Amazon-EC2-Sicherheitsgruppen für ihren EC2-Instances

Eine Sicherheitsgruppe dient als virtuelle Firewall für Ihre EC2-Instances zur Steuerung von ein- und ausgehendem Datenverkehr. Eingehende Regeln steuern den eingehenden Datenverkehr zu Ihrer Instance und ausgehende Regeln steuern den ausgehenden Datenverkehr von Ihrer Instance. Wenn Sie eine Instance starten, können Sie eine oder mehrere Sicherheitsgruppen angeben. Wenn Sie keine Sicherheitsgruppe angeben, verwendet Amazon EC2 die Standard-Sicherheitsgruppe für die VPC. Nach dem Start einer Instance können Sie deren Sicherheitsgruppen nicht mehr ändern.

Sicherheit ist eine übergreifende Verantwortlichkeit zwischen AWS und Ihnen. Weitere Informationen finden Sie unter Sicherheit in Amazon EC2. AWS stellt Sicherheitsgruppen als eines der Tools zum Sichern Ihrer Instances bereit. Sie müssen sie so konfigurieren, dass sie Ihren Sicherheitsanforderungen entsprechen. Wenn Sie Anforderungen haben, die von Sicherheitsgruppen nicht vollständig erfüllt werden, können Sie zusätzlich zur Verwendung von Sicherheitsgruppen eine eigene Firewall in jeder Ihrer Instances einrichten.

Preisgestaltung

Für die Nutzung von Sicherheitsgruppen fallen keine zusätzlichen Gebühren an.

Inhalt

Übersicht

Sie können jede Instance mehreren Sicherheitsgruppen zuordnen, und Sie können jede Sicherheitsgruppe mehreren Instances zuordnen. Dann fügen Sie jeder Sicherheitsgruppe Regeln hinzu, die den Datenaustausch mit den zugeordneten Instances gestatten. Sie können die Regeln für eine Sicherheitsgruppe jederzeit ändern. Neue und geänderte Regeln werden automatisch auf alle Instances angewendet, die der Sicherheitsgruppe zugeordnet sind. Wenn Amazon EC2 entscheidet, ob zugelassen wird, dass der Datenverkehr eine Instance erreicht, bewertet es alle Regeln für alle Sicherheitsgruppen, die der Instance zugeordnet sind. Weitere Informationen finden Sie unter Sicherheitsgruppenregeln im Amazon-VPC-Benutzerhandbuch.

Das folgende Diagramm zeigt eine VPC mit einer Sicherheitsgruppe, einem Internet-Gateway und einem Subnetz. Das Subnetz enthält EC2-Instances. Die Sicherheitsgruppe ist mit dem Instances zugeordnet. Der einzige Datenverkehr, der die Instance erreicht, ist der Datenverkehr, der nach den Sicherheitsgruppenregeln zulässig ist. Wenn die Sicherheitsgruppe beispielsweise eine Regel enthält, die SSH-Datenverkehr von Ihrem Netzwerk zur Instance zulässt, können Sie sich mit der Instance von Ihrem Computer aus verbinden. Wenn die Sicherheitsgruppe eine Regel enthält, die den gesamten Datenverkehr von den ihr zugewiesenen Ressourcen zulässt, kann jede Instance den von den anderen Instances gesendeten Datenverkehr empfangen.

Eine VPC mit einer Sicherheitsgruppe. Die EC2-Instances im Subnetz sind der Sicherheitsgruppe zugewiesen.

Sicherheitsgruppen sind zustandsbehaftet — wenn Sie von Ihrer Instance eine Anforderung senden, wird der Antwortdatenverkehr für diese Anforderung zugelassen, unabhängig der für diese Sicherheitsgruppe geltenden Regeln für eingehenden Datenverkehr. Außerdem dürfen Antworten auf erlaubten eingehenden Datenverkehr unabhängig von den Regeln für ausgehenden Datenverkehr ablaufen. Weitere Informationen finden Sie unter Verfolgung von Verbindungen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Fingerabdruck überprüfen

Eine Sicherheitsgruppe erstellen