View a markdown version of this page

Die Sicherheitsgruppen für Ihre Amazon-EC2-Instance ändern - Amazon Elastic Compute Cloud
Sicherheitsgruppen hinzufügen oder entfernenSicherheitsgruppenregeln konfigurieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die Sicherheitsgruppen für Ihre Amazon-EC2-Instance ändern

Sie können Sicherheitsgruppen für Ihre Amazon-EC2-Instances angeben, wenn Sie sie starten. Nach dem Start einer Instance können Sie deren Sicherheitsgruppen ändern oder entfernen. Sie können auch jederzeit Sicherheitsgruppenregeln für zugehörige Sicherheitsgruppen hinzufügen, entfernen oder bearbeiten.

Sicherheitsgruppen sind mit Netzwerkschnittstellen verknüpft. Durch das Hinzufügen oder Entfernen von Sicherheitsgruppen werden die Sicherheitsgruppen geändert, die mit der primären Netzwerkschnittstelle verknüpft sind. Sie können auch die Sicherheitsgruppen ändern, die mit irgendwelchen sekundären Netzwerkschnittstellen verknüpft sind. Weitere Informationen finden Sie unter Ändern der Netzwerkschnittstellen-Attribute.

Sicherheitsgruppen hinzufügen oder entfernen

Nach dem Start einer Instance können Sie Sicherheitsgruppen zur Liste der zugehörigen Sicherheitsgruppen hinzufügen oder von ihr entfernen. Wenn Sie mehrere Sicherheitsgruppen mit einer Instance verbinden, werden die Regeln jeder Sicherheitsgruppe effektiv zu einem einzigen Regelsatz zusammengeführt. Mit diesem Regelsatz bestimmt Amazon EC2, ob der Datenverkehr erlaubt ist.

Voraussetzungen

  • Die Instance muss sich im running- oder stopped-Status befinden.

Console
So ändern Sie die Sicherheitsgruppen für eine Instance

  1. Öffnen Sie die Amazon-EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Instances aus.

  3. Wählen Sie Ihre Instance und wähle Sie dann Actions (Aktionen), Security (Sicherheit), Change security groups (Sicherheitsgruppen ändern) aus.

  4. Wählen Sie für Associated security groups (Zugehörige Sicherheitsgruppen) eine Sicherheitsgruppe aus der Liste aus und klicken Sie auf Add security group (Sicherheitsgruppe hinzufügen).

    Um eine bereits zugeordnete Sicherheitsgruppe zu entfernen, wählen Remove (Entfernen) für diese Sicherheitsgruppe.

  5. Wählen Sie Save aus.

AWS CLI
So ändern Sie die Sicherheitsgruppen für eine Instance

Verwenden Sie den Befehl modify-instance-attribute.

aws ec2 modify-instance-attribute \
    --instance-id i-1234567890abcdef0 \
    --groups sg-1234567890abcdef0
PowerShell
So ändern Sie die Sicherheitsgruppen für eine Instance

Verwenden Sie das cmdlet Edit-EC2InstanceAttribute.

Edit-EC2InstanceAttribute `
    -InstanceId i-1234567890abcdef0 `
    -Group sg-1234567890abcdef0

Sicherheitsgruppenregeln konfigurieren

Nachdem Sie eine Sicherheitsgruppe erstellt haben, können Sie die zugehörigen Sicherheitsgruppenregeln hinzufügen, aktualisieren und löschen. Wenn Sie eine Regel hinzufügen, aktualisieren oder löschen, gilt die aktualisierte Regel automatisch für alle Ressourcen, die der Sicherheitsgruppe zugewiesen sind.

Für Beispiele für Regeln, die Sie einer Sicherheitsgruppe hinzufügen können, siehe Sicherheitsgruppenregeln für verschiedene Anwendungsfälle.

Erforderliche Berechtigungen

Stellen Sie zuerst sicher, dass Sie über die erforderlichen Berechtigungen verfügen. Weitere Informationen finden Sie unter Beispiel: Arbeiten mit Sicherheitsgruppen.

Protokolle und Ports

  • Wenn Sie in der Konsole einen vordefinierten Typ auswählen, werden Protokoll und Portbereich für Sie angegeben. Um einen Portbereich einzugeben, müssen Sie einen der folgenden benutzerdefinierten Typen auswählen: Benutzerdefiniertes TCP oder Benutzerdefiniertes UDP.

  • Mit dem AWS CLI können Sie mithilfe der --port Optionen --protocol und eine einzelne Regel mit einem einzigen Port hinzufügen. Um mehrere Regeln oder eine Regel mit einem Portbereich hinzuzufügen, verwenden Sie stattdessen die Option --ip-permissions.

Quellen und Ziele

  • Mit der Konsole können Sie Folgendes als Quellen für Regeln für eingehenden Datenverkehr oder als Ziele für Regeln für ausgehenden Datenverkehr angeben.

    • Benutzerdefiniert – Ein IPv4-CIDR-Block, ein IPv6-CIDR-Block, eine Sicherheitsgruppe oder eine Präfixliste.

    • Anywhere-IPv4— Die 0.0.0. 0/0 IPv4-CIDR-Block.

    • Anywhere-IPv6— Der: :/0 IPv6-CIDR-Block.

    • Meine IP: Die öffentliche IPv4-Adresse Ihres lokalen Computers wird automatisch hinzugefügt.

  • Mit dem AWS CLI können Sie einen IPv4-CIDR-Block mithilfe der --cidr Option oder eine Sicherheitsgruppe mithilfe der Option angeben. --source-group Verwenden Sie die Option --ip-permissions, um eine Präfixliste oder einen IPv6-CIDR-Block anzugeben.

Warnung

Wenn Sie eingehende Regeln für die Ports 22 (SSH) oder 3389 (RDP) hinzufügen, empfehlen wir Ihnen dringend, nur die spezifischen IP-Adressen oder Adressbereiche zuzulassen, die Zugriff auf Ihre Instances benötigen. Wenn Sie möchten, erlauben Sie Anywhere-IPv4, dass Datenverkehr von allen IPv4-Adressen über das angegebene Protokoll auf Ihre Instances zugreift. Wenn Sie sich dafür entscheiden Anywhere-IPv6, lassen Sie zu, dass Traffic von allen IPv6-Adressen über das angegebene Protokoll auf Ihre Instances zugreift.

Console
Konfigurieren von Sicherheitsgruppenregeln

  1. Öffnen Sie die Amazon-EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Security Groups (Sicherheitsgruppen) aus.

  3. Wählen Sie die Sicherheitsgruppe aus.

  4. Wählen Sie unter Aktionen oder auf der Registerkarte Regeln für eingehenden Datenverkehr die Option Bearbeiten von Regeln für eingehenden Datenverkehr aus, um die Regeln für den eingehenden Datenverkehr zu bearbeiten.

    1. Um eine Regel hinzuzufügen, wählen Sie Regel hinzufügen aus und geben Sie den Typ, das Protokoll, den Port und die Quelle für die Regel ein.

      Wenn es sich beim Typ um TCP oder UDP handelt, müssen Sie den zuzulassenden Portbereich eingeben. Für ein benutzerdefiniertes ICMP müssen Sie den Namen des ICMP-Typs aus Protocol (Protokoll= und, falls zutreffend, den Codenamen aus Port range (Portbereich) wählen. Für einen anderen Typ werden das Protokoll und der Portbereich für Sie konfiguriert.

    2. Andern Sie das Protokoll, die Beschreibung und die Quelle nach Bedarf, um eine Regel zu aktualisieren. Sie können jedoch den Quellentyp nicht ändern. Wenn die Quelle beispielsweise ein IPv4-CIDR-Block ist, können Sie keinen IPv6-CIDR-Block, keine Präfixliste oder Sicherheitsgruppe angeben.

    3. Klicken Sie auf die Schaltfläche Löschen, um eine Regel zu löschen.

  5. Um die Regeln für den ausgehenden Datenverkehr zu bearbeiten, wählen Sie Regeln für ausgehenden Datenverkehr bearbeiten unter Aktionen oder auf der Registerkarte Regeln für ausgehenden Datenverkehr aus.

    1. Um eine Regel hinzuzufügen, wählen Sie Regel hinzufügen aus und geben Sie den Typ, das Protokoll, den Port und das Ziel für die Regel ein. Sie können auch eine optionale Beschreibung eingeben.

      Wenn es sich beim Typ um TCP oder UDP handelt, müssen Sie den zuzulassenden Portbereich eingeben. Für ein benutzerdefiniertes ICMP müssen Sie den Namen des ICMP-Typs aus Protocol (Protokoll= und, falls zutreffend, den Codenamen aus Port range (Portbereich) wählen. Für einen anderen Typ werden das Protokoll und der Portbereich für Sie konfiguriert.

    2. Andern Sie das Protokoll, die Beschreibung und die Quelle nach Bedarf, um eine Regel zu aktualisieren. Sie können jedoch den Quellentyp nicht ändern. Wenn die Quelle beispielsweise ein IPv4-CIDR-Block ist, können Sie keinen IPv6-CIDR-Block, keine Präfixliste oder Sicherheitsgruppe angeben.

    3. Klicken Sie auf die Schaltfläche Löschen, um eine Regel zu löschen.

  6. Wählen Sie Regeln speichern aus.

AWS CLI
So fügen Sie Sicherheitsgruppenregeln hinzu

Verwenden Sie den Befehl authorize-security-group-ingress, um Regeln für eingehenden Datenverkehr hinzuzufügen. Das folgende Beispiel erlaubt eingehenden SSH-Datenverkehr aus den CIDR-Blöcken in der angegebenen Präfixliste.

aws ec2 authorize-security-group-ingress \
    --group-id sg-1234567890abcdef0 \
    --ip-permissions 'IpProtocol=tcp,FromPort=22,ToPort=22,PrefixListIds=[{PrefixListId=pl-f8a6439156EXAMPLE}]'

Verwenden Sie den Befehl authorize-security-group-egress, um Regeln für ausgehenden Datenverkehr hinzuzufügen. Im folgenden Beispiel wird ausgehender TCP-Datenverkehr auf Port 80 für Instances mit der angegebenen Sicherheitsgruppe zugelassen.

aws ec2 authorize-security-group-egress \
    --group-id sg-1234567890abcdef0 \
    --ip-permissions 'IpProtocol=tcp,FromPort=80,ToPort=80,UserIdGroupPairs=[{GroupId=sg-0aad1c26bb6EXAMPLE}]'
So entfernen Sie Sicherheitsgruppenregeln

Verwenden Sie den Befehl revoke-security-group-ingress, um eine Regel für eingehenden Datenverkehr zu entfernen.

aws ec2 revoke-security-group-egress \
    --group id sg-1234567890abcdef0 \
    --security-group-rule-ids sgr-09ed298024EXAMPLE

Verwenden Sie den Befehl revoke-security-group-egress, um eine Regel für ausgehenden Datenverkehr zu entfernen.

aws ec2 revoke-security-group-ingress \
    --group id sg-1234567890abcdef0 \
    --security-group-rule-ids sgr-0352250c1aEXAMPLE
So modifizieren Sie Sicherheitsgruppenregeln

Verwenden Sie den Befehl modify-security-group-rules. Das folgende Beispiel ändert den IPv4-CIDR-Block der angegebenen Sicherheitsgruppenregel.

aws ec2 modify-security-group-rules \
    --group id sg-1234567890abcdef0 \
    --security-group-rules 'SecurityGroupRuleId=sgr-09ed298024EXAMPLE,SecurityGroupRule={IpProtocol=tcp,FromPort=80,ToPort=80,CidrIpv4=0.0.0.0/0}'
PowerShell
So fügen Sie Sicherheitsgruppenregeln hinzu

Verwenden Sie das Grant-EC2SecurityGroupIngressCmdlet, um Regeln für eingehenden Datenverkehr hinzuzufügen. Das folgende Beispiel erlaubt eingehenden SSH-Datenverkehr aus den CIDR-Blöcken in der angegebenen Präfixliste.

$plid = New-Object -TypeName Amazon.EC2.Model.PrefixListId
$plid.Id = "pl-f8a6439156EXAMPLE"
Grant-EC2SecurityGroupIngress `
    -GroupId sg-1234567890abcdef0 `
    -IpPermission @{IpProtocol="tcp"; FromPort=22; ToPort=22; PrefixListIds=$plid}

Verwenden Sie das Grant-EC2SecurityGroupEgressCmdlet, um Regeln für ausgehenden Datenverkehr hinzuzufügen. Im folgenden Beispiel wird ausgehender TCP-Datenverkehr auf Port 80 für Instances mit der angegebenen Sicherheitsgruppe zugelassen.

$uigp = New-Object -TypeName Amazon.EC2.Model.UserIdGroupPair
$uigp.GroupId = "sg-0aad1c26bb6EXAMPLE"
Grant-EC2SecurityGroupEgress `
    -GroupId sg-1234567890abcdef0 `
    -IpPermission @{IpProtocol="tcp"; FromPort=80; ToPort=80; UserIdGroupPairs=$uigp}
So entfernen Sie Sicherheitsgruppenregeln

Verwenden Sie das Revoke-EC2SecurityGroupIngressCmdlet, um Regeln für eingehenden Datenverkehr zu entfernen.

Revoke-EC2SecurityGroupIngress `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRuleId sgr-09ed298024EXAMPLE

Verwenden Sie das Revoke-EC2SecurityGroupEgressCmdlet, um Regeln für ausgehenden Datenverkehr zu entfernen.

Revoke-EC2SecurityGroupEgress `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRuleId sgr-0352250c1aEXAMPLE
So modifizieren Sie Sicherheitsgruppenregeln

Verwenden Sie das cmdlet Edit-EC2SecurityGroupRule. Das folgende Beispiel ändert den IPv4-CIDR-Block der angegebenen Sicherheitsgruppenregel.

$sgrr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleRequest
$sgrr.IpProtocol = "tcp"
$sgrr.FromPort = 80
$sgrr.ToPort = 80
$sgrr.CidrIpv4 = "0.0.0.0/0"
$sgr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleUpdate
$sgr.SecurityGroupRuleId = "sgr-09ed298024EXAMPLE"
$sgr.SecurityGroupRule = $sgrr
Edit-EC2SecurityGroupRule  `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRule $sgr