Compartilhar grupos de segurança com o AWS Organizations - Amazon Virtual Private Cloud
Compartilhar um grupo de segurançaParar de compartilhar um grupo de segurança

Compartilhar grupos de segurança com o AWS Organizations

O recurso grupo de segurança compartilhado possibilita compartilhar um grupo de segurança com outras contas do AWS Organizations na mesma região da AWS, tornando o grupo de segurança disponível para ser usado por essas contas.

O diagrama a seguir demonstra como você pode usar o atributo Grupo de Segurança Compartilhado para simplificar o gerenciamento de grupos de segurança entre as contas do AWS Organizations:

Um diagrama do compartilhamento de grupo de segurança com outras contas em uma sub-rede da VPC compartilhada.

Este diagrama mostra três contas que fazem parte da mesma organização. A conta A compartilha uma sub-rede da VPC com as contas B e C. A conta A compartilha o grupo de segurança com as contas B e C usando o atributo Grupo de Segurança Compartilhado. As contas B e C então usam esse grupo de segurança quando iniciam instâncias na sub-rede compartilhada. Isso permite que a conta A gerencie o grupo de segurança, e todas as atualizações do grupo de segurança se aplicam aos recursos que as contas B e C têm em execução na sub-rede da VPC compartilhada.

Requisitos do atributo Grupo de Segurança Compartilhado

  • Esse atributo só está disponível em contas na mesma organização do AWS Organizations. O Compartilhamento de recurso deve estar habilitado no AWS Organizations.

  • A conta que compartilha o grupo de segurança deve ser a proprietária da VPC e do grupo de segurança.

  • Você não pode compartilhar os grupos de segurança padrão.

  • Você não pode compartilhar grupos de segurança que estejam em uma VPC padrão.

  • As contas participantes podem criar grupos de segurança em uma VPC compartilhada, mas não podem compartilhar esses grupos de segurança.

  • É necessário um conjunto mínimo de permissões para uma entidade principal do IAM compartilhar um grupo de segurança com o AWS RAM. Use as políticas gerenciadas do IAM AmazonEC2FullAccess e AWSResourceAccessManagerFullAccess para garantir que as entidades superiores do IAM tenham as permissões necessárias para compartilhar e usar os grupos de segurança compartilhados. Se você usar uma política personalizada do IAM, as ações c2:PutResourcePolicy e ec2:DeleteResourcePolicy serão são necessárias. Essas são ações do IAM realizadas somente com permissão. Se uma entidade principal do IAM não tiver essas permissões, ocorrerá um erro quando ela tentar compartilhar o grupo de segurança usando o AWS RAM.

Serviços compatíveis com esse atributo

  • Amazon API Gateway

  • Amazon EC2

  • Amazon ECS

  • Amazon EFS

  • Amazon EKS

  • Amazon EMR

  • Amazon FSx

  • Amazon ElastiCache

  • AWS Elastic Beanstalk

  • AWS Glue

  • Amazon MQ

  • Amazon SageMaker AI

  • Elastic Load Balancing

    • Application Load Balancer

    • Network Load Balancer

Como esse atributo afeta as cotas existentes

Cotas de grupo de segurança se aplicam. No entanto, para a cota “Grupos de segurança por interface de rede”, se um participante usar tanto grupos próprios quanto grupos compartilhados em uma interface de rede elástica (ENI), a cota mínima entre o proprietário e o participante será aplicada.

Exemplo para demonstrar como a cota é afetada por esse atributo:

  • Cota da conta do proprietário: 4 grupos de segurança por interface

  • Cota da conta do participante: 5 grupos de segurança por interface.

  • O proprietário compartilha os grupos SG-O1, SG-O2, SG-O3, SG-O4, SG-O5 com o participante. O participante já tem seus próprios grupos na VPC: SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.

  • Se o participante criar uma ENI e usar somente apenas seus próprios grupos, poderá associar todos os 5 grupos de segurança (SG-P1, SG-P2, SG-P3, SG-P4, SG-P5) porque essa é sua cota.

  • Se o participante criar uma ENI e usar nela algum grupo compartilhado, poderá associar até 4 grupos. Nesse caso, a cota para essa ENI será o mínimo das cotas do proprietário e do participante. As possíveis configurações válidas serão assim:

    • SG-O1, SG-P1, SG-P2, SG-P3

    • SG-O1, SG-O2, SG-O3, SG-O4

Compartilhar um grupo de segurança

Esta seção explica como usar o AWS Management Console e a AWS CLI para compartilhar um grupo de segurança com outras contas da organização.

AWS Management Console
Para compartilhar um grupo de segurança

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação esquerdo, escolha Grupos de segurança.

  3. Escolha um grupo de segurança para visualizar os detalhes.

  4. Escolha a guia Sharing (Compartilhamento).

  5. Escolha Grupo de segurança compartilhado.

  6. Escolha Criar compartilhamento de recursos. Como resultado, o console do AWS RAM será aberto, e nele você criará o compartilhamento de recurso para o grupo de segurança.

  7. Insira um Nome para o recurso compartilhado.

  8. Em Recursos: opcional, escolha Grupos de segurança.

  9. Escolha um grupo de segurança. O grupo de segurança não pode ser um grupo de segurança padrão e não pode estar associado à VPC padrão.

  10. Escolha Próximo.

  11. Revise as ações que as entidades principais terão permissão de realizar e escolha Avançar.

  12. Em Entidades principais: opcional, escolha Permitir compartilhamento apenas dentro da organização.

  13. Em Entidades principais, selecione um dos seguintes tipos de entidade principal e insira os números apropriados:

    • Conta da AWS: o número de uma conta da organização.

    • Organização: o ID do AWS Organizations.

    • Unidade organizacional (UO): o ID de uma UO da organização.

    • Perfil do IAM: o ARN de um perfil do IAM. A conta que criou o perfil deve ser membro da mesma organização que a conta que está criando esse compartilhamento de recurso.

    • Usuário do IAM: o ARN de um usuário do IAM. A conta que criou o usuário deve ser membro da mesma organização que a conta que está criando esse compartilhamento de recurso.

    • Entidade principal do serviço: você não pode compartilhar um grupo de segurança com uma entidade principal do serviço.

  14. Escolha Adicionar.

  15. Escolha Próximo.

  16. Escolha Criar compartilhamento de recursos.

  17. Em Recursos compartilhados, aguarde para ver o Status de Associated. Se houver uma falha na associação do grupo de segurança, a causa talvez seja uma das limitações listadas acima. Visualize os detalhes do grupo de segurança e a guia Compartilhamento na página de detalhes para ver todas as mensagens relacionadas motivo pelo qual um grupo de segurança pode não ser compartilhável.

  18. Volte à lista de grupos de segurança no console da VPC.

  19. Escolha o grupo de segurança que você compartilhou.

  20. Escolha a guia Sharing (Compartilhamento). O recurso do AWS RAM deve estar visível ali. Se não estiver, talvez a criação do recurso compartilhado tenha falhado e seja necessário recriá-la.

Command line
Para compartilhar um grupo de segurança

  1. Você primeiro deve criar um compartilhamento de recurso para o grupo de segurança que deseja compartilhar com o AWS RAM. Para ver as etapas de como criar um recurso compartilhado com o AWS RAM usando a AWS CLI, consulte Creating a resource share in AWS RAM no AWS RAM User Guide

  2. Para visualizar as associações de compartilhamento de recurso criadas, use get-resource-share-associations.

O grupo de segurança agora está compartilhado. É possível selecionar o grupo de segurança ao iniciar uma instância do EC2 em uma sub-rede compartilhada na mesma VPC.

Parar de compartilhar um grupo de segurança

Esta seção explica como usar o AWS Management Console e a AWS CLI para parar de compartilhar um grupo de segurança com outras contas da organização.

AWS Management Console
Para parar de compartilhar um grupo de segurança

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação esquerdo, escolha Grupos de segurança.

  3. Escolha um grupo de segurança para visualizar os detalhes.

  4. Escolha a guia Sharing (Compartilhamento).

  5. Escolha um compartilhamento de recurso do grupo de segurança e depois Parar de compartilhar.

  6. Escolha Sim, parar de compartilhar.

Command line

Para parar de compartilhar um grupo de segurança

Exclua o compartilhamento de recurso com delete-resource-share.

O grupo de segurança não está mais sendo compartilhado. Quando o proprietário deixa de compartilhar um grupo de segurança, as seguintes regras se aplicam:

  • As Elastic Network Interfaces (ENIs) de participantes existentes continuam a receber todas as atualizações de regra de grupo de segurança feitas nos grupos de segurança não compartilhados. O cancelamento do compartilhamento só impede que o participante crie novas associações com o grupo não compartilhado.

  • Os participantes não podem mais associar o grupo de segurança não compartilhado a suas próprias ENIs.

  • Os participantes podem descrever e excluir as ENIs que ainda estão associadas aos grupos de segurança não compartilhados.

  • Se os participantes ainda tiverem ENIs associadas ao grupo de segurança não compartilhado, o proprietário não poderá excluir o grupo de segurança não compartilhado. O proprietário só poderá excluir o grupo de segurança depois que os participantes desassociarem (removerem) o grupo de segurança de todas as suas ENIs.

  • Os participantes não podem iniciar novas instâncias do EC2 usando uma ENI associada a um grupo de segurança não compartilhado.