Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Regeln für eingehenden Datenverkehr
Wichtig
Der folgende Abschnitt gilt für Ihre VPC-Verbindung, wenn die Verbindung vor dem 27. April 2023 erstellt wurde.
Wenn Sie eine Sicherheitsgruppe erstellen, verfügt sie über keine Regeln für den eingehenden Datenverkehr. Eingehender Datenverkehr, der von einem anderen Host zu Ihrer Instance gelangt, wird erst zugelassen, wenn Sie der Sicherheitsgruppe Regeln für eingehenden Datenverkehr hinzufügen.
Die an die QuickSight Netzwerkschnittstelle angefügte Sicherheitsgruppe verhält sich anders als die meisten Sicherheitsgruppen, da sie nicht statusbehaftet ist. Andere Sicherheitsgruppen sind normalerweise stateful (zustandsbehaftet). Dies bedeutet, dass sie, nachdem sie eine ausgehende Verbindung mit der Sicherheitsgruppe einer Ressource herstellen, automatisch Rückdatenverkehr zulassen. Im Gegensatz dazu lässt die Sicherheitsgruppe der QuickSight Netzwerkschnittstelle nicht automatisch Rückverkehr zu. Aus diesem Grund funktioniert das Hinzufügen einer Regel für ausgehenden Datenverkehr zur Sicherheitsgruppe der QuickSight Netzwerkschnittstelle nicht. Damit sie für die Sicherheitsgruppe der QuickSight Netzwerkschnittstelle funktioniert, stellen Sie sicher, dass Sie eine Regel für eingehenden Datenverkehr hinzufügen, die ausdrücklich den Rückverkehr vom Datenbank-Host autorisiert.
Die eingehende Regel in Ihrer Sicherheitsgruppe muss den Verkehr auf allen Ports zulassen. Dies ist erforderlich, da die Zielportnummer aller eingehenden Rückpakete auf eine zufällig zugewiesene Portnummer festgelegt ist.
QuickSight Um die Verbindung nur mit bestimmten Instanzen zu beschränken, können Sie die Sicherheitsgruppen-ID (empfohlen) oder die private IP-Adresse der Instanzen angeben, die Sie zulassen möchten. In diesem Fall muss die Sicherheitsgruppenregel für eingehenden Datenverkehr aber trotzdem Datenverkehr über alle Ports (0–65535) zulassen.
Um eine Verbindung QuickSight zu einer beliebigen Instanz in der VPC herzustellen, können Sie die Sicherheitsgruppe der QuickSight Netzwerkschnittstelle konfigurieren. Geben Sie ihr in diesem Fall eine Regel für eingehenden Datenverkehr, um Datenverkehr auf 0.0.0.0/0 auf allen Ports (0–65535) zuzulassen. Die von der QuickSight Netzwerkschnittstelle verwendete Sicherheitsgruppe sollte sich von den Sicherheitsgruppen unterscheiden, die für Ihre Datenbanken verwendet werden. Es wird empfohlen, separate Sicherheitsgruppen für die VPC-Verbindung zu verwenden.
Wichtig
Wenn Sie eine seit langem verwendete Amazon-RDS-DB-Instance verwenden, überprüfen Sie Ihre Konfiguration, um festzustellen, ob Sie eine DB-Sicherheitsgruppe verwenden. DB-Sicherheitsgruppen werden mit DB-Instances verwendet, die sich nicht in einer VPC befinden und sich auf der EC2 -Classic-Plattform befinden.
Wenn dies Ihre Konfiguration ist und Sie Ihre DB-Instance nicht zur Verwendung in die VPC verschieben, stellen Sie sicher QuickSight, dass Sie die Eingangsregeln Ihrer DB-Sicherheitsgruppe aktualisieren. Aktualisieren Sie sie, um eingehenden Datenverkehr von der VPC-Sicherheitsgruppe zuzulassen, für die Sie sie verwenden. QuickSight Weitere Informationen finden Sie unter Zugriffskontrolle mit Sicherheitsgruppen im Amazon RDS-Benutzerhandbuch.
