Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheitsgruppen für EC2-Instance-Connect-Endpunkt
Eine Sicherheitsgruppe steuert den Datenverkehr, der die Ressourcen erreichen und verlassen darf, mit denen er verknüpft ist. Beispielsweise verweigern wir den Datenverkehr zu und von einer Amazon-EC2-Instance, es sei denn, er wird von den Sicherheitsgruppen, die der Instance zugeordnet sind, ausdrücklich zugelassen.
Die folgenden Beispiele zeigen Ihnen, wie Sie die Sicherheitsgruppenregeln für den EC2-Instance-Connect-Endpunkt und die Ziel-Instances konfigurieren.
Beispiele
Sicherheitsgruppenregeln für EC2-Instance-Connect-Endpunkt
Die Sicherheitsgruppe für einen EC2-Instance-Connect-Endpunkt muss ausgehenden Datenverkehr zu den Ziel-Instances zulassen. Sie können entweder die Instance-Sicherheitsgruppe oder den IPv4- bzw. IPv6-Adressbereich der VPC als Ziel angeben.
Der Datenverkehr zum Endpunkt stammt vom Service EC2-Instance-Connect-Endpunkt und ist unabhängig von den Regeln für eingehende Nachrichten für die Endpunkt-Sicherheitsgruppe zulässig. Um zu kontrollieren, wer den EC2-Instance-Connect-Endpoint verwenden kann, um sich mit einer Instance zu verbinden, verwenden Sie eine IAM-Richtlinie. Weitere Informationen finden Sie unter Berechtigungen, EC2-Instance-Connect-Endpunkt zu verwenden, um eine Verbindung zu Instances herzustellen.
Beispiel für eine Ausgangsregel: Referenzierung von Sicherheitsgruppen
Im folgenden Beispiel wird auf Sicherheitsgruppen verwiesen, was bedeutet, dass das Ziel eine Sicherheitsgruppe ist, die den Ziel-Instances zugeordnet ist. Diese Regel erlaubt ausgehenden Datenverkehr vom Endpunkt zu allen Instances, die diese Sicherheitsgruppe verwenden.
| Protocol (Protokoll) | Ziel | Port-Bereich | Comment |
|---|---|---|---|
| TCP | ID of instance security group |
22 | Erlaubt ausgehenden SSH-Verkehr zu allen Instances, die der Instance-Sicherheitsgruppe zugeordnet sind |
Beispielhafte Ausgangsregel: IPv4-Adressbereich
Das folgende Beispiel erlaubt ausgehenden Datenverkehr in den angegebenen IPv4-Adressbereich. Die IPv4-Adressen einer Instance werden von ihrem Subnetz aus zugewiesen, sodass Sie den IPv4-Adressbereich der VPC verwenden können.
| Protocol (Protokoll) | Ziel | Port-Bereich | Comment |
|---|---|---|---|
| TCP | VPC IPv4 CIDR |
22 | Erlaubt ausgehenden SSH-Verkehr zur VPC |
Beispiel für ausgehende Nachrichten: IPv6-Adressbereich
Das folgende Beispiel erlaubt ausgehenden Datenverkehr in den angegebenen IPv6-Adressbereich. Die IPv6-Adressen einer Instance werden von ihrem Subnetz aus zugewiesen, sodass Sie den IPv6-Adressbereich der VPC verwenden können.
| Protocol (Protokoll) | Ziel | Port-Bereich | Comment |
|---|---|---|---|
| TCP | VPC IPv6 CIDR |
22 | Erlaubt ausgehenden SSH-Verkehr zur VPC |
Ziel-Instance-Sicherheitsgruppenregeln
Die Sicherheitsgruppenregeln für Ziel-Instances müssen eingehenden Verkehr vom EC2-Instance-Connect-Endpunkt zulassen. Sie können entweder die Endpunkt-Sicherheitsgruppe oder einen IPv4- bzw. IPv6-Adressbereich als Quelle angeben. Wenn Sie einen IPv4-Adressbereich angeben, hängt die Quelle davon ab, ob die Client-IP-Aufbewahrung an oder aus ist. Weitere Informationen finden Sie unter Überlegungen.
Da Sicherheitsgruppen statusbehaftet sind, darf der Antwortdatenverkehr die VPC unabhängig von den ausgehenden Regeln für die Instance-Sicherheitsgruppe verlassen.
Beispiel für eine Eingangsregel: Referenzierung von Sicherheitsgruppen
Im folgenden Beispiel wird auf Sicherheitsgruppen verwiesen, was bedeutet, dass das Ziel eine Sicherheitsgruppe ist, die den Ziel-Instances zugeordnet ist. Diese Regel erlaubt eingehenden SSH-Verkehr vom Endpunkt zu allen Instances, die diese Sicherheitsgruppe verwenden, unabhängig davon, ob die Client-IP-Erhaltung aktiviert oder deaktiviert ist. Wenn es keine anderen Regeln für eingehende Sicherheitsgruppen für SSH gibt, akzeptieren die Instances nur SSH-Verkehr vom Endpunkt.
| Protocol (Protokoll) | Quelle | Port-Bereich | Comment |
|---|---|---|---|
| TCP | ID of endpoint security group |
22 | Lässt eingehenden SSH-Datenverkehr von den Ressourcen zu, die der Endpunkt-Sicherheitsgruppe zugeordnet sind |
Beispiel für eine Eingangsregel: Client-IP-Erhaltung aus
Das folgende Beispiel erlaubt eingehenden SSH-Datenverkehr vom angegebenen IPv4-Adressbereich. Da die Client-IP-Aufbewahrung deaktiviert ist, ist die IPv4-Quelladresse die Adresse der Endpunkt-Netzwerkschnittstelle. Die Adresse der Endpunkt-Netzwerkschnittstelle wird von ihrem Subnetz aus zugewiesen, sodass Sie den IPv4-Adressbereich der VPC verwenden können, um Verbindungen zu allen Instances in der VPC zuzulassen.
| Protocol (Protokoll) | Quelle | Port-Bereich | Comment |
|---|---|---|---|
| TCP | VPC IPv4 CIDR |
22 | Eingehenden SSH-Datenverkehr von der VPC zulassen |
Beispiel für eine Eingangsregel: Client-IP-Erhaltung an
Das folgende Beispiel erlaubt eingehenden SSH-Datenverkehr vom angegebenen IPv4-Adressbereich. Da die Client-IP-Erhaltung aktiviert ist, ist die IPv4-Quelladresse die Adresse des Clients.
| Protocol (Protokoll) | Quelle | Port-Bereich | Comment |
|---|---|---|---|
| TCP | Public IPv4 address range |
22 | Erlaubt eingehenden SSH-Datenverkehr vom angegebenen IPv4-Adressbereich |
