Regras de grupos de segurança
As regras de um grupo de segurança controlam o tráfego de entrada que tem permissão para alcançar as instâncias associadas ao grupo de segurança. As regras também controlam o tráfego de saída que pode deixá-los.
Você pode adicionar ou remover regras de um grupo de segurança (também conhecido como autorização ou revogação do acesso de entrada ou de saída). Uma regra aplica-se ao tráfego de entrada (ingresso) ou ao tráfego de saída (egresso). Você pode conceder acesso a uma origem ou destino específico.
Conteúdo
Noções básicas sobre grupos de segurança
-
Você pode especificar regras de permissão, mas não regras de negação.
-
Quando você cria um grupo de segurança, ele não possui regras de entrada. Portanto, nenhum tráfego de entrada tem permissão até que você adicione regras de entrada ao grupo de segurança.
-
Quando você cria um grupo de segurança pela primeira vez, ele possui uma regra de saída que permite todo o tráfego de saída do recurso. Você pode remover a regra e adicionar regras de saída que permitem somente tráfego de saída específico. Se o grupo de segurança não tiver nenhuma regra de saída, nenhum tráfego de saída será permitido.
-
Quando você associa vários grupos de segurança a um recurso, as regras de cada grupo de segurança são agregadas para formar um único conjunto de regras, que é utilizado para determinar se o acesso deve ser permitido.
-
Quando você adiciona, atualiza ou remove regras, elas são aplicadas automaticamente a todos os recursos associados ao grupo de segurança. O efeito de algumas alterações nas regras pode depender de como o tráfego é acompanhado. Para obter mais informações, consulte Rastreamento de conexão no Guia do usuário do Amazon EC2.
-
Quando você cria uma regra para o grupo de segurança, a AWS atribui um ID exclusivo à regra. É possível usar o ID de uma regra ao usar a API ou a CLI para modificar ou excluir a regra.
Limitação
Grupos de segurança não podem bloquear solicitações de DNS de ou para o Route 53 Resolver, às vezes chamado de “endereço IP VPC+2” (consulte Amazon Route 53 Resolver no Guia do desenvolvedor do Amazon Route 53) ou como AmazonProvidedDNS. Para filtrar solicitações de DNS usando o Route 53 Resolver, use o Route 53 Resolver DNS Firewall.
Componentes de uma regra de grupo de segurança
-
Protocolo: o protocolo a permitir. Os protocolos mais comuns são 6 (TCP), 17 (UDP) e 1 (ICMP).
-
Intervalo de portas: para TCP, UDP ou um protocolo personalizado, o intervalo de portas a ser permitido. É possível especificar um único número de porta (por exemplo,
22) ou um intervalo de números de portas (por exemplo,7000-8000). -
Tipo e código do ICMP: para o ICMP, o tipo e o código do ICMP. Por exemplo, use o tipo 8 para solicitação de eco ICMP ou digite 128 para solicitação de eco ICMPv6.
-
Origem ou destino: a origem (regras de entrada) ou o destino (regras de saída) para permitir o tráfego. Especifique um dos seguintes:
-
Um endereço IPv4 único. Use o comprimento de prefixo
/32. Por exemplo,203.0.113.1/32. -
Um endereço IPv6 único. Use o comprimento de prefixo
/128. Por exemplo,2001:db8:1234:1a00::123/128. -
Um intervalo de endereços IPv4, em notação de bloco CIDR. Por exemplo,
203.0.113.0/24. -
Um intervalo de endereços IPv6, em notação de bloco CIDR. Por exemplo,
2001:db8:1234:1a00::/64. -
O ID de uma lista de prefixos. Por exemplo,
pl-1234abc1234abc123. Para ter mais informações, consulte Agrupar blocos CIDR usando listas de prefixos gerenciadas. -
O ID de um grupo de segurança. Por exemplo,
sg-1234567890abcdef0. Para ter mais informações, consulte Referenciamento de grupo de segurança.
-
-
(Opcional) Descrição: é possível adicionar uma descrição à regra, que pode ajudá-lo a identificá-la posteriormente. Uma descrição pode ser até 255 caracteres de comprimento. Os caracteres permitidos são a-z, A-Z, 0-9, espaços e ._-:/()#,@[]+=;{}!$*.
Referenciamento de grupo de segurança
Quando você especifica um grupo de segurança como a origem ou o destino de uma regra, a regra afeta todas as instâncias associadas aos grupos de segurança. As instâncias podem se comunicar na direção especificada, usando os endereços IP privados das instâncias, pelo protocolo e pela porta especificados.
O exemplo a seguir representa uma regra de entrada de um grupo de segurança que faz referência ao grupo de segurança sg-0abcdef1234567890. Essa regra permite tráfego SSH de entrada das instâncias associadas a sg-0abcdef1234567890.
| Origem | Protocolo | Intervalo de portas |
|---|---|---|
sg-0abcdef1234567890 |
TCP | 22 |
Ao fazer referência a um grupo de segurança em uma regra de grupo de segurança, observe o seguinte:
-
Ambos os grupos de segurança devem pertencer à mesma VPC ou VPC emparelhada.
-
Nenhuma regra do grupo de segurança referenciado é adicionada ao grupo de segurança que faz referência a ele.
-
Para regras de entrada, as instâncias do EC2 associadas ao grupo de segurança podem receber tráfego de entrada para os endereços IP privados das instâncias do EC2 associadas ao grupo de segurança.
-
Para regras de saída, as instâncias do EC2 associadas a um grupo de segurança podem enviar tráfego de saída aos endereços IP privados das instâncias do EC2 associadas ao grupo de segurança referenciado.
Limitação
Se você configurar rotas para encaminhar o tráfego entre duas instâncias em sub-redes diferentes por meio de um dispositivo middlebox, deverá garantir que os grupos de segurança de ambas as instâncias permitam o fluxo de tráfego entre as instâncias. O grupo de segurança para cada instância deve fazer referência ao endereço IP privado da outra instância ou ao intervalo CIDR da sub-rede que contém a outra instância, como a origem. Se você fizer referência ao grupo de segurança da outra instância como a origem, isso não permitirá que o tráfego flua entre as instâncias.
Exemplo
O diagrama a seguir mostra uma VPC com sub-redes em duas zonas de disponibilidade, um gateway da Internet e um Application Load Balancer. Cada zona de disponibilidade tem uma sub-rede pública para servidores da Web e uma sub-rede privada para servidores de banco de dados. Há grupos de segurança separados para o balanceador de carga, os servidores da Web e os servidores de banco de dados. Crie as seguintes regras de grupos de segurança para permitir o tráfego.
-
Adicione regras ao grupo de segurança do balanceador de carga para permitir o tráfego HTTP e HTTPS da Internet. A origem é 0,0.0.0/0.
-
Adicione regras ao grupo de segurança dos servidores Web para permitir tráfego HTTP e HTTPS somente do balanceador de carga. A origem é o grupo de segurança do balanceador de carga.
-
Adicione regras ao grupo de segurança dos servidores de banco de dados para permitir solicitações de banco de dados dos servidores Web. A origem é o grupo de segurança dos servidores Web.
Tamanho do grupo de segurança
O tipo de origem ou destino determina como cada regra conta para o número máximo de regras que você pode ter por grupo de segurança.
-
Uma regra que faz referência a um bloco CIDR é contabilizada como uma regra.
-
Uma regra que faz referência a outro grupo de segurança é contabilizada como uma regra, independentemente do tamanho do grupo de segurança referenciado.
-
Uma regra que faz referência a uma lista de prefixos gerenciada pelo cliente é contabilizada como o tamanho máximo da lista de prefixos. Por exemplo, se o tamanho máximo da sua lista de prefixos for 20, uma regra que faça referência a essa lista de prefixos será contabilizada como 20 regras.
-
Uma regra que utiliza uma lista de prefixos gerenciada por AWS é ponderada pelo peso atribuído a essa lista de prefixos. Por exemplo, se o peso da lista de prefixos for 10, uma regra que faz referência a essa lista será considerada como 10 regras. Para ter mais informações, consulte Listas de prefixos gerenciados pela AWS disponíveis.
Regras de grupo de segurança obsoletas
Se a VPC tiver uma conexão de emparelhamento da VPC com outra VPC, ou se utilizar uma VPC compartilhada por outra conta, uma regra do grupo de segurança em sua VPC pode fazer referência a um grupo de segurança no par da VPC ou na VPC compartihada. Isso permite que as instâncias associadas ao grupo de segurança referenciado e aquelas associadas ao grupo de segurança de referência se comuniquem entre si.
Se ocorrer a exclusão do grupo de segurança na VPC compartilhada ou da conexão de emparelhamento da VPC, a regra do grupo de segurança será marcada como obsoleta. Você pode excluir regras de grupo de segurança obsoletas, como faria com qualquer outra regra do grupo de segurança. Para obter mais informações, consulte Trabalhar com regras de grupos de segurança obsoletas no Guia de emparelhamento da Amazon VPC.
Trabalhar com regras de grupo de segurança
As tarefas a seguir mostram como trabalhar com as regras dos grupos de segurança.
Permissões obrigatórias
Tarefas
Adicionar regras a um grupo de segurança
Quando você adiciona uma regra a um grupo de segurança, a nova regra é aplicada automaticamente a todos os recursos associados ao grupo de segurança.
Se você tiver uma conexão de emparelhamento de VPC, você pode fazer referência a grupos de segurança de par da VPC como origem ou destino nas regras do seu grupo de segurança. Para obter mais informações, consulte Atualização das regras do grupo de segurança para referenciar os grupos de segurança na VPC emparelhada em Guia de emparelhamento da Amazon VPC.
Para obter mais informações sobre as permissões necessárias para gerenciar as regras dos grupos de segurança, consulte Gerenciar regras de grupos de segurança.
Atenção
Se você escolher Anywhere-IPv4, o tráfego de todos os endereços IPv4 será permitido. Se você escolher Anywhere-IPv6, o tráfego de todos os endereços IPv6 será permitido. Ao adicionar regras para as portas 22 (SSH) ou 3389 (RDP), autorize somente intervalos específicos de endereços IP a acessar as instâncias.
Para adicionar uma regra usando o console
Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/
. -
No painel de navegação, selecione Grupos de segurança.
-
Selecione o grupo de segurança.
-
Selecione Actions (Ações), Edit inbound rules (Editar regras de entrada) ou Actions (Ações), Edit outbound rules (Editar regras de saída).
-
Para cada regra, selecione Add Rule (Adicionar regra) e faça o seguinte.
-
Em Type (Tipo), escolha o tipo de protocolo a ser permitido.
-
Para TCP ou UDP, é necessário fornecer o intervalo de portas que será permitido.
-
Para ICMP personalizado, você deverá escolher o nome do tipo ICMP em Protocol (Protocolo) e, se aplicável, o nome do código em Port range (Intervalo de portas).
-
Para qualquer outro tipo, o protocolo e o intervalo de portas serão configurados automaticamente.
-
-
Para Source type (Tipo de origem) (Regras de entrada) ou Destination type (Tipo de destino) (regras de saída), siga um destes procedimentos para permitir o tráfego:
-
Escolha Custom (Personalizado) e insira um endereço IP na notação CIDR, um bloco CIDR, outro grupo de segurança ou uma lista de prefixos.
-
Escolha Anywhere-IPv4 (Qualquer lugar-IPv4) para permitir o tráfego de qualquer endereço IPv4 (regras de entrada) ou para permitir que o tráfego alcance todos os endereços IPv4 (regras de saída). Essa opção adiciona automaticamente uma regra para o bloco CIDR IPv4 0.0.0.0/0.
-
Escolha Anywhere-IPv6 (Qualquer lugar-IPv6) para permitir o tráfego de qualquer endereço IPv6 (regras de entrada) ou para permitir que o tráfego alcance todos os endereços IPv6 (regras de saída). Essa opção adiciona automaticamente uma regra para o bloco CIDR IPv6 ::/0.
-
Escolha My IP (Meu IP) para permitir o tráfego de entrada somente do endereço IPv4 público do computador local.
-
-
(Opcional) Em Description (Descrição), especifique uma breve descrição para a regra.
-
-
Escolha Save rules (Salvar regras).
Para adicionar uma regra a um grupo de segurança usando a AWS CLI
Use os comandos authorize-security-group-ingress e authorize-security-group-egress.
Atualizar regras do grupo de segurança
Quando você atualiza uma regra, ela é aplicada automaticamente a todos os recursos associados ao grupo de segurança.
Para obter mais informações sobre as permissões necessárias para gerenciar as regras dos grupos de segurança, consulte Gerenciar regras de grupos de segurança.
Para atualizar uma regra usando o console
Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/
. -
No painel de navegação, selecione Grupos de segurança.
-
Selecione o grupo de segurança.
-
Selecione Actions (Ações), Edit inbound rules (Editar regras de entrada) ou Actions (Ações), Edit outbound rules (Editar regras de saída).
-
Atualize a regra conforme necessário.
-
Escolha Save rules (Salvar regras).
Para atualizar uma regra do grupo de segurança usando a AWS CLI
Use os comandos modify-security-group-rules, update-security-group-rule-descriptions-ingress e update-security-group-rule-descriptions-egress.
Marcar regras de grupos de segurança
Adicione tags aos seus recursos para ajudar a organizá-los e identificá-los, por exemplo, por propósito, proprietário ou ambiente. É possível adicionar tags a regras de grupos de segurança. As chaves de tag devem ser únicas para cada regra de grupo de segurança. Se você adicionar uma tag com uma chave que já está associada ao grupo de segurança, o valor dessa tag será atualizado.
Para marcar uma regra usando o console
Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/
. -
No painel de navegação, selecione Grupos de segurança.
-
Selecione o grupo de segurança.
-
Na guia Inbound rules (Regras de entrada) ou Outbound rules (Regras de saída), marque a caixa de seleção da regra e escolha Manage tags (Gerenciar tags).
-
A seção Manage tags (Gerenciar tags) exibe todas as tags atribuídas à regra. Para adicionar uma tag, escolha Add tag (Adicionar tag), e insira a chave e o valor da tag. Para excluir uma tag, escolha Remove (Remover) ao lado da tag que você deseja excluir.
-
Escolha Salvar alterações.
Para aplicar tags a uma regra usando a AWS CLI
Use o comando create-tags.
Excluir regras do grupo de segurança
Quando você excluir uma regra de um grupo de segurança, a alteração é aplicada automaticamente a todas as instâncias que estão associadas ao grupo de segurança.
Para excluir uma regra do grupo de segurança usando o console
Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/
. -
No painel de navegação, selecione Grupos de segurança.
-
Selecione o grupo de segurança.
-
Escolha Actions (Ações) e Edit inbound rules (Editar regras de entrada) para remover uma regra de entrada ou Edit outbound rules (Editar regras de saída) para remover uma regra de saída.
-
Escolha o botão Delete (Excluir) próximo à regra que será excluída.
-
Escolha Save rules (Salvar regras). Como alternativa, escolha Visualizar alterações, analise suas alterações e escolha Confirmar.
Para excluir um regra de um grupo de segurança usando a AWS CLI
Use os comandos revoke-security-group-ingress e revoke-security-group-egress.
Exemplos de regras
Servidores da web
A seguir são mostrados exemplos de regras para um grupo de segurança para seus servidores Web. Os servidores Web podem receber tráfego HTTP e HTTPS de todos os endereços IPv4 e IPv6 e enviar tráfego SQL ou MySQL para um servidor de banco de dados.
Atenção
Quando adicionar regras para as portas 22 (SSH) ou 3389 (RDP) para poder acessar as instâncias do EC2, recomendamos que você autorize somente intervalos específicos de endereços IP. Se você especificar 0.0.0.0/0 (IPv4) e ::/ (IPv6), qualquer pessoa poderá acessar suas instâncias de qualquer endereço IP usando o protocolo especificado.
Entrada | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Origem | Protocolo | Intervalo de portas | Descrição | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
0.0.0.0/0 |
TCP |
80 |
Permite acesso HTTP de entrada de todos os endereços IPv4 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ::/0 | TCP | 80 | Permite acesso HTTP de entrada de todos os endereços IPv6 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
0.0.0.0/0 |
TCP |
443 |
Permite acesso HTTPS de entrada de todos os endereços IPv4 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ::/0 | TCP | 443 | Permite acesso HTTPS de entrada de todos os endereços IPv6 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Intervalo de endereços IPv4 públicos da sua rede |
TCP |
22 |
(Opcional) Permite acesso SSH de entrada de endereços IP IPv4 na sua rede |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Intervalo de endereços IPv6 da sua rede |
TCP | 22 | (Opcional) Permite acesso SSH de entrada de endereços IP IPv6 na sua rede | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Intervalo de endereços IPv4 públicos da sua rede |
TCP |
3389 |
(Opcional) Permite acesso RDP de entrada de endereços IP IPv4 na sua rede |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Intervalo de endereços IPv6 da sua rede |
TCP | 3389 | (Opcional) Permite acesso RDP de entrada de endereços IP IPv6 na sua rede | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ID deste grupo de segurança |
Todos | Todos | (Opcional) Permite tráfego de entrada de outros servidores associados a este grupo de segurança | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Saída | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Destino | Protocolo | Intervalo de portas | Descrição | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ID do grupo de segurança para instâncias que executam o Microsoft SQL Server |
TCP |
1433 |
Permite acesso de saída ao Microsoft SQL Server |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ID do grupo de segurança para instâncias que executam MySQL |
TCP |
3306 |
Permite acesso de saída ao MySQL |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Servidores de banco de dados
Os servidores de banco de dados exigem regras que permitam a entrada de protocolos específicos, como MySQL ou Microsoft SQL Server. Para obter exemplos, consulte Regras de servidor de banco de dados no Guia do usuário do Amazon EC2. Para obter mais informações sobre grupos de segurança para instâncias de banco de dados do RDS, consulte Controlar acesso com grupos de segurança no Manual do usuário do Amazon RDS.
Solucionar problemas de acessibilidade
O Reachability Analyzer é uma ferramenta de análise de configuração estática. Use o Reachability Analyzer para analisar e depurar a acessibilidade da rede entre dois recursos em sua VPC. O Reachability Analyzer produz detalhes salto a salto do caminho virtual entre esses recursos quando eles estão acessíveis e identifica o componente responsável pelo bloqueio quando eles estão inacessíveis. Por exemplo, ele pode identificar regras de grupos de segurança ausentes ou mal configuradas.
Para obter mais informações, consulte o Guia do Analisador de Acessabilidade.
