VPCconfigurações para ambientes AWS Cloud9 de desenvolvimento - AWS Cloud9
VPCRequisitos da Amazon para AWS Cloud9Crie VPC mais outros VPC recursosCrie um VPC únicoCrie uma sub-rede para AWS Cloud9Configurar uma sub-rede como pública ou privada

AWS Cloud9 não está mais disponível para novos clientes. Os clientes atuais do AWS Cloud9 podem continuar usando o serviço normalmente. Saiba mais

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

VPCconfigurações para ambientes AWS Cloud9 de desenvolvimento

Todo ambiente de AWS Cloud9 desenvolvimento associado a uma Amazon Virtual Private Cloud (AmazonVPC) deve atender a VPC requisitos específicos. Esses ambientes incluem EC2 ambientes e SSH ambientes associados a instâncias de Nuvem AWS computação executadas em umVPC. Os exemplos incluem instâncias da Amazon EC2 e do Amazon Lightsail.

VPCRequisitos da Amazon para AWS Cloud9

A Amazon VPC que AWS Cloud9 usa exige as seguintes configurações. Se você já está familiarizado com esses requisitos e deseja apenas criar um compatívelVPC, vá paraCrie VPC mais outros VPC recursos.

Use a lista de verificação a seguir para confirmar se VPC atende a todos os requisitos a seguir:

  • O VPC pode estar no mesmo Conta da AWS ambiente de AWS Cloud9 desenvolvimento ou VPC pode ser compartilhado VPC em um ambiente Conta da AWS diferente do ambiente. Região da AWS No entanto, eles VPC devem estar no Região da AWS mesmo ambiente. Para obter mais informações sobre a Amazon VPCs for an Região da AWS, consulteVeja uma lista de VPCs para um Região da AWS. Para obter mais instruções sobre como criar uma Amazon VPC para AWS Cloud9, consulteCrie VPC mais outros VPC recursos. Para obter informações sobre como trabalhar com a Amazon compartilhadaVPCs, consulte Como trabalhar com a Amazon compartilhada VPCs no Guia VPC do usuário da Amazon.

  • É VPC necessário ter uma sub-rede pública. Uma sub-rede é pública se o tráfego é roteado para um gateway da Internet. Para obter uma lista de sub-redes de uma AmazonVPC, consulte. Exibir uma lista de sub-redes para um VPC

  • No entanto, se seu ambiente estiver acessando a EC2 instância diretamenteSSH, ela poderá ser executada somente em uma sub-rede pública. Para obter informações sobre como confirmar se uma sub-rede é pública, consulte Confirme se a sub-rede é pública.

  • Se você estiver acessando uma EC2instância Amazon sem entrada usando o Systems Manager, a instância pode ser executada em uma sub-rede pública ou privada.

  • Se você estiver usando uma sub-rede pública, conecte um gateway de internet aoVPC. Isso é assim que o AWS Systems Manager Agent (SSM Agent) para que a instância possa se conectar ao Systems Manager.

  • Se você estiver usando uma sub-rede privada, permita que a instância da sub-rede se comunique com a Internet hospedando um NAT gateway em uma sub-rede pública. Para obter mais informações sobre como visualizar ou alterar as configurações de um gateway da Internet, consulte Visualizar ou alterar configurações de um gateway da Internet.

  • A sub-rede pública deve ter uma tabela de rotas com um conjunto mínimo de rotas. Para obter mais informações sobre como confirmar se uma sub-rede tem uma tabela de rotas, consulte Confirme se uma sub-rede tem uma tabela de rotas. Para obter informações sobre como criar essa tabela de rotas, consulte Crie uma tabela de rotas.

  • Os grupos de segurança associados à VPC (ou à instância de Nuvem AWS computação, dependendo da sua arquitetura) devem permitir um conjunto mínimo de tráfego de entrada e saída. Para obter uma lista de grupos de segurança para uma AmazonVPC, consulteVeja uma lista de grupos de segurança para um VPC. Para obter mais informações sobre a criação de um grupo de segurança em uma AmazonVPC, consulteCrie um grupo de segurança em um VPC.

  • Para uma camada adicional de segurança, se VPC tiver uma redeACL, a rede ACL deve permitir um conjunto mínimo de tráfego de entrada e saída. Para confirmar se uma Amazon VPC tem pelo menos uma redeACL, consulteConfirme se a VPC tem pelo menos uma rede ACL. Para obter informações sobre como criar uma redeACL, consulteCrie uma rede ACL.

  • Se seu ambiente de desenvolvimento estiver sendo usado SSM para acessar uma EC2 instância, certifique-se de que a instância tenha um endereço IP público atribuído pela sub-rede pública na qual ela foi lançada. Para fazer isso, você deve habilitar a opção de atribuição automática de endereço IP público para a sub-rede pública e configurá-la como Yes. Você pode habilitar isso na sub-rede pública antes de criar um ambiente do AWS Cloud9 na página de configurações da sub-rede. Para as etapas envolvidas na modificação das configurações de IP de atribuição automática em uma sub-rede pública, consulte Modificar o atributo de IPv4 endereçamento público para sua sub-rede no Guia do usuário da Amazon. VPC Para obter mais informações sobre como configurar uma sub-rede pública e privada, consulte Configurar uma sub-rede como pública ou privada

nota

Para os procedimentos a seguir, faça login AWS Management Console e use as credenciais de administrador para abrir o console da Amazon (https://console.aws.amazon.com/vpc) ou o VPC console da Amazon EC2 (https://console.aws.amazon.com/ec2).

Se você usar o AWS CLI ou o AWS CloudShell, recomendamos que você configure o AWS CLI ou o AWS CloudShell com as credenciais de um administrador em seu Conta da AWS. Se você não conseguir fazer isso, verifique com seu Conta da AWS administrador.

Veja uma lista de VPCs para um Região da AWS

Para usar o VPC console da Amazon, na barra de AWS navegação, escolha aquele em Região da AWS que o ambiente é AWS Cloud9 criado. Em seguida, escolha Seu VPCs no painel de navegação.

Para usar o AWS CLI ou o AWS CloudShell, execute o EC2 describe-vpcscomando Amazon, por exemplo, da seguinte maneira.

aws ec2 describe-vpcs --output table --query 'Vpcs[*].VpcId' --region us-east-2

No comando anterior, us-east-2 substitua pelo Região da AWS que AWS Cloud9 cria o ambiente em. Para executar o comando anterior no Windows, substitua as aspas simples (' ')por aspas duplas (" "). Para executar o comando anterior com o aws-shell, omita aws.

A saída contém a lista de VPCIDs.

Exibir uma lista de sub-redes para um VPC

Para usar o VPC console da Amazon, escolha Seu VPCs no painel de navegação. Anote o ID do VPC na coluna VPCID. Em seguida, escolha Sub-redes no painel de navegação e procure sub-redes que contenham essa ID na coluna. VPC

Para usar o AWS CLI ou oaws-shell, execute o EC2 describe-subnetscomando Amazon, por exemplo, da seguinte maneira.

aws ec2 describe-subnets --output table --query 'Subnets[*].[SubnetId,VpcId]' --region us-east-2

No comando anterior, us-east-2 substitua pelo Região da AWS que contém as sub-redes. Para executar o comando anterior no Windows, substitua as aspas simples (' ')por aspas duplas (" "). Para executar o comando anterior com o aws-shell, omita aws.

Na saída, procure sub-redes que correspondam ao VPC ID.

Confirme se a sub-rede é pública

Importante

Suponha que você esteja iniciando a EC2 instância do seu ambiente em uma sub-rede privada. Certifique-se de que o tráfego de saída seja permitido nessa instância para que ela possa se conectar ao SSM serviço. Para sub-redes privadas, o tráfego de saída geralmente é configurado por meio de um gateway ou endpoints de conversão de endereços de rede (NAT). VPC (Um NAT gateway requer uma sub-rede pública.)

Suponha que você escolha VPC endpoints em vez de um NAT gateway para acessoSSM. As atualizações automáticas e os patches de segurança para sua instância poderão não funcionar se dependerem do acesso à Internet. Você pode usar outros aplicativos, como o AWS Systems Manager Patch Manager, para gerenciar quaisquer atualizações de software que seu ambiente possa exigir. AWS Cloud9 o software será atualizado normalmente.

Para usar o VPC console da Amazon, escolha Subnets no painel de navegação. Selecione a caixa ao lado da sub-rede que você deseja AWS Cloud9 usar. Na guia Route Table (Tabela de rotas), se houver uma entrada na coluna Target (Destino) que começa com igw-, a sub-rede é pública.

Para usar o AWS CLI ou oaws-shell, execute o EC2 describe-route-tablescomando Amazon.

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b

No comando anterior, us-east-2 substitua pelo Região da AWS que contém a sub-rede e subnet-12a3456b substitua pelo ID da sub-rede. Para executar o comando anterior no Windows, substitua as aspas simples (' ')por aspas duplas (" "). Para executar o comando anterior com o aws-shell, omita aws.

Na saída, se houver pelo menos um resultado que começa com igw-, a sub-rede é pública.

Na saída, se não houver resultados, a tabela de rotas poderá estar associada à, VPC em vez da sub-rede. Para confirmar isso, execute o EC2 describe-route-tablescomando da Amazon para o VPC relacionado à sub-rede em vez da própria sub-rede, por exemplo, da seguinte forma.

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-1 --filters Name=vpc-id,Values=vpc-1234ab56

No comando anterior, us-east-2 substitua pelo Região da AWS que contém o VPC e vpc-1234ab56 substitua pelo VPC ID. Para executar o comando anterior no Windows, substitua as aspas simples (' ')por aspas duplas (" "). Para executar o comando anterior com o aws-shell, omita aws.

Na saída, se houver pelo menos um resultado que comece comigw-, ele VPC contém um gateway de internet.

Visualizar ou alterar configurações de um gateway da Internet

Para usar o VPC console da Amazon, escolha Internet Gateways no painel de navegação. Marque a caixa ao lado do gateway da Internet. Para ver as configurações, examine cada uma das guias. Para alterar uma configuração em uma tabela, selecione Editar, se apropriado, e siga as instruções na tela.

Para usar o AWS CLI ou o aws-shell para ver as configurações, execute o EC2 describe-internet-gatewayscomando Amazon.

aws ec2 describe-internet-gateways --output table --region us-east-2 --internet-gateway-id igw-1234ab5c

No comando anterior, us-east-2 substitua pelo Região da AWS que contém o gateway da Internet e igw-1234ab5c substitua pelo ID do gateway da Internet. Para executar o comando anterior com o aws-shell, omita aws.

Criar um gateway da internet

Para usar o VPC console da Amazon, escolha Internet Gateways no painel de navegação. Selecione Create Internet Gateway (Criar gateway da Internet) e siga as instruções na tela.

Para usar o AWS CLI ou oaws-shell, execute o EC2 create-internet-gatewaycomando Amazon.

aws ec2 create-internet-gateway --output text --query 'InternetGateway.InternetGatewayId' --region us-east-2

No comando anterior, us-east-2 substitua pelo Região da AWS que contém o novo gateway da Internet. Para executar o comando anterior no Windows, substitua as aspas simples (' ')por aspas duplas (" "). Para executar o comando anterior com o aws-shell, omita aws.

A saída contém o ID do novo gateway da Internet.

Conecte um gateway de internet a um VPC

Para usar o VPC console da Amazon, escolha Internet Gateways no painel de navegação. Marque a caixa ao lado do gateway da Internet. Escolha Ações, Anexar a, VPC se disponível, e siga as instruções na tela.

Para usar o AWS CLI ou oaws-shell, execute o EC2 attach-internet-gatewaycomando Amazon, por exemplo, da seguinte maneira.

aws ec2 attach-internet-gateway --region us-east-2 --internet-gateway-id igw-a1b2cdef --vpc-id vpc-1234ab56

No comando anterior, us-east-2 substitua pelo Região da AWS que contém o gateway da Internet. Substitua igw-a1b2cdef pelo ID do gateway da Internet. E vpc-1234ab56 substitua pelo VPC ID. Para executar o comando anterior com o aws-shell, omita aws.

Confirme se uma sub-rede tem uma tabela de rotas

Para usar o VPC console da Amazon, escolha Subnets no painel de navegação. Selecione a caixa ao lado da sub-rede pública da VPC que você deseja AWS Cloud9 usar. Na guia Route table (Tabela de rotas), se houver um valor para Route table (Tabela de rotas), a sub-rede pública tem uma tabela de rotas.

Para usar o AWS CLI ou oaws-shell, execute o EC2 describe-route-tablescomando Amazon.

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b

No comando anterior, us-east-2 substitua pelo Região da AWS que contém a sub-rede pública e subnet-12a3456b substitua pelo ID da sub-rede pública. Para executar o comando anterior no Windows, substitua as aspas simples (' ')por aspas duplas (" "). Para executar o comando anterior com o aws-shell, omita aws.

Se houver valores na saída, a sub-rede pública tem pelo menos uma tabela de rotas.

Na saída, se não houver resultados, a tabela de rotas poderá estar associada à, VPC em vez da sub-rede. Para confirmar isso, execute o EC2 describe-route-tablescomando da Amazon para a sub-rede relacionada VPC em vez da própria sub-rede, por exemplo, da seguinte forma.

aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

No comando anterior, us-east-2 substitua pelo Região da AWS que contém o VPC e vpc-1234ab56 substitua pelo VPC ID. Para executar o comando anterior no Windows, substitua as aspas simples (' ')por aspas duplas (" "). Para executar o comando anterior com o aws-shell, omita aws.

Na saída, se houver pelo menos um resultado, ele VPC terá pelo menos uma tabela de rotas.

Anexe uma tabela de rotas a uma sub-rede

Para usar o VPC console da Amazon, escolha Route Tables no painel de navegação. Marque a caixa de seleção ao lado da tabela de rotas que deseja anexar. Na guia Subnet Associations (Associações de sub-rede), selecione Edit (Editar), marque a caixa de seleção ao lado da sub-rede na qual deseja anexar e, em seguida, selecione Save (Salvar).

Para usar o AWS CLI ou oaws-shell, execute o EC2 associate-route-tablecomando Amazon, por exemplo, da seguinte maneira.

aws ec2 associate-route-table --region us-east-2 --subnet-id subnet-12a3456b --route-table-id rtb-ab12cde3

No comando anterior, us-east-2 substitua pelo Região da AWS que contém a tabela de rotas. Substitua subnet-12a3456b pelo ID da sub-rede. E substitua rtb-ab12cde3 pelo ID da tabela de rotas. Para executar o comando anterior com o aws-shell, omita aws.

Crie uma tabela de rotas

Para usar o VPC console da Amazon, escolha Route Tables no painel de navegação. Selecione Create Route Table (Criar tabela de rotas) e, em seguida, siga as instruções na tela.

Para usar o AWS CLI ou oaws-shell, execute o EC2 create-route-tablecomando Amazon, por exemplo, da seguinte maneira.

aws ec2 create-route-table --output text --query 'RouteTable.RouteTableId' --region us-east-2 --vpc-id vpc-1234ab56

No comando anterior, us-east-2 substitua pelo Região da AWS que contém a nova tabela de rotas e vpc-1234ab56 substitua pelo VPC ID. Para executar o comando anterior no Windows, substitua as aspas simples (' ')por aspas duplas (" "). Para executar o comando anterior com o aws-shell, omita aws.

A saída contém o ID da nova tabela de rotas.

Visualizar ou alterar as configurações de uma tabela de rotas

Para usar o VPC console da Amazon, escolha Route Tables no painel de navegação. Marque a caixa ao lado da tabela de rotas. Para ver as configurações, examine cada uma das guias. Para alterar uma configuração em uma tabela, selecione Edit (Editar) e, em seguida, siga as instruções na tela.

Para usar o AWS CLI ou o aws-shell para ver as configurações, execute o EC2 describe-route-tablescomando Amazon, por exemplo, da seguinte maneira.

aws ec2 describe-route-tables --output table --region us-east-2 --route-table-ids rtb-ab12cde3

No comando anterior, us-east-2 substitua pelo Região da AWS que contém a tabela de rotas e rtb-ab12cde3 substitua pelo ID da tabela de rotas. Para executar o comando anterior com o aws-shell, omita aws.

Configurações mínimas sugeridas da tabela de rotas para AWS Cloud9

Destination (Destino) Destino Status Com propagação

CIDR-BLOCK

local

Ativo

Não

0.0.0.0/0

igw-INTERNET-GATEWAY-ID

Ativo

Não

Nessas configurações, CIDR-BLOCK é o CIDR bloco da sub-rede e igw-INTERNET-GATEWAY-ID é o ID de um gateway de internet compatível.

Veja uma lista de grupos de segurança para um VPC

Para usar o VPC console da Amazon, escolha Security Groups no painel de navegação. Na caixa Pesquisar grupos de segurança, insira o VPC ID ou o nome e pressioneEnter. Grupos de segurança para isso VPC aparecem na lista de resultados da pesquisa.

Para usar o AWS CLI ou oaws-shell, execute o EC2 describe-security-groupscomando Amazon.

aws ec2 describe-security-groups --output table --query 'SecurityGroups[*].GroupId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

No comando anterior, us-east-2 substitua pelo Região da AWS que contém o VPC e vpc-1234ab56 substitua pelo VPC ID. Para executar o comando anterior no Windows, substitua as aspas simples (' ')por aspas duplas (" "). Para executar o comando anterior com o aws-shell, omita aws.

A saída contém a lista do grupo de segurança IDs para issoVPC.

Veja uma lista de grupos de segurança para uma instância de Nuvem AWS computação

Para usar o EC2 console da Amazon, expanda Instâncias no painel de navegação e escolha Instâncias. Na lista de instâncias, selecione a caixa ao lado da instância. Os grupos de segurança dessa instância são exibidos na guia Description (Descrição) ao lado de Security groups (Grupos de segurança).

Para usar o AWS CLI ou oaws-shell, execute o EC2 describe-security-groupscomando Amazon, por exemplo, da seguinte maneira.

aws ec2 describe-instances --output table --query 'Reservations[*].Instances[*].NetworkInterfaces[*].Groups[*].GroupId' --region us-east-2 --instance-ids i-12a3c456d789e0123

No comando anterior, us-east-2 substitua pelo Região da AWS que contém a instância e i-12a3c456d789e0123 substitua pelo ID da instância. Para executar o comando anterior no Windows, substitua as aspas simples (' ')por aspas duplas (" "). Para executar o comando anterior com o aws-shell, omita aws.

A saída contém a lista do grupo IDs de segurança dessa instância.

Exibir ou alterar as configurações de um grupo de segurança em um VPC

Para usar o VPC console da Amazon, escolha Security Groups no painel de navegação. Marque a caixa ao lado do security group. Para ver as configurações, examine cada uma das guias. Para alterar uma configuração em uma tabela, selecione Editar, se apropriado, e siga as instruções na tela.

Para usar o AWS CLI ou o aws-shell para ver as configurações, execute o EC2 describe-security-groupscomando Amazon, por exemplo, da seguinte maneira.

aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456

No comando anterior, us-east-2 substitua pelo Região da AWS que contém a instância e sg-12a3b456 substitua pelo ID do grupo de segurança. Para executar o comando anterior com o aws-shell, omita aws.

Visualize ou altere as configurações de um grupo de segurança Nuvem AWS de instâncias computacionais

Para usar o EC2 console da Amazon, expanda Instâncias no painel de navegação e escolha Instâncias. Na lista de instâncias, selecione a caixa ao lado da instância. Na guia Descrição, em Grupos de segurança, escolha o nome do grupo de segurança. Examine cada uma das guias. Para alterar uma configuração em uma tabela, selecione Editar, se apropriado, e siga as instruções na tela.

Para usar o AWS CLI ou o aws-shell para ver as configurações, execute o EC2 describe-security-groupscomando Amazon, por exemplo, da seguinte maneira.

aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456

No comando anterior, us-east-2 substitua pelo Região da AWS que contém a instância e sg-12a3b456 substitua pelo ID do grupo de segurança. Para executar o comando anterior com o aws-shell, omita aws.

Configurações mínimas de tráfego de entrada e saída para AWS Cloud9

Importante

O grupo de segurança de IA para uma instância pode não ter uma regra de entrada. Se isso acontecer, nenhum tráfego de entrada originário de outro host será permitido para a instância. Para obter informações sobre o uso de EC2 instâncias sem entrada, consulte. Acessando instâncias sem entrada EC2 com AWS Systems Manager

  • Entrada: todos os endereços IP usados SSH pela porta 22. No entanto, você pode restringir esses endereços IP somente àqueles que AWS Cloud9 usam. Para obter mais informações, consulte Intervalos de SSH endereços IP de entrada para AWS Cloud9.

    nota

    Para EC2 ambientes criados em ou após 31 de julho de 2018, AWS Cloud9 usa grupos de segurança para restringir o uso de endereços IP de entrada SSH pela porta 22. Esses endereços IP de entrada são especificamente apenas os endereços que AWS Cloud9 usa. Para obter mais informações, consulte Intervalos de SSH endereços IP de entrada para AWS Cloud9.

  • Entrada (ACLssomente rede): para os EC2 ambientes e ambientes associados às EC2 instâncias da SSH Amazon que executam o Amazon Linux ou o Ubuntu Server, todos os endereços IP são usados TCP nas portas 32768-61000. Para obter mais informações e para intervalos de portas para outros tipos de EC2 instância da Amazon, consulte Portas efêmeras no Guia do usuário da Amazon VPC.

  • Saída: todas as fontes de tráfego que usam qualquer protocolo e porta.

Defina esse comportamento a nível de security group. Para um nível adicional de segurança, você também pode usar uma redeACL. Para obter mais informações, consulte Comparação de grupos de segurança e rede ACLs no Guia VPC do usuário da Amazon.

Por exemplo, para adicionar regras de entrada e saída para um security group, você pode configurar essas regras da seguinte forma.

Regras de entrada
Tipo Protocolo Intervalo de portas Origem

SSH(22)

TCP(6)

22

0.0.0.0 (no entanto, consulte a observação a seguir e Intervalos de SSH endereços IP de entrada para AWS Cloud9.)
nota

Para EC2 ambientes criados em ou após 31 de julho de 2018, AWS Cloud9 adiciona uma regra de entrada para restringir o uso de endereços IP de entrada SSH pela porta 22. Isso se restringe especificamente apenas aos endereços que AWS Cloud9 usa. Para obter mais informações, consulte Intervalos de SSH endereços IP de entrada para AWS Cloud9.

Regras de saída
Tipo Protocolo Intervalo de portas Origem

Todo o tráfego

ALL

ALL

0.0.0.0/0

Se você também optar por adicionar regras de entrada e saída a uma redeACL, poderá configurar essas regras da seguinte maneira.

Regras de entrada
Regra nº Tipo Protocolo Intervalo de portas Origem Permissão/Negação

100

SSH(22)

TCP(6)

22

0.0.0.0 (no entanto, consulte Intervalos de SSH endereços IP de entrada para AWS Cloud9.)

ALLOW

200

TCPRegra personalizada

TCP(6)

32768-61000 (Para instâncias do Amazon Linux e do Ubuntu Server. Para outros tipos de instância, consulte Ephemeral Ports (Portas efêmeras).)

0.0.0.0/0

ALLOW

*

Todo o tráfego

ALL

ALL

0.0.0.0/0

DENY

Regras de saída
Regra nº Tipo Protocolo Intervalo de portas Origem Permissão/Negação

100

Todo o tráfego

ALL

ALL

0.0.0.0/0

ALLOW

*

Todo o tráfego

ALL

ALL

0.0.0.0/0

DENY

Para obter mais informações sobre grupos de segurança e redeACLs, consulte o seguinte no Guia VPC do usuário da Amazon.

Crie um grupo de segurança em um VPC

Para usar os EC2 consoles Amazon VPC ou Amazon, execute uma das seguintes ações:

  • No VPC console da Amazon, escolha Security Groups no painel de navegação. Selecione Criar grupo de segurança e, em seguida, siga as instruções na tela.

  • No EC2 console da Amazon, expanda Rede e Segurança no painel de navegação e escolha Grupos de Segurança. Selecione Criar grupo de segurança e, em seguida, siga as instruções na tela.

Para usar o AWS CLI ou oaws-shell, execute o EC2 create-security-groupcomando Amazon, por exemplo, da seguinte maneira.

aws ec2 create-security-group --region us-east-2 --vpc-id vpc-1234ab56

No comando anterior, us-east-2 substitua pelo Região da AWS que contém o VPC e vpc-1234ab56 substitua pelo VPC ID. Para executar o comando anterior com o aws-shell, omita aws.

Confirme se a VPC tem pelo menos uma rede ACL

Para usar o VPC console da Amazon, escolha Seu VPCs no painel de navegação. Escolha a caixa ao lado da VPC que você AWS Cloud9 deseja usar. Na guia Resumo, se houver um valor para Rede ACL, VPC ele tem pelo menos uma redeACL.

Para usar o AWS CLI ou oaws-shell, execute o EC2 describe-network-aclscomando Amazon.

aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

No comando anterior, us-east-2 substitua pelo Região da AWS que contém o VPC e vpc-1234ab56 substitua pelo VPC ID. Para executar o comando anterior no Windows, substitua as aspas simples (' ')por aspas duplas (" "). Para executar o comando anterior com o aws-shell, omita aws.

Se a saída contiver pelo menos uma entrada na lista, ela VPC terá pelo menos uma redeACL.

Veja uma lista de redes ACLs para um VPC

Para usar o VPC console da Amazon, escolha Rede ACLs no painel de navegação. Na ACLs caixa Rede de Pesquisa, insira o VPC ID ou o nome e pressioneEnter. A rede ACLs para que VPC apareça na lista de resultados da pesquisa.

Para usar o AWS CLI ou oaws-shell, execute o EC2 describe-network-aclscomando Amazon.

aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

No comando anterior, us-east-2 substitua pelo Região da AWS que contém o VPC e vpc-1234ab56 substitua pelo VPC ID. Para executar o comando anterior no Windows, substitua as aspas simples (' ')por aspas duplas (" "). Para executar o comando anterior com o aws-shell, omita aws.

A saída contém uma lista de redes ACLs para issoVPC.

Exibir ou alterar as configurações de uma rede ACL

Para usar o VPC console da Amazon, escolha Rede ACLs no painel de navegação. Escolha a caixa ao lado da redeACL. Para ver as configurações, examine cada uma das guias. Para alterar uma configuração em uma guia, selecione Edit (Editar), se apropriado, e siga as instruções na tela.

Para usar o AWS CLI ou o aws-shell para ver as configurações, execute o EC2 describe-network-aclscomando Amazon.

aws ec2 describe-network-acls --output table --region us-east-2 --network-acl-ids acl-1234ab56

No comando anterior, us-east-2 substitua pelo Região da AWS que contém a rede ACL e acl-1234ab56 substitua pelo ACL ID da rede. Para executar o comando anterior com o aws-shell, omita aws.

Crie uma rede ACL

Para usar o VPC console da Amazon, escolha Rede ACLs no painel de navegação. Escolha Criar rede ACL e siga as instruções na tela.

Para usar o AWS CLI ou oaws-shell, execute o EC2 create-network-aclcomando Amazon.

aws ec2 create-network-acl --region us-east-2 --vpc-id vpc-1234ab56

No comando anterior, us-east-2 substitua pelo Região da AWS que contém a VPC rede à qual você deseja conectar a nova redeACL. Além disso, vpc-1234ab56 substitua pelo VPC ID. Para executar o comando anterior com o aws-shell, omita aws.

Crie VPC mais outros VPC recursos

Use o procedimento a seguir para criar um VPC e os VPC recursos adicionais necessários para executar seu aplicativo. VPCos recursos incluem sub-redes, tabelas de rotas, gateways da Internet e gateways. NAT

Para criar umVPC, sub-redes e outros VPC recursos usando o console

  1. Abra o VPC console da Amazon em https://console.aws.amazon.com/vpc/.

  2. No VPC painel, escolha Criar VPC.

  3. Para recursos para criar, escolher VPCe muito mais.

  4. Para criar tags de nome para os VPC recursos, mantenha a opção Geração automática de tags de nome selecionada. Para fornecer suas próprias etiquetas de nome para os VPC recursos, limpe-as.

  5. Para IPv4CIDRbloquear, você deve inserir um intervalo de IPv4 endereços para VPC o. O IPv4 intervalo recomendado para AWS Cloud9 é10.0.0.0/16.

  6. (Opcional) Para oferecer suporte ao IPv6 tráfego, escolha IPv6CIDRbloquear, bloco fornecido pela Amazon IPv6 CIDR.

  7. Escolha uma opção de Locação. Essa opção define se EC2 as instâncias nas quais você executa VPC serão executadas em hardware compartilhado com outras pessoas Contas da AWS ou em hardware dedicado somente para seu uso. Se você escolher a locação do VPC a serDefault, as EC2 instâncias executadas nela VPC usarão o atributo de locação especificado quando você executa a instância. Para obter mais informações, consulte Iniciar uma instância usando parâmetros definidos no Guia EC2 do usuário da Amazon.

    Se você escolher a locação do VPC to beDedicated, as instâncias sempre serão executadas como instâncias dedicadas em hardware dedicado para seu uso. Se você estiver usando AWS Outposts, seu Outpost requer conectividade privada e você deve usar a Default locação.

  8. Para Number of Availability Zones (AZs), recomendamos que você provisione sub-redes em pelo menos duas Availability Zones para um ambiente de produção. Para escolher o AZs para suas sub-redes, expanda Personalizar. AZs Caso contrário, você pode deixar AWS escolher o AZs para você.

  9. Para configurar suas sub-redes, escolha valores para Número de sub-redes públicas e Número de sub-redes privadas. Para escolher os intervalos de endereços IP para suas sub-redes, expanda Personalizar blocos de CIDR sub-redes. Caso contrário, vamos AWS escolhê-los para você.

  10. (Opcional) Se os recursos em uma sub-rede privada precisarem acessar a Internet pública por meio deIPv4: Para NATgateways, escolha o número AZs no qual criar NAT gateways. Na produção, recomendamos que você implante um NAT gateway em cada AZ com recursos que precisam de acesso à Internet pública.

  11. (Opcional) Se os recursos em uma sub-rede privada precisarem acessar a Internet pública por meio deIPv6: Para gateway de Internet somente de saída, escolha Sim.

  12. (Opcional) Para acessar o Amazon S3 diretamente do seuVPC, escolha VPCendpoints, S3 Gateway. Isso cria um VPC endpoint de gateway para o Amazon S3. Para obter mais informações, consulte os VPCendpoints do Gateway no AWS PrivateLink Guia.

  13. (Opcional) Para DNSopções, as duas opções para resolução de nomes de domínio são ativadas por padrão. Se o padrão não atender às suas necessidades, você poderá desativar essas opções.

  14. (Opcional) Para adicionar uma tag à suaVPC, expanda Tags adicionais, escolha Adicionar nova tag e insira uma chave de tag e um valor de tag.

  15. No painel Visualizar, você pode visualizar as relações entre os VPC recursos que você configurou. Linhas sólidas representam relações entre recursos. As linhas pontilhadas representam o tráfego de rede para NAT gateways, gateways de internet e endpoints de gateway. Depois de criar oVPC, você pode visualizar os recursos VPC em seu formato a qualquer momento usando a guia Mapa de recursos.

  16. Depois de concluir a configuração do seuVPC, escolha Criar VPC.

Crie um VPC único

Use o procedimento a seguir para criar um VPC sem VPC recursos adicionais usando o VPC console da Amazon.

Para criar um VPC sem VPC recursos adicionais usando o console

  1. Abra o VPC console da Amazon em https://console.aws.amazon.com/vpc/.

  2. No VPC painel, escolha Criar VPC.

  3. Em Recursos a serem criados, escolha VPCsomente.

  4. (Opcional) Em Etiqueta de nome, insira um nome para suaVPC. Ao fazer isso, é criada uma tag com a chave Name e o valor especificado.

  5. Para IPv4CIDRbloquear, faça o seguinte:

    • Escolha a entrada IPv4 CIDR manual e insira um intervalo de IPv4 endereços para o seuVPC. O IPv4 intervalo recomendado para AWS Cloud9 é10.0.0.0/16.

    • Escolha IPAM-allocated IPv4 CIDR block, selecione um pool de endereços do Amazon VPC IP Address Manager (IPAM) IPv4 e uma máscara de rede. O tamanho do CIDR bloco é limitado pelas regras de alocação no IPAM pool. IPAMé um VPC recurso que ajuda você a planejar, rastrear e monitorar endereços IP para suas AWS cargas de trabalho. Para obter mais informações, consulte O que éIPAM? no Guia do administrador da Amazon Virtual Private Cloud.

      Se você usa IPAM para gerenciar seus endereços IP, recomendamos que você escolha essa opção. Caso contrário, o CIDR bloco que você especificar para você VPC poderá se sobrepor a uma IPAM CIDR alocação.

  6. (Opcional) Para criar uma pilha duplaVPC, especifique um intervalo de IPv6 endereços para o seuVPC. Para IPv6CIDRbloquear, faça o seguinte:

    • Escolha IPAM-allocated IPv6 CIDR block e selecione seu pool de IPAM IPv6 endereços. O tamanho do CIDR bloco é limitado pelas regras de alocação no IPAM pool.

    • Para solicitar um IPv6 CIDR bloqueio de um pool de IPv6 endereços da Amazon, escolha o bloco fornecido pela Amazon IPv6 CIDR. Em Network Border Group, selecione o grupo do qual AWS anuncia endereços IP. A Amazon fornece um tamanho de IPv6 CIDR bloco fixo de /56.

    • Escolha IPv6CIDRpertencente a mim para usar um IPv6 CIDR bloco que você usou AWS usando traga seus próprios endereços IP (BYOIP). Em Pool, escolha o pool de IPv6 endereços do qual alocar o IPv6 CIDR bloco.

  7. (Opcional) Escolha uma opção de Locação. Essa opção define se EC2 as instâncias nas quais você executa VPC serão executadas em hardware compartilhado com outras pessoas Contas da AWS ou em hardware dedicado somente para seu uso. Se você escolher a locação do VPC to beDefault, as EC2 instâncias que são executadas nela VPC usarão o atributo de locação especificado quando você executa a instância. Para obter mais informações, consulte Iniciar uma instância usando parâmetros definidos no Guia EC2 do usuário da Amazon.

    Se você escolher a locação do VPC to beDedicated, as instâncias sempre serão executadas como instâncias dedicadas em hardware dedicado para seu uso. Se você estiver usando AWS Outposts, seu Outpost requer conectividade privada e você deve usar a Default locação.

  8. (Opcional) Para adicionar uma tag à suaVPC, escolha Adicionar nova tag e insira uma chave de tag e um valor de tag.

  9. Escolha Criar VPC.

  10. Depois de criar umVPC, você pode adicionar sub-redes.

Crie uma sub-rede para AWS Cloud9

Você pode usar o VPC console da Amazon para criar uma VPC sub-rede compatível com o. AWS Cloud9 A possibilidade de criar uma sub-rede pública ou privada para sua EC2 instância depende de como seu ambiente se conecta a ela:

  • Acesso direto por meio deSSH: somente sub-rede pública

  • Acesso por meio do Systems Manager: sub-rede pública ou privada

A opção de iniciar seu ambiente EC2 em uma sub-rede privada está disponível somente se você criar um EC2 ambiente “sem entrada” usando o console, a linha de comando ou. AWS CloudFormation

Você segue os mesmos passos para criar uma sub-rede que pode se tornar pública ou privada. Quando a sub-rede estiver associada à uma tabela de rotas que possui uma rota para um gateway da internet, ela se torna uma sub-rede pública. Porém, se uma sub-rede estiver associada a uma tabela de rotas que não tenha uma rota para um gateway da Internet, ela se tornará uma sub-rede privada. Para obter mais informações, consulte Configurar uma sub-rede como pública ou privada.

Se você seguiu o procedimento anterior para criar um VPC para AWS Cloud9, também não precisará seguir esse procedimento. Isso ocorre porque o VPC assistente Criar nova cria uma sub-rede para você automaticamente.

Importante

  • O já Conta da AWS deve ter um compatível VPC no mesmo Região da AWS para o ambiente. Para obter mais informações, consulte os VPC requisitos emVPCRequisitos da Amazon para AWS Cloud9.

  • Para esse procedimento, recomendamos que você faça login AWS Management Console e abra o VPC console da Amazon usando as credenciais de um IAM administrador em seu Conta da AWS. Se você não conseguir fazer isso, verifique com seu Conta da AWS administrador.

  • Algumas organizações podem não permitir a criação de sub-redes por conta própria. Se você não conseguir criar uma sub-rede, consulte seu Conta da AWS administrador ou administrador de rede.

Para criar uma sub-rede

  1. Se o VPC console da Amazon ainda não estiver aberto, faça login AWS Management Console e abra o VPC console da Amazon em https://console.aws.amazon.com/vpc.

  2. Na barra de navegação, se Região da AWS não for a mesma que a Região do ambiente, escolha a Região correta.

  3. Selecione Subnets (Sub-redes) no painel de navegação, se a página Subnets (Sub-redes) ainda não estiver exibida.

  4. Selecione Create Subnet.

  5. Na caixa de diálogo Create Subnet (Criar sub-rede), em Name tag (Tag do nome), digite um nome para a sub-rede.

  6. Para VPC, escolha a VPC à qual associar a sub-rede.

  7. Em Zona de Disponibilidade, escolha a Zona de Disponibilidade dentro da Região da AWS para a sub-rede usar ou escolha Sem Preferência para permitir que AWS escolha uma Zona de Disponibilidade para você.

  8. Em IPv4CIDRbloco, insira o intervalo de endereços IP a ser usado pela sub-rede, em CIDR formato. Esse intervalo de endereços IP deve ser um subconjunto de endereços IP noVPC.

    Para obter informações sobre CIDR blocos, consulte VPC o tamanho da sub-rede no Guia VPC do usuário da Amazon. Consulte também 3.1. Conceito básico e notação de prefixo em RFC 4632 ou IPv4CIDRblocos na Wikipedia.

Depois de criar a sub-rede, configure-a como uma sub-rede pública ou privada.

Configurar uma sub-rede como pública ou privada

Depois de criar uma sub-rede, você pode torná-la pública ou privada especificando como ela se comunica com a Internet.

Uma sub-rede pública tem um endereço IP público e um gateway de internet (IGW) é anexado a ela, permitindo a comunicação entre a instância da sub-rede e a Internet e outras. Serviços da AWS

Uma instância em uma sub-rede privada tem um endereço IP privado e um gateway de tradução de endereço de rede (NAT) é usado para enviar tráfego entre a instância da sub-rede e a Internet e outras. Serviços da AWS O NAT gateway deve estar hospedado em uma sub-rede pública.

Public subnets
nota

Mesmo que a instância do seu ambiente seja executada em uma sub-rede privada, você VPC deve apresentar pelo menos uma sub-rede pública. Isso ocorre porque o NAT gateway que encaminha o tráfego de e para a instância deve estar hospedado em uma sub-rede pública.

Configurar uma sub-rede como pública envolve anexar um gateway de internet (IGW) a ela, configurar uma tabela de rotas para especificar uma rota para ela e definir configurações em um grupo de segurança para controlar o tráfego de entrada e saída. IGW

Orientações sobre a execução dessas tarefas são fornecidas em Crie VPC mais outros VPC recursos.

Importante

Se seu ambiente de desenvolvimento estiver sendo usado SSM para acessar uma EC2 instância, certifique-se de que a instância tenha um endereço IP público atribuído pela sub-rede pública na qual ela foi lançada. Para fazer isso, você deve habilitar a opção de atribuição automática de endereço IP público para a sub-rede pública e configurá-la como Yes. Você pode habilitar isso na sub-rede pública antes de criar um AWS Cloud9 ambiente na página de configurações da sub-rede. Para as etapas envolvidas na modificação das configurações de IP de atribuição automática em uma sub-rede pública, consulte Modificar o atributo de IPv4 endereçamento público para sua sub-rede no Guia do usuário da Amazon. VPC Para obter mais informações sobre configurar sub-redes públicas e privadas, consulte Configurar uma sub-rede como pública ou privada.

Private subnets

Se você estiver criando uma instância sem entrada acessada por meio do Systems Manager, poderá iniciá-la em uma sub-rede privada. Uma sub-rede privada não tem um endereço IP público. Portanto, você precisa de um NAT gateway para mapear o endereço IP privado para um endereço público para solicitações e também precisa mapear o endereço IP público de volta ao endereço privado para a resposta.

Atenção

Você é cobrado pela criação e uso de um NAT gateway em sua conta. NATaplicam-se taxas de uso horário do gateway e de processamento de dados. EC2As cobranças da Amazon pela transferência de dados também se aplicam. Para obter mais informações, consulte Amazon VPC Pricing.

Antes de criar e configurar o NAT gateway, você deve fazer o seguinte:

  • Crie uma VPC sub-rede pública para hospedar o NAT gateway.

  • Provisione um endereço IP elástico que possa ser atribuído ao NAT gateway.

  • Para a sub-rede privada, desmarque a caixa de seleção Ativar atribuição automática de IPv4 endereço público para que a instância iniciada nela receba um endereço IP privado. Para obter mais informações, consulte Endereçamento IP VPC em seu Guia do VPC usuário da Amazon.

Para ver as etapas dessa tarefa, consulte Como trabalhar com NAT gateways no Guia do VPC usuário da Amazon.

Importante

Atualmente, se a EC2 instância do seu ambiente for executada em uma sub-rede privada, você não poderá usar credenciais temporárias AWS gerenciadas para permitir que o EC2 ambiente acesse e AWS service (Serviço da AWS) em nome de uma AWS entidade, como um IAM usuário.