Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS
Controlar o tráfego no VPC Lattice usando grupos de segurança - Amazon VPC Lattice
Listas de prefixos gerenciadosRegras de grupos de segurançaGerenciar grupos de segurança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controlar o tráfego no VPC Lattice usando grupos de segurança

PDFRSS

AWS grupos de segurança atuam como firewalls virtuais, controlando o tráfego de rede de e para as entidades às quais estão associados. Com o VPC Lattice, você pode criar grupos de segurança e atribuí-los à associação VPC que conecta uma VPC a uma rede de serviços para aplicar proteções adicionais de segurança em nível de rede para sua rede de serviços. Se você conectar uma VPC a uma rede de serviços usando um VPC endpoint, também poderá atribuir grupos de segurança ao VPC endpoint. Da mesma forma, você pode atribuir grupos de segurança aos gateways de recursos que você cria para permitir o acesso aos recursos em sua VPC.

Listas de prefixos gerenciados

O VPC Lattice fornece listas de prefixos gerenciados que incluem os endereços IP usados para rotear o tráfego pela rede VPC Lattice quando você usa uma associação de rede de serviços para conectar sua VPC a uma rede de serviços usando uma associação VPC. Eles IPs são links privados locais IPs ou públicos não roteáveis. IPs

É possível fazer referência à lista de prefixos gerenciados do VPC Lattice nas regras do seu grupo de segurança. Isso permite que o tráfego flua dos clientes por meio da rede de serviços do VPC Lattice e para os destinos do serviço VPC Lattice.

Por exemplo, suponha que você tenha uma EC2 instância registrada como destino na região Oeste dos EUA (Oregon) (us-west-2). Você pode adicionar uma regra ao grupo de segurança da instância que permita acesso HTTPS de entrada da lista de prefixos gerenciados do VPC Lattice, para que o tráfego do VPC Lattice nessa região possa chegar na instância. Se você remover todas as outras regras de entrada do grupo de segurança, poderá impedir a chegada à instância de qualquer outro tráfego que não seja do VPC Lattice.

Os nomes das listas de prefixos gerenciados para o VPC Lattice são os seguintes:

  • com.amazonaws. region.vpc-lattice

  • com.amazonaws. region.ipv6.vpc-lattice

Para obter mais informações, consulte listaS de prefixos gerenciados da AWS no Guia do usuário da Amazon VPC.

Clientes no Windows

Os endereços nas listas de prefixos do VPC Lattice são endereços locais de link e endereços públicos não roteáveis. Se você se conectar ao VPC Lattice a partir de um cliente Windows, deverá atualizar a configuração do cliente Windows para que ele encaminhe os endereços IP na lista de prefixos gerenciados para o endereço IP primário do cliente. Veja a seguir um exemplo de comando que atualiza a configuração do cliente Windows, em que 169.254.171.0 é um dos endereços na lista de prefixos gerenciados. 

C:\> route add 169.254.171.0 mask 255.255.255.0 primary-ip-address

Regras de grupos de segurança

Usar o VPC Lattice com ou sem grupos de segurança não afetará sua configuração de grupo de segurança da VPC existente. No entanto, você pode adicionar seus próprios grupos de segurança a qualquer momento.

Considerações importantes

  • As regras do grupo de segurança para clientes controlam o tráfego de saída para o VPC Lattice.

  • As regras do grupo de segurança para alvos controlam o tráfego de entrada do VPC Lattice para os alvos, incluindo o tráfego de verificação de integridade.

  • As regras do grupo de segurança para a associação entre a rede de serviços e a VPC controlam quais clientes podem acessar a rede de serviços do VPC Lattice.

  • As regras de grupo de segurança para o gateway de recursos controlam o tráfego de saída do gateway de recursos para os recursos.

Regras de saída recomendadas para o tráfego que flui do gateway de recursos para um recurso de banco de dados

Para que o tráfego flua do gateway de recursos para os recursos, você deve criar regras de saída para as portas abertas e protocolos de escuta aceitos para os recursos.

Destino Protocolo Intervalo de portas Comentário
CIDR range for resource TCP 3306 Permitir tráfego do gateway de recursos para bancos de dados
Regras de entrada recomendadas para redes de serviço e associações de VPC

Para que o tráfego flua do cliente VPCs para os serviços associados à rede de serviços, você deve criar regras de entrada para as portas do listener e protocolos do listener para os serviços.

Origem Protocolo Intervalo de portas Comentário
VPC CIDR listener listener Permita o tráfego de clientes para o VPC Lattice
Regras de saída recomendadas para o fluxo de tráfego das instâncias do cliente para o VPC Lattice

Por padrão, os grupos de segurança permitem todo o tráfego de saída. No entanto, se você tiver regras de saída personalizadas, deverá permitir o tráfego de saída para o prefixo VPC Lattice para portas e protocolos de ouvinte para que as instâncias do cliente possam se conectar a todos os serviços associados à rede de serviços VPC Lattice. Você pode permitir esse tráfego fazendo referência ao ID da lista de prefixos do VPC Lattice.

Destino Protocolo Intervalo de portas Comentário
ID of the VPC Lattice prefix list listener listener Permita o tráfego de clientes para o VPC Lattice
Regras de entrada recomendadas para o fluxo de tráfego do VPC Lattice para as instâncias de destino

Você não pode usar o grupo de segurança do cliente como origem para os grupos de segurança do seu destino, porque o tráfego é proveniente do VPC Lattice. Você pode fazer referência ao ID da lista de prefixos do VPC Lattice.

Origem Protocolo Intervalo de portas Comentário
ID of the VPC Lattice prefix list target target Permitir tráfego do VPC Lattice para os destinos
ID of the VPC Lattice prefix list health check health check Permitir a verificação de integridade do tráfego do VPC Lattice para os destinos

Gerenciar grupos de segurança para uma associação de VPC

Você pode usar o AWS CLI para visualizar, adicionar ou atualizar grupos de segurança na VPC para atender à associação de rede. Ao usar o AWS CLI, lembre-se de que seus comandos são Região da AWS executados no configurado para seu perfil. Se você deseja executar os comandos em uma região diferente, altere a região padrão para o seu perfil ou use o parâmetro --region com o comando.

Antes de começar, confirme se você criou o grupo de segurança na mesma VPC que você deseja adicionar à rede de serviços. Para obter mais informações, consulte Controle o tráfego para seus recursos usando grupos de segurança no Guia do usuário da Amazon VPC

Para adicionar um grupo de segurança ao criar uma associação de VPC usando o console

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, em VPC Lattice, escolha Redes de serviço.

  3. Selecione o nome da rede de serviços para abrir sua página de detalhes.

  4. Na guia Associações de VPC, escolha Criar associações de VPC e, em seguida, escolha Adicionar associação de VPC.

  5. Selecione uma VPC e até cinco grupos de segurança.

  6. Escolha Salvar alterações.

Para adicionar ou atualizar grupos de segurança para uma associação de VPC existente usando o console

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, em VPC Lattice, escolha Redes de serviço.

  3. Selecione o nome da rede de serviços para abrir sua página de detalhes.

  4. Na guia Associações de VPC, marque a caixa de seleção da associação e escolha Ações, Editar grupos de segurança.

  5. Adicione e remova grupos de segurança conforme necessário.

  6. Escolha Salvar alterações.

Para adicionar um grupo de segurança ao criar uma associação de VPC usando o AWS CLI

Use o comando create-service-network-vpc-association, especificando o ID da VPC para a associação VPC e o ID dos grupos de segurança a serem adicionados.

aws vpc-lattice create-service-network-vpc-association \
    --service-network-identifier sn-0123456789abcdef0 \
    --vpc-identifier vpc-1a2b3c4d \
    --security-group-ids sg-7c2270198example

Se houver êxito, o comando gerará uma saída semelhante à seguinte.

{
  "arn": "arn",
  "createdBy": "464296918874",
  "id": "snva-0123456789abcdef0",
  "status": "CREATE_IN_PROGRESS",
  "securityGroupIds": ["sg-7c2270198example"]
}
Para adicionar ou atualizar grupos de segurança para uma associação de VPC existente usando a AWS CLI

Use o comando update-service-network-vpc-association, especificando o ID da rede de serviços e dos grupos IDs de segurança. Esses grupos de segurança substituem qualquer outro grupo de segurança anteriormente associado. Defina pelo menos um grupo de segurança ao atualizar a lista.

aws vpc-lattice update-service-network-vpc-association 
    --service-network-vpc-association-identifier sn-903004f88example \
    --security-group-ids sg-7c2270198example sg-903004f88example
Atenção

Não é possível remover todos os grupos de segurança. Em vez disso, primeiro você deve excluir a associação de VPC e, em seguida, recriar a associação de VPC sem nenhum grupo de segurança. Tenha cuidado ao excluir a associação de VPC. Isso impede que o tráfego chegue aos serviços que estão nessa rede de serviços.

Próximo tópico:

Rede ACLs

Precisa de ajuda?

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.