Atualizar seus grupos de segurança para fazer referência a grupos de segurança de mesmo nível - Amazon Virtual Private Cloud
Identificar seus grupos de segurança referenciadosVisualizar e excluir com regras de grupo de segurança obsoletas

Atualizar seus grupos de segurança para fazer referência a grupos de segurança de mesmo nível

Você pode atualizar as regras de entrada e saída dos grupos de segurança da VPC para referenciar grupos de segurança para VPCs emparelhadas. Fazendo isso, você permite que o tráfego flua entre as instâncias associadas com o grupo de segurança referenciado na VPC emparelhada.

nota

Os grupos de segurança em uma VPC de emparelhamento não estão exibidos no console para serem selecionados.

Requisitos

  • Para referenciar um security group em uma VPC de mesmo nível, a conexão de emparelhamento precisa estar no estado active.

  • A VPC emparelhada pode ser uma VPC na sua conta ou uma VPC em outra conta da AWS. Para fazer referência a um grupo de segurança que está em outra conta da AWS, mas na mesma região, inclua o número da conta com a ID do grupo de segurança. Por exemplo, 123456789012/sg-1a2b3c4d.

  • Não é possível referenciar o grupo de segurança de uma VPC de emparelhamento que esteja em uma região diferente. Em vez disso, use o bloco CIDR da VPC de emparelhamento.

  • Se você configurar rotas para encaminhar o tráfego entre duas instâncias em sub-redes diferentes por meio de um dispositivo middlebox, deverá garantir que os grupos de segurança de ambas as instâncias permitam o fluxo de tráfego entre as instâncias. O grupo de segurança para cada instância deve fazer referência ao endereço IP privado da outra instância ou ao intervalo CIDR da sub-rede que contém a outra instância, como a origem. Se você fizer referência ao grupo de segurança da outra instância como a origem, isso não permitirá que o tráfego flua entre as instâncias.

Para atualizar regras de um security group usando o console

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Grupos de segurança.

  3. Selecione o grupo de segurança e siga um destes procedimentos:

    • Para modificar as regras de entrada, escolha Ações, Editar regras de entrada.

    • Para modificar as regras de saída, escolha Ações, Editar regras de saída.

  4. Para adicionar uma regra, escolha Adicionar regra e especifique o tipo, protocolo e intervalo de porta. Para Origem (regra de entrada) ou Destino (regra de saída), siga um destes procedimentos:

    • Para uma VPC de emparelhamento na mesma conta e região, insira o ID do grupo de segurança.

    • Para uma VPC de emparelhamento em uma conta diferente, mas na mesma região, insira o ID da conta e o ID do grupo de segurança, separados por uma barra (por exemplo, 123456789012/sg-1a2b3c4d).

    • Para uma VPC de emparelhamento em uma região diferente, insira o bloco CIDR da VPC de emparelhamento.

  5. Para editar uma regra existente, altere seus valores (por exemplo, a origem ou a descrição).

  6. Para excluir uma regra, escolha Excluir, próximo à regra.

  7. Escolha Salvar regras.

Para atualizar regras de entrada usando a linha de comando

Por exemplo, para atualizar o grupo de segurança sg-aaaa1111 para permitir acesso de entrada por HTTP de sg-bbbb2222 que está em uma VPC de emparelhamento, use o comando a seguir. Se a VPC de emparelhamento estiver na mesma região, mas em uma conta diferente, adicione --group-owner aws-account-id.

aws ec2 authorize-security-group-ingress --group-id sg-aaaa1111 --protocol tcp --port 80 --source-group sg-bbbb2222
Para atualizar regras de saída usando a linha de comando

Depois de atualizar as regras do grupo de segurança, use o comando describe-security-groups, para visualizar o grupo de segurança mencionado nas suas regras de grupo de segurança.

Identificar seus grupos de segurança referenciados

Para determinar se o security group está sendo referenciado nas regras de um security group em uma VPC de mesmo nível, use um dos comandos a seguir para um ou mais security groups da sua conta.

No seguinte exemplo, a resposta indica que o security group sg-bbbb2222 está sendo referenciado por um security group na VPC vpc-aaaaaaaa:

aws ec2 describe-security-group-references --group-id sg-bbbb2222
{    
  "SecurityGroupsReferenceSet": [
    {
      "ReferencingVpcId": "vpc-aaaaaaaa",
      "GroupId": "sg-bbbb2222",
      "VpcPeeringConnectionId": "pcx-b04deed9"       
    }   
  ]
}

Se a conexão de emparelhamento da VPC for excluída ou se o proprietário da VPC de mesmo nível excluir o security group de referência, a regra do security group ficará obsoleta.

Visualizar e excluir com regras de grupo de segurança obsoletas

Uma regra de grupo de segurança obsoleta é uma regra que referencia um grupo de segurança excluído na mesma VPC ou em em no par de uma VPC, ou que referencia um grupo de segurança em que a conexão de emparelhamento da VPC foi excluída. Quando uma regra de grupo de segurança se torna obsoleta, ela não é automaticamente removida do seu grupo de segurança; é necessário removê-la manualmente. Se uma regra de grupo de segurança estiver obsoleta porque a conexão de emparelhamento da VPC foi excluída, ela não será mais marcada como obsoleta se você criar uma nova conexão de emparelhamento de VPC com as mesmas VPCs.

É possível visualizar e excluir as regras de grupo de segurança obsoletas para uma VPC usando o console da Amazon VPC.

Para visualizar e excluir regras de security group obsoletas

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Security groups (Grupos de segurança).

  3. Escolha Actions (Ações), Manage stale rules (Gerenciar regras obsoletas).

  4. Para VPC, escolha a VPC com as regras obsoletas.

  5. Selecione a opção Editar.

  6. Escolha o botão Delete (Excluir) ao lado da regra que deseja excluir. Selecione Visualizar alterações, Salvar regras.

Para descrever as regras de security group obsoleto usando a linha de comando ou uma API

No exemplo a seguir, a VPC A (vpc-aaaaaaaa) e a VPC B foram emparelhadas e a conexão de emparelhamento de VPC foi excluída. Seu security group sg-aaaa1111 na VPC A referencia sg-bbbb2222 na VPC B. Quando você executar o comando describe-stale-security-groups para a sua VPC, a resposta indicará que o security group sg-aaaa1111 possui uma regra SSH obsoleta que referencia sg-bbbb2222.

aws ec2 describe-stale-security-groups --vpc-id vpc-aaaaaaaa
{
    "StaleSecurityGroupSet": [
        {
            "VpcId": "vpc-aaaaaaaa", 
            "StaleIpPermissionsEgress": [], 
            "GroupName": "Access1", 
            "StaleIpPermissions": [
                {
                    "ToPort": 22, 
                    "FromPort": 22, 
                    "UserIdGroupPairs": [
                        {
                            "VpcId": "vpc-bbbbbbbb", 
                            "PeeringStatus": "deleted", 
                            "UserId": "123456789101", 
                            "GroupName": "Prod1", 
                            "VpcPeeringConnectionId": "pcx-b04deed9", 
                            "GroupId": "sg-bbbb2222"
                        }
                    ], 
                    "IpProtocol": "tcp"
                }
            ], 
            "GroupId": "sg-aaaa1111", 
            "Description": "Reference remote SG"
        }
    ]
}

Depois de identificar as regras de grupo de segurança obsoleto, você pode excluí-las usando os comandos revoke-security-group-ingress ou revoke-security-group-egress.