Sicherheitsgruppen für EC2-Instance-Connect-Endpunkt
Eine Sicherheitsgruppe steuert den Datenverkehr, der die Ressourcen erreichen und verlassen darf, mit denen er verknüpft ist. Beispielsweise verweigern wir den Datenverkehr zu und von einer Amazon-EC2-Instance, es sei denn, er wird von den Sicherheitsgruppen, die der Instance zugeordnet sind, ausdrücklich zugelassen.
Die folgenden Beispiele zeigen Ihnen, wie Sie die Sicherheitsgruppenregeln für den EC2-Instance-Connect-Endpunkt und die Ziel-Instances konfigurieren.
Beispiele
Sicherheitsgruppenregeln für EC2-Instance-Connect-Endpunkt
Die Sicherheitsgruppe für einen EC2-Instance-Connect-Endpunkt muss ausgehenden Datenverkehr zu den Ziel-Instances zulassen. Sie können entweder die Instance-Sicherheitsgruppe oder den IPv4- bzw. IPv6-Adressbereich der VPC als Ziel angeben.
Der Datenverkehr zum Endpunkt stammt vom Service EC2-Instance-Connect-Endpunkt und ist unabhängig von den Regeln für eingehende Nachrichten für die Endpunkt-Sicherheitsgruppe zulässig. Um zu kontrollieren, wer den EC2-Instance-Connect-Endpoint verwenden kann, um sich mit einer Instance zu verbinden, verwenden Sie eine IAM-Richtlinie. Weitere Informationen finden Sie unter Berechtigungen, EC2-Instance-Connect-Endpunkt zu verwenden, um eine Verbindung zu Instances herzustellen.
Beispiel für eine Ausgangsregel: Referenzierung von Sicherheitsgruppen
Im folgenden Beispiel wird auf Sicherheitsgruppen verwiesen, was bedeutet, dass das Ziel eine Sicherheitsgruppe ist, die den Ziel-Instances zugeordnet ist. Diese Regel erlaubt ausgehenden Datenverkehr vom Endpunkt zu allen Instances, die diese Sicherheitsgruppe verwenden.
| Protokoll | Bestimmungsort | Port-Bereich | Kommentar |
|---|---|---|---|
| TCP | ID der Instance-Sicherheitsgruppe |
22 | Erlaubt ausgehenden SSH-Verkehr zu allen Instances, die der Instance-Sicherheitsgruppe zugeordnet sind |
Beispielhafte Ausgangsregel: IPv4-Adressbereich
Das folgende Beispiel erlaubt ausgehenden Datenverkehr in den angegebenen IPv4-Adressbereich. Die IPv4-Adressen einer Instance werden von ihrem Subnetz aus zugewiesen, sodass Sie den IPv4-Adressbereich der VPC verwenden können.
| Protokoll | Bestimmungsort | Port-Bereich | Kommentar |
|---|---|---|---|
| TCP | VPC – IPv4 CIDR |
22 | Erlaubt ausgehenden SSH-Verkehr zur VPC |
Beispielhafte Ausgangsregel: IPv6-Adressbereich
Das folgende Beispiel erlaubt ausgehenden Datenverkehr in den angegebenen IPv6-Adressbereich. Die IPv6-Adressen einer Instance werden von ihrem Subnetz aus zugewiesen, sodass Sie den IPv6-Adressbereich der VPC verwenden können.
| Protokoll | Bestimmungsort | Port-Bereich | Kommentar |
|---|---|---|---|
| TCP | VPC – IPv6 CIDR |
22 | Erlaubt ausgehenden SSH-Verkehr zur VPC |
Ziel-Instance-Sicherheitsgruppenregeln
Die Sicherheitsgruppenregeln für Ziel-Instances müssen eingehenden Verkehr vom EC2-Instance-Connect-Endpunkt zulassen. Sie können entweder die Endpunkt-Sicherheitsgruppe oder einen IPv4- bzw. IPv6-Adressbereich als Quelle angeben. Wenn Sie einen IPv4-Adressbereich angeben, hängt die Quelle davon ab, ob die Client-IP-Aufbewahrung an oder aus ist. Weitere Informationen finden Sie unter Überlegungen.
Da Sicherheitsgruppen statusbehaftet sind, darf der Antwortdatenverkehr die VPC unabhängig von den ausgehenden Regeln für die Instance-Sicherheitsgruppe verlassen.
Beispiel für eine Eingangsregel: Referenzierung von Sicherheitsgruppen
Im folgenden Beispiel wird auf Sicherheitsgruppen verwiesen, was bedeutet, dass das Ziel eine Sicherheitsgruppe ist, die den Ziel-Instances zugeordnet ist. Diese Regel erlaubt eingehenden SSH-Verkehr vom Endpunkt zu allen Instances, die diese Sicherheitsgruppe verwenden, unabhängig davon, ob die Client-IP-Erhaltung aktiviert oder deaktiviert ist. Wenn es keine anderen Regeln für eingehende Sicherheitsgruppen für SSH gibt, akzeptieren die Instances nur SSH-Verkehr vom Endpunkt.
| Protokoll | Quelle | Port-Bereich | Kommentar |
|---|---|---|---|
| TCP | ID der Endpunkt-Sicherheitsgruppe |
22 | Lässt eingehenden SSH-Datenverkehr von den Ressourcen zu, die der Endpunkt-Sicherheitsgruppe zugeordnet sind |
Beispiel für eine Eingangsregel: Client-IP-Erhaltung aus
Das folgende Beispiel erlaubt eingehenden SSH-Datenverkehr vom angegebenen IPv4-Adressbereich. Da die Client-IP-Aufbewahrung deaktiviert ist, ist die IPv4-Quelladresse die Adresse der Endpunkt-Netzwerkschnittstelle. Die Adresse der Endpunkt-Netzwerkschnittstelle wird von ihrem Subnetz aus zugewiesen, sodass Sie den IPv4-Adressbereich der VPC verwenden können, um Verbindungen zu allen Instances in der VPC zuzulassen.
| Protokoll | Quelle | Port-Bereich | Kommentar |
|---|---|---|---|
| TCP | VPC – IPv4 CIDR |
22 | Eingehenden SSH-Datenverkehr von der VPC zulassen |
Beispiel für eine Eingangsregel: Client-IP-Erhaltung an
Das folgende Beispiel erlaubt eingehenden SSH-Datenverkehr vom angegebenen IPv4-Adressbereich. Da die Client-IP-Erhaltung aktiviert ist, ist die IPv4-Quelladresse die Adresse des Clients.
| Protokoll | Quelle | Port-Bereich | Kommentar |
|---|---|---|---|
| TCP | Öffentliche IPv4-Adressbereiche |
22 | Erlaubt eingehenden SSH-Datenverkehr vom angegebenen IPv4-Adressbereich |
