# Grupos de segurança para o EC2 Instance Connect Endpoint
<a name="eice-security-groups"></a>

Um grupo de segurança controla o tráfego que tem permissão para acessar e sair dos recursos aos quais está associado. Por exemplo, negamos tráfego de e para uma instância do Amazon EC2, a menos que seja especificamente permitido pelos grupos de segurança associados à instância.

Os exemplos a seguir mostram como configurar as regras do grupo de segurança para o EC2 Instance Connect Endpoint e as instâncias de destino.

**Topics**
+ [Regras de grupo de segurança para o EC2 Instance Connect Endpoint](#eice-security-group-rules)
+ [Regras do grupo de segurança da instância de destino](#resource-security-group-rules)

## Regras de grupo de segurança para o EC2 Instance Connect Endpoint
<a name="eice-security-group-rules"></a>

As regras de grupo de segurança para um EC2 Instance Connect Endpoint devem permitir que o tráfego de saída para as instâncias de destino deixem o endpoint. É possível especificar o grupo de segurança da instância ou o intervalo de endereços IPv4 ou iPv6 da VPC como o destino.

O tráfego para o endpoint é proveniente do EC2 Instance Connect Endpoint Service e é permitido independentemente das regras de entrada do grupo de segurança do endpoint. Para controlar quem pode usar o endpoint do EC2 Instance Connect para se conectar a uma instância, use uma política do IAM. Para obter mais informações, consulte [Permissões para usar o EC2 Instance Connect Endpoint para se conectar às instâncias](permissions-for-ec2-instance-connect-endpoint.md#iam-OpenTunnel).

**Exemplo de regra de saída: referência a grupos de segurança**  
O exemplo a seguir usa referência a grupos de segurança, o que significa que o destino é um grupo de segurança associado às instâncias de destino. Essa regra permite tráfego de saída do endpoint para todas as instâncias que usam esse grupo de segurança.


| Protocolo | Destino | Intervalo de portas | Comment | 
| --- | --- | --- | --- | 
| TCP | ID do grupo de segurança da instância | 22 | Permite tráfego SSH de saída para todas as instâncias associadas ao grupo de segurança da instância | 

**Exemplo de regra de saída: intervalo de endereços IPv4**  
O exemplo a seguir permite tráfego de saída para o intervalo de endereços IPv4 especificado. Os endereços IPv4 de uma instância são atribuídos a partir de sua sub-rede para que você possa usar o intervalo de endereços IPv4 da VPC.


| Protocolo | Destino | Intervalo de portas | Comment | 
| --- | --- | --- | --- | 
| TCP | CIDR IPv4 da VPC | 22 | Permite tráfego SSH de saída para a VPC | 

**Exemplo de regra de saída: intervalo de endereços IPv6**  
O exemplo a seguir permite tráfego de saída para o intervalo de endereços IPv6 especificado. Os endereços IPv6 de uma instância são atribuídos a partir de sua sub-rede para que você possa usar o intervalo de endereços IPv6 da VPC.


| Protocolo | Destino | Intervalo de portas | Comment | 
| --- | --- | --- | --- | 
| TCP | CIDR IPv6 da VPC | 22 | Permite tráfego SSH de saída para a VPC | 

## Regras do grupo de segurança da instância de destino
<a name="resource-security-group-rules"></a>

As regras do grupo de segurança para instâncias de destino devem permitir o tráfego de entrada do EC2 Instance Connect Endpoint. É possível especificar o grupo de segurança do endpoint ou um intervalo de endereços IPv4 ou IPv6 como origem. Se você especificar um intervalo de endereços IPv4, a origem dependerá se a preservação do IP do cliente está desativada ou ativada. Para obter mais informações, consulte [Considerações](connect-with-ec2-instance-connect-endpoint.md#ec2-instance-connect-endpoint-prerequisites).

Como os grupos de segurança são stateful, o tráfego de resposta tem permissão para sair da VPC, independentemente das regras de saída do grupo de segurança da instância.

**Exemplo de regra de entrada: referência a grupos de segurança**  
O exemplo a seguir usa referência a grupos de segurança, o que significa que a origem é o grupo de segurança associado ao endpoint. Essa regra permite tráfego SSH de entrada do endpoint para todas as instâncias que usam esse grupo de segurança, independentemente de a preservação do IP do cliente estar ativada ou desativada. Se não houver outras regras do grupo de segurança de entrada para SSH, as instâncias aceitarão tráfego SSH somente do endpoint.


| Protocolo | Origem | Intervalo de portas | Comment | 
| --- | --- | --- | --- | 
| TCP | ID do grupo de segurança do endpoint | 22 | Permite tráfego SSH de entrada dos recursos associados ao grupo de segurança do endpoint | 

**Exemplo de regra de entrada: preservação do IP do cliente desativada**  
O exemplo a seguir permite tráfego SSH de entrada do intervalo de endereços IPv4 especificado. Como a preservação do IP do cliente está desativada, o endereço IPv4 de origem é o endereço da interface de rede do endpoint. O endereço da interface de rede do endpoint é atribuído a partir de sua sub-rede, então você pode usar o intervalo de endereços IPv4 da VPC para permitir conexões com todas as instâncias na VPC.


| Protocolo | Origem | Intervalo de portas | Comment | 
| --- | --- | --- | --- | 
| TCP | CIDR IPv4 da VPC | 22 | Permitir tráfego de entrada SSH da VPC | 

**Exemplo de regra de entrada: preservação do IP do cliente ativada**  
O exemplo a seguir permite tráfego SSH de entrada do intervalo de endereços IPv4 especificado. Como a preservação do IP do cliente está ativada, o endereço IPv4 de origem é o endereço do cliente.


| Protocolo | Origem | Intervalo de portas | Comment | 
| --- | --- | --- | --- | 
| TCP | Intervalo de endereços IPv4 públicos | 22 | Permite tráfego de entrada do intervalo de endereços IPv4 do cliente especificado. |