Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Die Sicherheitsgruppen für Ihre Amazon-EC2-Instance ändern
<a name="changing-security-group"></a>

Sie können Sicherheitsgruppen für Ihre Amazon-EC2-Instances angeben, wenn Sie sie starten. Nach dem Start einer Instance können Sie deren Sicherheitsgruppen ändern oder entfernen. Sie können auch jederzeit Sicherheitsgruppenregeln für zugehörige Sicherheitsgruppen hinzufügen, entfernen oder bearbeiten.

Sicherheitsgruppen sind mit Netzwerkschnittstellen verknüpft. Durch das Hinzufügen oder Entfernen von Sicherheitsgruppen werden die Sicherheitsgruppen geändert, die mit der primären Netzwerkschnittstelle verknüpft sind. Sie können auch die Sicherheitsgruppen ändern, die mit irgendwelchen sekundären Netzwerkschnittstellen verknüpft sind. Weitere Informationen finden Sie unter [Ändern der Netzwerkschnittstellen-Attribute](modify-network-interface-attributes.md).

**Topics**
+ [Sicherheitsgruppen hinzufügen oder entfernen](#add-remove-instance-security-groups)
+ [Sicherheitsgruppenregeln konfigurieren](#add-remove-security-group-rules)

## Sicherheitsgruppen hinzufügen oder entfernen
<a name="add-remove-instance-security-groups"></a>

Nach dem Start einer Instance können Sie Sicherheitsgruppen zur Liste der zugehörigen Sicherheitsgruppen hinzufügen oder von ihr entfernen. Wenn Sie mehrere Sicherheitsgruppen mit einer Instance verbinden, werden die Regeln jeder Sicherheitsgruppe effektiv zu einem einzigen Regelsatz zusammengeführt. Mit diesem Regelsatz bestimmt Amazon EC2, ob der Datenverkehr erlaubt ist.

**Voraussetzungen**
+ Die Instance muss sich im `running`- oder `stopped`-Status befinden.

------
#### [ Console ]

**So ändern Sie die Sicherheitsgruppen für eine Instance**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie im Navigationsbereich **Instances** aus.

1. Wählen Sie Ihre Instance und wähle Sie dann **Actions (Aktionen)**, **Security (Sicherheit)**, **Change security groups (Sicherheitsgruppen ändern)** aus.

1. Wählen Sie für **Associated security groups (Zugehörige Sicherheitsgruppen)** eine Sicherheitsgruppe aus der Liste aus und klicken Sie auf **Add security group (Sicherheitsgruppe hinzufügen)**.

   Um eine bereits zugeordnete Sicherheitsgruppe zu entfernen, wählen **Remove (Entfernen)** für diese Sicherheitsgruppe.

1. Wählen Sie **Save** aus.

------
#### [ AWS CLI ]

**So ändern Sie die Sicherheitsgruppen für eine Instance**  
Verwenden Sie den Befehl [modify-instance-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-attribute.html).

```
aws ec2 modify-instance-attribute \
    --instance-id {{i-1234567890abcdef0}} \
    --groups {{sg-1234567890abcdef0}}
```

------
#### [ PowerShell ]

**So ändern Sie die Sicherheitsgruppen für eine Instance**  
Verwenden Sie das cmdlet [Edit-EC2InstanceAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceAttribute.html).

```
Edit-EC2InstanceAttribute `
    -InstanceId {{i-1234567890abcdef0}} `
    -Group {{sg-1234567890abcdef0}}
```

------

## Sicherheitsgruppenregeln konfigurieren
<a name="add-remove-security-group-rules"></a>

Nachdem Sie eine Sicherheitsgruppe erstellt haben, können Sie die zugehörigen Sicherheitsgruppenregeln hinzufügen, aktualisieren und löschen. Wenn Sie eine Regel hinzufügen, aktualisieren oder löschen, gilt die aktualisierte Regel automatisch für alle Ressourcen, die der Sicherheitsgruppe zugewiesen sind.

Für Beispiele für Regeln, die Sie einer Sicherheitsgruppe hinzufügen können, siehe [Sicherheitsgruppenregeln für verschiedene Anwendungsfälle](security-group-rules-reference.md).

**Erforderliche Berechtigungen**  
Stellen Sie zuerst sicher, dass Sie über die erforderlichen Berechtigungen verfügen. Weitere Informationen finden Sie unter [Beispiel: Arbeiten mit Sicherheitsgruppen](iam-policies-ec2-console.md#ex-security-groups).

**Protokolle und Ports**
+ Wenn Sie in der Konsole einen vordefinierten Typ auswählen, werden **Protokoll** und **Portbereich** für Sie angegeben. Um einen Portbereich einzugeben, müssen Sie einen der folgenden benutzerdefinierten Typen auswählen: **Benutzerdefiniertes TCP** oder **Benutzerdefiniertes UDP**.
+ Mit dem AWS CLI können Sie mithilfe der `--port` Optionen `--protocol` und eine einzelne Regel mit einem einzigen Port hinzufügen. Um mehrere Regeln oder eine Regel mit einem Portbereich hinzuzufügen, verwenden Sie stattdessen die Option `--ip-permissions`.

**Quellen und Ziele**
+ Mit der Konsole können Sie Folgendes als Quellen für Regeln für eingehenden Datenverkehr oder als Ziele für Regeln für ausgehenden Datenverkehr angeben.
  + **Benutzerdefiniert** – Ein IPv4-CIDR-Block, ein IPv6-CIDR-Block, eine Sicherheitsgruppe oder eine Präfixliste.
  + **Anywhere-IPv4**— Die 0.0.0. 0/0 IPv4-CIDR-Block.
  + **Anywhere-IPv6**— Der: :/0 IPv6-CIDR-Block.
  + **Meine IP**: Die öffentliche IPv4-Adresse Ihres lokalen Computers wird automatisch hinzugefügt.
+ Mit dem AWS CLI können Sie einen IPv4-CIDR-Block mithilfe der `--cidr` Option oder eine Sicherheitsgruppe mithilfe der Option angeben. `--source-group` Verwenden Sie die Option `--ip-permissions`, um eine Präfixliste oder einen IPv6-CIDR-Block anzugeben.

**Warnung**  
Wenn Sie eingehende Regeln für die Ports 22 (SSH) oder 3389 (RDP) hinzufügen, empfehlen wir Ihnen dringend, nur die spezifischen IP-Adressen oder Adressbereiche zuzulassen, die Zugriff auf Ihre Instances benötigen. Wenn Sie möchten, erlauben Sie **Anywhere-IPv4**, dass Datenverkehr von allen IPv4-Adressen über das angegebene Protokoll auf Ihre Instances zugreift. Wenn Sie sich dafür entscheiden **Anywhere-IPv6**, lassen Sie zu, dass Traffic von allen IPv6-Adressen über das angegebene Protokoll auf Ihre Instances zugreift.

------
#### [ Console ]

**Konfigurieren von Sicherheitsgruppenregeln**

1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Wählen Sie im Navigationsbereich **Security Groups (Sicherheitsgruppen)** aus.

1. Wählen Sie die Sicherheitsgruppe aus.

1. Wählen Sie unter **Aktionen** oder auf der Registerkarte **Regeln für eingehenden Datenverkehr** die Option **Bearbeiten von Regeln für eingehenden Datenverkehr** aus, um die Regeln für den eingehenden Datenverkehr zu bearbeiten.

   1. Um eine Regel hinzuzufügen, wählen Sie **Regel hinzufügen** aus und geben Sie den Typ, das Protokoll, den Port und die Quelle für die Regel ein.

      Wenn es sich beim Typ um TCP oder UDP handelt, müssen Sie den zuzulassenden Portbereich eingeben. Für ein benutzerdefiniertes ICMP müssen Sie den Namen des ICMP-Typs aus **Protocol (Protokoll=** und, falls zutreffend, den Codenamen aus **Port range (Portbereich)** wählen. Für einen anderen Typ werden das Protokoll und der Portbereich für Sie konfiguriert.

   1. Andern Sie das Protokoll, die Beschreibung und die Quelle nach Bedarf, um eine Regel zu aktualisieren. Sie können jedoch den Quellentyp nicht ändern. Wenn die Quelle beispielsweise ein IPv4-CIDR-Block ist, können Sie keinen IPv6-CIDR-Block, keine Präfixliste oder Sicherheitsgruppe angeben.

   1. Klicken Sie auf die Schaltfläche **Löschen**, um eine Regel zu löschen.

1. Um die Regeln für den ausgehenden Datenverkehr zu bearbeiten, wählen Sie **Regeln für ausgehenden Datenverkehr bearbeiten** unter **Aktionen** oder auf der Registerkarte **Regeln für ausgehenden Datenverkehr** aus.

   1. Um eine Regel hinzuzufügen, wählen Sie **Regel hinzufügen** aus und geben Sie den Typ, das Protokoll, den Port und das Ziel für die Regel ein. Sie können auch eine optionale Beschreibung eingeben.

      Wenn es sich beim Typ um TCP oder UDP handelt, müssen Sie den zuzulassenden Portbereich eingeben. Für ein benutzerdefiniertes ICMP müssen Sie den Namen des ICMP-Typs aus **Protocol (Protokoll=** und, falls zutreffend, den Codenamen aus **Port range (Portbereich)** wählen. Für einen anderen Typ werden das Protokoll und der Portbereich für Sie konfiguriert.

   1. Andern Sie das Protokoll, die Beschreibung und die Quelle nach Bedarf, um eine Regel zu aktualisieren. Sie können jedoch den Quellentyp nicht ändern. Wenn die Quelle beispielsweise ein IPv4-CIDR-Block ist, können Sie keinen IPv6-CIDR-Block, keine Präfixliste oder Sicherheitsgruppe angeben.

   1. Klicken Sie auf die Schaltfläche **Löschen**, um eine Regel zu löschen.

1. Wählen Sie **Regeln speichern** aus.

------
#### [ AWS CLI ]

**So fügen Sie Sicherheitsgruppenregeln hinzu**  
Verwenden Sie den Befehl [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html), um Regeln für eingehenden Datenverkehr hinzuzufügen. Das folgende Beispiel erlaubt eingehenden SSH-Datenverkehr aus den CIDR-Blöcken in der angegebenen Präfixliste.

```
aws ec2 authorize-security-group-ingress \
    --group-id {{sg-1234567890abcdef0}} \
    --ip-permissions 'IpProtocol=tcp,FromPort=22,ToPort=22,PrefixListIds=[{PrefixListId={{pl-f8a6439156EXAMPLE}}}]'
```

Verwenden Sie den Befehl [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html), um Regeln für ausgehenden Datenverkehr hinzuzufügen. Im folgenden Beispiel wird ausgehender TCP-Datenverkehr auf Port 80 für Instances mit der angegebenen Sicherheitsgruppe zugelassen.

```
aws ec2 authorize-security-group-egress \
    --group-id {{sg-1234567890abcdef0}} \
    --ip-permissions 'IpProtocol=tcp,FromPort=80,ToPort=80,UserIdGroupPairs=[{GroupId={{sg-0aad1c26bb6EXAMPLE}}}]'
```

**So entfernen Sie Sicherheitsgruppenregeln**  
Verwenden Sie den Befehl [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html), um eine Regel für eingehenden Datenverkehr zu entfernen.

```
aws ec2 revoke-security-group-egress \
    --group id {{sg-1234567890abcdef0}} \
    --security-group-rule-ids {{sgr-09ed298024EXAMPLE}}
```

Verwenden Sie den Befehl [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html), um eine Regel für ausgehenden Datenverkehr zu entfernen.

```
aws ec2 revoke-security-group-ingress \
    --group id {{sg-1234567890abcdef0}} \
    --security-group-rule-ids {{sgr-0352250c1aEXAMPLE}}
```

**So modifizieren Sie Sicherheitsgruppenregeln**  
Verwenden Sie den Befehl [modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html). Das folgende Beispiel ändert den IPv4-CIDR-Block der angegebenen Sicherheitsgruppenregel.

```
aws ec2 modify-security-group-rules \
    --group id {{sg-1234567890abcdef0}} \
    --security-group-rules 'SecurityGroupRuleId={{sgr-09ed298024EXAMPLE}},SecurityGroupRule={IpProtocol=tcp,FromPort=80,ToPort=80,CidrIpv4={{0.0.0.0/0}}}'
```

------
#### [ PowerShell ]

**So fügen Sie Sicherheitsgruppenregeln hinzu**  
Verwenden Sie das [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html)Cmdlet, um Regeln für eingehenden Datenverkehr hinzuzufügen. Das folgende Beispiel erlaubt eingehenden SSH-Datenverkehr aus den CIDR-Blöcken in der angegebenen Präfixliste.

```
$plid = New-Object -TypeName Amazon.EC2.Model.PrefixListId
$plid.Id = "{{pl-f8a6439156EXAMPLE}}"
Grant-EC2SecurityGroupIngress `
    -GroupId {{sg-1234567890abcdef0}} `
    -IpPermission @{IpProtocol="tcp"; FromPort=22; ToPort=22; PrefixListIds=$plid}
```

Verwenden Sie das [Grant-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html)Cmdlet, um Regeln für ausgehenden Datenverkehr hinzuzufügen. Im folgenden Beispiel wird ausgehender TCP-Datenverkehr auf Port 80 für Instances mit der angegebenen Sicherheitsgruppe zugelassen.

```
$uigp = New-Object -TypeName Amazon.EC2.Model.UserIdGroupPair
$uigp.GroupId = "{{sg-0aad1c26bb6EXAMPLE}}"
Grant-EC2SecurityGroupEgress `
    -GroupId {{sg-1234567890abcdef0}} `
    -IpPermission @{IpProtocol="tcp"; FromPort=80; ToPort=80; UserIdGroupPairs=$uigp}
```

**So entfernen Sie Sicherheitsgruppenregeln**  
Verwenden Sie das [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html)Cmdlet, um Regeln für eingehenden Datenverkehr zu entfernen.

```
Revoke-EC2SecurityGroupIngress `
    -GroupId {{sg-1234567890abcdef0}} `
    -SecurityGroupRuleId {{sgr-09ed298024EXAMPLE}}
```

Verwenden Sie das [Revoke-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html)Cmdlet, um Regeln für ausgehenden Datenverkehr zu entfernen.

```
Revoke-EC2SecurityGroupEgress `
    -GroupId {{sg-1234567890abcdef0}} `
    -SecurityGroupRuleId {{sgr-0352250c1aEXAMPLE}}
```

**So modifizieren Sie Sicherheitsgruppenregeln**  
Verwenden Sie das cmdlet [Edit-EC2SecurityGroupRule](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2SecurityGroupRule.html). Das folgende Beispiel ändert den IPv4-CIDR-Block der angegebenen Sicherheitsgruppenregel.

```
$sgrr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleRequest
$sgrr.IpProtocol = "tcp"
$sgrr.FromPort = 80
$sgrr.ToPort = 80
$sgrr.CidrIpv4 = "0.0.0.0/0"
$sgr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleUpdate
$sgr.SecurityGroupRuleId = "{{sgr-09ed298024EXAMPLE}}"
$sgr.SecurityGroupRule = $sgrr
Edit-EC2SecurityGroupRule  `
    -GroupId {{sg-1234567890abcdef0}} `
    -SecurityGroupRule $sgr
```

------