que a conexão não seja mais permitida), suas conexões SSH existentes na instância serão imediatamente descartadas. A conexão não estava sendo rastreada anteriormente, então a alteração interromperá a conexão. Por outro lado, se você tiver uma regra de entrada mais restrita que inicialmente permita uma conexão SSH (o que significa que a conexão foi monitorada), mas altere essa regra para não permitir mais novas conexões do endereço do cliente SSH atual, a conexão existente não será interrompida pela alteração da regra.

## Conexões rastreadas automaticamente
<a name="automatic-tracking"></a>

As conexões feitas a seguir são monitoradas automaticamente, mesmo que a configuração do grupo de segurança não exija monitoramento:
+ Gateways da Internet apenas de saída
+ Aceleradoras do Global Accelerator
+ Gateways NAT
+ Endpoints do Network Firewall
+ Network Load Balancers
+ AWS PrivateLink (endpoints da VPC de interface)
+ AWS Lambda (Interfaces de rede elástica hiperplanas)
+ Endpoints de gateway do DynamoDB: cada conexão com o DynamoDB consome duas entradas da funcionalidade conntrack.

## Subsídios para monitoramento de conexão
<a name="connection-tracking-throttling"></a>

O Amazon EC2 define um número máximo de conexões que podem ser rastreadas por instância. Depois que o máximo é atingido, todos os pacotes enviados ou recebidos são descartados, porque não é possível estabelecer uma nova conexão. Quando isso acontece, as aplicações que enviam e recebem pacotes não podem se comunicar corretamente. Use a métrica de desempenho da rede `conntrack_allowance_available` para determinar o número de conexões rastreadas ainda disponíveis para esse tipo de instância.

Para determinar se os pacotes foram descartados porque o tráfego de rede para sua instância excedeu o número máximo de conexões que podem ser rastreadas, use a métrica `conntrack_allowance_exceeded` de performance de rede. Para obter mais informações, consulte [Monitorar o desempenho de rede de instâncias do EC2](monitoring-network-performance-ena.md).

Com o Elastic Load Balancing, se você exceder o número máximo de conexões que podem ser rastreadas por instância, recomendamos que escale o número de instâncias registradas com o balanceador de carga ou o tamanho das instâncias registradas com o balanceador de carga.

## Práticas recomendadas para monitoramento de conexões
<a name="connection-tracking-performance"></a>

O roteamento assimétrico, em que o tráfego entra em uma instância por meio de uma interface de rede e sai por meio de uma interface de rede diferente, pode reduzir a performance máxima que uma instância poderá alcançar se os fluxos forem rastreados.

Para manter a performance máxima e otimizar o gerenciamento de conexões quando o monitoramento de conexões estiver habilitado para os grupos de segurança, recomendamos a seguinte configuração:
+ Evite topologias de roteamento assimétrico, se possível.
+ Em vez de usar grupos de segurança para filtragem, use ACLs de rede.
+ Se você precisar usar grupos de segurança com rastreamento de conexão, configure o menor possível de tempo limite do rastreio de conexões inativas. Para obter mais informações sobre o tempo limite do rastreio de conexões inativas, consulte a seção a seguir.
+ Devido aos tempos de espera padrão mais curtos nas instâncias Nitrov6, as aplicações com conexões de longa duração (como conjuntos de conexões de banco de dados, conexões HTTP persistentes ou cargas de trabalho de streaming) devem definir um valor adequado para o `TcpEstablishedTimeout` no momento da inicialização da instância.
+ Para conexões de longa duração, configure os keep alives do TCP para enviar pacotes de verificação em intervalos de menos de 5 minutos para garantir que as conexões permaneçam abertas e mantenham seu estado rastreado. Isso ajuda a evitar que as conexões sejam encerradas devido ao tempo de limite de inatividade e reduz a sobrecarga associada ao restabelecimento das conexões.

Para obter mais informações sobre a performance do ajuste no sistema Nitro, consulte [Considerações sobre o Nitro System para ajuste de performance](ena-nitro-perf.md).

## Tempo limite de rastreamento de conexão ociosa
<a name="connection-tracking-timeouts"></a>

O grupo de segurança monitora cada conexão estabelecida para garantir que os pacotes de retorno sejam entregues como esperado. Há um número máximo de conexões que podem ser rastreadas por instância. As conexões que permanecem ociosas podem levar à exaustão do rastreamento da conexão e fazer com que as conexões não sejam rastreadas e os pacotes sejam descartados. É possível definir o tempo limite de rastreamento de conexões em uma interface de rede do Elastic.

**nota**  
Esse recurso só está disponível para [instâncias baseadas em Nitro](instance-types.md#instance-hypervisor-type). Você deve testar as aplicações em instâncias da geração Nitrov6 com o tempo limite padrão reduzido de `350` segundos para rastreamento de conexão antes de implantá-las em produção.

Há três tempos limite configuráveis:
+ **Tempo limite para TCP estabelecido**: tempo limite (em segundos) para conexões TCP ociosas em um estado estabelecido.
  + Mín: `60` segundos
  + Máx: `432000` segundos
  + Padrão: `350` segundos para tipos de instância [Nitrov6](https://docs.aws.amazon.com/ec2/latest/instancetypes/ec2-nitro-instances.html), excluindo P6e-GB200. E `432000` segundos para outros tipos de instâncias, incluindo P6e-GB200.
  + Recomendado: menos de `432000` segundos
+ **Tempo limite de UDP**: tempo limite (em segundos) para fluxos UDP ociosos que só tiverem tráfego em uma única direção ou uma única transação de solicitação-resposta.
  + Mín: `30` segundos
  + Máx: `60` segundos
  + Padrão: `30` segundos
+ **Tempo limite de fluxo UDP**: tempo limite (em segundos) para fluxos UDP ociosos classificados como fluxos que tiveram mais de uma transação de solicitação-resposta.
  + Mín: `60` segundos
  + Máx: `180` segundos
  + Padrão: `180` segundos

Talvez você queira modificar os tempos limite padrão para algum dos seguintes casos:
+  Se você estiver [monitorando conexões rastreadas usando as métricas de performance de rede do Amazon EC2](monitoring-network-performance-ena.md), as métricas *conntrack\$1allowance\$1exceeded* e *conntrack\$1allowance\$1available* permitem monitorar os pacotes descartados e a utilização da conexão rastreada para gerenciar proativamente a capacidade da instância do EC2 com ações de aumento ou redução de escala para ajudar a atender à demanda de conexões de rede antes de descartar pacotes. Se você estiver observando quedas de *conntrack\$1allowance\$1exceeded* nas instâncias do EC2, pode ser benéfico definir um tempo limite de TCP estabelecido mais baixo para levar em conta sessões TCP/UDP paralisadas devido a clientes ou caixas intermediárias de rede inadequados.
+ Normalmente, os balanceadores de carga ou os firewalls têm um tempo limite de ociosidade de TCP estabelecido na faixa de 60 a 90 minutos. Se você estiver executando workloads que devem lidar com um número muito alto de conexões (mais de 100 mil) de dispositivos como firewalls de rede, é recomendável configurar um tempo limite semelhante em uma interface de rede do EC2.
+ Se você estiver executando uma workload que utiliza uma topologia de roteamento assimétrico, recomendamos que você configure um tempo limite de inatividade estabelecido por TCP de 60 segundos.
+ Se você estiver executando workloads com um grande número de conexões, como DNS, SIP, SNMP, Syslog, Radius e outros serviços que usam principalmente UDP para atender a solicitações, definir o tempo limite do ‘fluxo UDP’ como 60 segundos proporciona maior escala/performance para a capacidade existente e evita falhas cinzentas.
+ Em conexões TCP/UDP por Network Load Balancers (NLBs), todas as conexões são rastreadas. O valor do tempo limite de ociosidade para fluxos TCP é de 350 segundos e para fluxos UDP é de 120 segundos e difere dos valores de tempo limite do nível da interface. Talvez você queira configurar limites de tempos no nível da interface de rede para permitir mais flexibilidade de limite de tempo do que os padrões para o balanceador de carga.

Você tem a opção de configurar os tempos limite de rastreamento de conexão ao fazer o seguinte:
+ [Criar uma interface de rede](create-network-interface.md)
+ [Modificar atributos da interface de rede](modify-network-interface-attributes.md)
+ [Iniciar uma instância do EC2](ec2-instance-launch-parameters.md#liw-network-settings)
+ [Criar um modelo de inicialização de instância do EC2](ec2-instance-launch-parameters.md#liw-network-settings)

## Exemplo
<a name="connection-tracking-example"></a>

No exemplo a seguir, o grupo de segurança tem regras de entrada específicas para tráfego TCP e ICMP, e uma regra de saída que permite todo o tráfego de saída.


**Entrada**  

| Tipo de protocolo | Número da porta | Origem | 
| --- | --- | --- | 
| TCP  | 22 (SSH) | 203.0.113.1/32 | 
| TCP  | 80 (HTTP) | 0.0.0.0/0 | 
| TCP  | 80 (HTTP) | ::/0 | 
| ICMP | Todos | 0.0.0.0/0 | 


**Saída**  

| Tipo de protocolo | Número da porta | Destino | 
| --- | --- | --- | 
| Todos | Tudo | 0.0.0.0/0 | 
| Tudo | Tudo | ::/0 | 

Com uma conexão de rede direta com a instância ou interface de rede, o comportamento de rastreamento é o seguinte:
+ O tráfego TCP de entrada e saída na porta 22 (SSH) é monitorado porque a regra de entrada permite o tráfego somente de 203.0.113.1/32, e não de todos os endereços IP (0.0.0.0/0).
+ O tráfego TCP de entrada e de saída na porta 80 (HTTP) não é monitorado porque as regras de entrada e saída permitem o tráfego de todos os endereços IP.
+ O tráfego ICMP é sempre monitorado.

Se você remover a regra de saída para o tráfego IPv4, todo o tráfego IPv4 de entrada e saída será monitorado, incluindo o tráfego na porta 80 (HTTP). O mesmo se aplica ao tráfego IPv6 se você remover a regra de saída para o tráfego IPv6.

# Regras de grupo de segurança para diferentes casos de uso
<a name="security-group-rules-reference"></a>

É possível criar um grupo de segurança e adicionar regras que reflitam a função da instância associada ao grupo de segurança. Por exemplo, uma instância configurada como servidor Web precisa de regras de grupo de segurança que permitam acesso HTTP e HTTPS de entrada. Da mesma forma, uma instância de banco de dados precisa de regras que permitam o acesso para o tipo de banco de dados, como acesso pela porta 3306 para MySQL.

Os seguintes são exemplos de tipos de regras que é possível adicionar aos grupos de segurança para tipos específicos de acesso.

**Topics**
+ [

## Regras do servidor da Web
](#sg-rules-web-server)
+ [

## Regras do servidor de banco de dados
](#sg-rules-db-server)
+ [

## Regras para se conectar a instâncias pelo computador
](#sg-rules-local-access)
+ [

## Regras para se conectar a instâncias por uma instâncias com o mesmo grupo de segurança
](#sg-rules-other-instances)
+ [

## Regras de ping/ICMP
](#sg-rules-ping)
+ [

## Regras do servidor DNS
](#sg-rules-dns)
+ [

## Regras do Amazon EFS
](#sg-rules-efs)
+ [

## Regras do Elastic Load Balancing
](#sg-rules-elb)

Para obter instruções, consulte [Criar um grupo de segurança](creating-security-group.md) e [Configurar regras de grupos de segurança](changing-security-group.md#add-remove-security-group-rules).

## Regras do servidor da Web
<a name="sg-rules-web-server"></a>

As seguintes regras de entrada permitem acesso HTTP e HTTPS de qualquer endereço IP. Se a VPC estiver habilitada para IPv6, será possível adicionar regras para controlar o tráfego de entrada HTTP e HTTPS em endereços IPv6.


| Tipo de protocolo | Número do protocolo | Porta | IP de origem | Observações | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Permite acesso HTTP de entrada em qualquer endereço IPv4 | 
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Permite acesso HTTPS de entrada em qualquer endereço IPv4 | 
| TCP | 6 | 80 (HTTP) | ::/0 | Permite acesso HTTP de entrada em qualquer endereço IPv6 | 
| TCP | 6 | 443 (HTTPS) | ::/0 | Permite acesso HTTPS de entrada em qualquer endereço IPv6 | 

## Regras do servidor de banco de dados
<a name="sg-rules-db-server"></a>

As seguintes regras de entrada são exemplos de regras que é possível adicionar para acesso ao banco de dados, dependendo do tipo de banco de dados que você está executando na instância. Para obter mais informações sobre instâncias do Amazon RDS, consulte o [Manual do usuário do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/).

Para o IP de origem, especifique um dos seguintes:
+ Um endereço IP específico ou um intervalo de endereços IP (na notação de bloco CIDR) em sua rede local
+ Um ID de grupo de segurança para um grupo de instâncias que acessa o banco de dados


| Tipo de protocolo | Número do protocolo | Porta | Observações | 
| --- | --- | --- | --- | 
| TCP | 6 | 1433 (MS SQL) | A porta padrão para acessar um banco de dados Microsoft SQL Server, por exemplo, em uma instância do Amazon RDS | 
| TCP | 6 | 3306 (MYSQL/Aurora) | A porta padrão para acessar um banco de dados MySQL ou Aurora, por exemplo, em uma instância do Amazon RDS | 
| TCP | 6 | 5439 (Redshift) | A porta padrão para acessar um banco de dados de cluster do Amazon Redshift. | 
| TCP | 6 | 5432 (PostgreSQL) | A porta padrão para acessar um banco de dados PostgreSQL, por exemplo, em uma instância do Amazon RDS | 
| TCP | 6 | 1521 (Oracle) | A porta padrão para acessar um banco de dados Oracle, por exemplo, em uma instância do Amazon RDS | 

Também é possível restringir o tráfego de saída de seus servidores de banco de dados. Por exemplo, talvez você queira permitir o acesso à Internet para atualizações de software, mas restringir todos os outros tipos de tráfego. Primeiro, remova a regra de saída padrão que permite todo o tráfego de saída.


| Tipo de protocolo | Número do protocolo | Porta | IP de destino | Observações | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Permite acesso HTTP de saída a qualquer endereço IPv4 | 
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Permite acesso HTTPS de saída a qualquer endereço IPv4 | 
| TCP | 6 | 80 (HTTP) | ::/0 | (VPC habilitada para IPv6 somente) Permite acesso de saída HTTP a qualquer endereço IPv6 | 
| TCP | 6 | 443 (HTTPS) | ::/0 | (VPC habilitada para IPv6 somente) Permite acesso de saída HTTPS a qualquer endereço IPv6 | 

## Regras para se conectar a instâncias pelo computador
<a name="sg-rules-local-access"></a>

Para se conectar à instância, seu grupo de segurança deve ter regras de entrada que permitam acesso SSH (para instâncias do Linux) ou acesso RDP (para instâncias do Windows).


| Tipo de protocolo | Número do protocolo | Porta | IP de origem | 
| --- | --- | --- | --- | 
| TCP | 6 | 22 (SSH) | O endereço IPv4 público de seu computador ou um intervalo de endereços IP na rede local. Se a VPC estiver habilitada para IPv6 e sua instância tiver um endereço IPv6, será possível digitar um endereço IPv6 ou um intervalo. | 
| TCP | 6 | 3389 (RDP) | O endereço IPv4 público de seu computador ou um intervalo de endereços IP na rede local. Se a VPC estiver habilitada para IPv6 e sua instância tiver um endereço IPv6, será possível digitar um endereço IPv6 ou um intervalo. | 

## Regras para se conectar a instâncias por uma instâncias com o mesmo grupo de segurança
<a name="sg-rules-other-instances"></a>

Para permitir que as instâncias associadas ao mesmo grupo de segurança se comuniquem entre si, adicione regras explícitas para isso. 

**nota**  
Se você configurar rotas para encaminhar o tráfego entre duas instâncias em sub-redes diferentes por meio de um dispositivo middlebox, deverá garantir que os grupos de segurança de ambas as instâncias permitam o fluxo de tráfego entre as instâncias. O grupo de segurança para cada instância deve fazer referência ao endereço IP privado da outra instância ou ao intervalo CIDR da sub-rede que contém a outra instância, como a origem. Se você fizer referência ao grupo de segurança da outra instância como a origem, isso não permitirá que o tráfego flua entre as instâncias.

A tabela a seguir descreve a regra de entrada para um grupo de segurança que permite que as instâncias associadas se comuniquem entre si. A regra permite todos os tipos de tráfego.


| Tipo de protocolo | Número do protocolo | Portas | IP de origem | 
| --- | --- | --- | --- | 
| -1 (todos) | -1 (todos) | -1 (todos) | O ID do grupo de segurança ou o intervalo CIDR da sub-rede que contém a outra instância (consulte a observação). | 

## Regras de ping/ICMP
<a name="sg-rules-ping"></a>

O comando **ping** é um tipo de tráfego ICMP. Para emitir um ping para a instância,você deve adicionar uma das seguintes regras de entrada ICMP.


| Tipo | Protocolo | Origem | 
| --- | --- | --- | 
| ICMP personalizado: IPv4 | Solicitação de eco | O endereço IPv4 público do computador, um endereço IPv4 específico ou um endereço IPv4 ou IPv6 de qualquer lugar. | 
| Todos os ICMP - IPv4 | ICMP IPv4 (1) | O endereço IPv4 público do computador, um endereço IPv4 específico ou um endereço IPv4 ou IPv6 de qualquer lugar. | 

Para usar o comando **ping6** para fazer ping no endereço IPv6 da instância, adicione a seguinte regra ICMPv6 de entrada.


| Tipo | Protocolo | Origem | 
| --- | --- | --- | 
| Todos os ICMP: IPv6 | ICMP Pv6 (58) | O endereço IPv6 do computador, um endereço IPv4 específico ou um endereço IPv4 ou IPv6 de qualquer lugar. | 

## Regras do servidor DNS
<a name="sg-rules-dns"></a>

Se tiver configurado a instância do EC2 como um servidor DNS, você deverá garantir que o tráfego TCP e UDP possa atingir seu servidor DNS pela porta 53. 

Para o IP de origem, especifique um dos seguintes:
+ Um endereço IP ou um intervalo de endereços IP (na notação de bloco CIDR) em uma rede
+ O ID de um grupo de segurança de um conjunto de instâncias na rede que requer acesso ao servidor DNS


| Tipo de protocolo | Número do protocolo | Porta | 
| --- | --- | --- | 
| TCP | 6 | 53 | 
| UDP | 17 | 53 | 

## Regras do Amazon EFS
<a name="sg-rules-efs"></a>

Se estiver usando um sistema de arquivos do Amazon EFS com instâncias do Amazon EC2, o grupo de segurança que você associa a seus destinos de montagem do Amazon EFS deve permitir tráfego por meio do protocolo NFS. 


| Tipo de protocolo | Número do protocolo | Portas | IP de origem | Observações | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 2049 (NFS) | O ID do grupo de segurança | Permite acesso NFS de entrada de recursos (incluindo o destino de montagem) associados a esse grupo de segurança | 

Para montar um sistema de arquivos do Amazon EFS na instância do Amazon EC2, conecte-se à instância. Portanto, o grupo de segurança associado à instância deve ter regras que permitam SSH de entrada do computador local ou da rede local.


| Tipo de protocolo | Número do protocolo | Portas | IP de origem | Observações | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 22 (SSH) | O intervalo de endereços IP do computador local ou o intervalo de endereços IP (na notação de bloco CIDR) da rede. | Permite acesso SSH de entrada no computador local. | 

## Regras do Elastic Load Balancing
<a name="sg-rules-elb"></a>

Se você registrar as instâncias do EC2 com um balanceador de carga, o grupo de segurança associado ao balanceador de carga deverá permitir comunicação com as instâncias. Para obter mais informações, consulte os tópicos a seguir na documentação do Elastic Load Balancing.
+ [Grupos de segurança para o Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-update-security-groups.html)
+ [Grupos de segurança para o Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-security-groups.html)
+ [Configurar grupos de segurança para o Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-vpc-security-groups.html)