Usar grupos de segurança - AWS OpsWorks

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar grupos de segurança

Importante

O AWS OpsWorks Stacks serviço chegou ao fim da vida útil em 26 de maio de 2024 e foi desativado para clientes novos e existentes. É altamente recomendável que os clientes migrem suas cargas de trabalho para outras soluções o mais rápido possível. Se você tiver dúvidas sobre migração, entre em contato com a AWS Support equipe no AWS re:POST ou por meio do Premium AWS Support.

Grupos de segurança

Importante

O AWS OpsWorks Stacks serviço chegou ao fim da vida útil em 26 de maio de 2024 e foi desativado para clientes novos e existentes. É altamente recomendável que os clientes migrem suas cargas de trabalho para outras soluções o mais rápido possível. Se você tiver dúvidas sobre migração, entre em contato com a AWS Support equipe no AWS re:POST ou por meio do Premium AWS Support.

Cada instância do Amazon EC2 tem um ou mais grupos de segurança associados que controlam o tráfego de rede da instância, assim como um firewall. Um grupo de segurança tem uma ou mais regras, sendo que cada uma delas especifica uma determinada categoria de permissão de tráfego. Uma regra especifica o seguinte:

  • O tipo de tráfego permitido, como SSH ou HTTP

  • O protocolo de tráfego, como TCP ou UDP

  • O intervalo de endereços IP do qual o tráfego pode ser proveniente

  • O intervalo de porta permitido do tráfego

Os grupos de segurança têm dois tipos de regras:

  • As regras de entrada regulam o tráfego de entrada da rede.

    Por exemplo, as instâncias de servidor de aplicativos normalmente têm uma regra de entrada que permite a entrada de tráfego HTTP de qualquer endereço IP para a porta 80 e outra regra de entrada que permite a entrada de tráfego SSH para a porta 22 de um conjunto de endereços IP especificado.

  • As regras de saída controlam o tráfego de saída da rede.

    Uma prática comum é usar a configuração padrão, que permite qualquer tráfego de saída.

Para obter mais informações sobre os grupos de segurança, consulte Grupos de segurança do Amazon EC2.

Na primeira vez que você cria uma pilha em uma região, o AWS OpsWorks Stacks cria um grupo de segurança integrado para cada camada com um conjunto apropriado de regras. Todos os grupos têm regras de saída padrão que permitem todo o tráfego de saída. Em geral, as regras de entrada permitem o seguinte:

  • Tráfego TCP, UDP e ICMP de entrada das camadas apropriadas do Stacks AWS OpsWorks

  • Tráfego de entrada TCP na porta 22 (SSH login)

    Atenção

    A configuração padrão do grupo de segurança abre o SSH (porta 22) para qualquer rede local (0.0.0.0/0). Isso permite que todos os endereços IP acessem sua instância usando o SSH. Para ambientes de produção, você deve usar uma configuração que só permite o acesso SSH de um endereço IP específico ou de um intervalo de endereços. Atualize os grupos de segurança padrão imediatamente após criá-los ou use grupos de segurança personalizados.

  • Para camadas de servidor da Web, todo tráfego de entrada TCP e UDP vai para as portas 80 (HTTP) e 443 (HTTPS)

nota

O grupo de segurança AWS-OpsWorks-RDP-Server integrado é atribuído para todas as instâncias do Windows para permitir o acesso RDP. No entanto, por padrão, ele não tem regras. Se você estiver executando uma pilha do Windows e quiser usar o RDP para acessar instâncias, deve adicionar uma regra de entrada que permita o acesso RDP. Para ter mais informações, consulte Login com RDP.

Para ver os detalhes de cada grupo, vá para o console do Amazon EC2, selecione Grupos de segurança no painel de navegação e selecione o grupo de segurança apropriado da camada. Por exemplo, AWS- OpsWorks -Default-Server é o grupo de segurança integrado padrão para todas as pilhas, e AWS OpsWorks - WebApp - é o grupo de segurança integrado padrão para a pilha de amostras do Chef 12.

nota

Se você excluir acidentalmente um grupo de segurança do AWS OpsWorks Stacks, a forma preferida de recriá-lo é fazer com que o AWS OpsWorks Stacks execute a tarefa para você. Basta criar uma nova pilha na mesma região da AWS — e VPC, se AWS OpsWorks presente — e o Stacks recriará automaticamente todos os grupos de segurança integrados, incluindo aquele que você excluiu. Você pode então excluir a pilha se não tiver mais uso para ela; os security groups permanecerão. Se você quer recriar o grupo de segurança manualmente, ele deve ser uma duplicata exata do original, incluindo a capitalização do nome do grupo.

Além disso, o AWS OpsWorks Stacks tentará recriar todos os grupos de segurança integrados se alguma das seguintes situações ocorrer:

  • Você faz qualquer alteração na página de configurações da pilha no console AWS OpsWorks Stacks.

  • Você iniciar uma das instâncias da pilha.

  • Você criar uma nova pilha.

Você pode usar uma das seguintes abordagens para especificar grupos de segurança. Você usa a configuração Usar grupos de OpsWorks segurança para especificar sua preferência ao criar uma pilha.

  • Sim (configuração padrão) — O AWS OpsWorks Stacks associa automaticamente o grupo de segurança incorporado apropriado a cada camada.

    Você pode ajustar um grupo de segurança integrado de uma camada adicionando um grupo de segurança personalizado nas configurações de sua preferência. No entanto, quando o Amazon EC2 avalia vários grupos de segurança, ele usa menos regras restritivas, portanto, você não pode usar essa abordagem para especificar regras mais restritivas do que o grupo integrado.

  • Não — O AWS OpsWorks Stacks não associa grupos de segurança integrados a camadas.

    Você deve criar grupos de segurança apropriados e associar pelo menos um a cada camada que criar. Use essa abordagem para especificar regras mais restritivas do que os grupos integrados. Note que ainda é possível associar um grupo de segurança integrado a uma camada se preferir. Os grupos de segurança personalizados são necessários apenas para as camadas que precisam de configurações personalizadas.

Importante

Se você usar os grupos de segurança integrados, não pode criar regras mais restritivas modificando as configurações do grupo manualmente. Cada vez que você cria uma pilha, o AWS OpsWorks Stacks substitui as configurações dos grupos de segurança integrados, de modo que todas as alterações feitas serão perdidas na próxima vez que você criar uma pilha. Se uma camada exigir configurações de grupo de segurança mais restritivas do que o grupo de segurança incorporado, defina Usar grupos de OpsWorks segurança como Não, crie grupos de segurança personalizados com suas configurações preferidas e atribua-os às camadas na criação.