Sicherheitsgruppen: Eingehende und ausgehende Regeln - Amazon Quick Suite
Regeln für eingehenden DatenverkehrRegeln für ausgehenden Datenverkehr

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheitsgruppen: Eingehende und ausgehende Regeln

Eine Sicherheitsgruppe dient als virtuelle Firewall für Ihre Instance zur Steuerung von ein- und ausgehendem Datenverkehr. Fügen Sie jeder Sicherheitsgruppe Regeln hinzu, die den eingehenden Datenverkehr an die Instances leiten, sowie weitere Regeln, die den ausgehenden Datenverkehr steuern.

Erstellen Sie für Ihre VPC-Verbindung eine neue Sicherheitsgruppe mit der Beschreibung QuickSight-VPC. Diese Sicherheitsgruppe muss den gesamten eingehenden TCP-Datenverkehr von den Sicherheitsgruppen der Datenziele zulassen, die Sie erreichen möchten. Im folgenden Beispiel wird eine neue Sicherheitsgruppe in der VPC erstellt und die ID der neuen Sicherheitsgruppe zurückgegeben.


aws ec2 create-security-group \
--group-name quicksight-vpc \
--description "QuickSight-VPC" \
--vpc-id vpc-0daeb67adda59e0cd
Wichtig

Die Netzwerkkonfiguration ist so komplex, dass wir dringend empfehlen, eine neue Sicherheitsgruppe für die Verwendung mit Amazon Quick Suite zu erstellen. Außerdem ist für den AWS -Support dadurch einfacher, Ihnen zu helfen, falls Sie sich mit ihm in Verbindung setzen müssen. Das Erstellen einer neuen Gruppe ist nicht unbedingt erforderlich. Die folgenden Themen basieren jedoch auf der Annahme, dass Sie dieser Empfehlung folgen.

Damit Quick Suite erfolgreich eine Verbindung zu einer Instance in Ihrer VPC herstellen kann, konfigurieren Sie Ihre Sicherheitsgruppenregeln so, dass Verkehr zwischen der Amazon Quick Suite-Netzwerkschnittstelle und der Instance, die Ihre Daten enthält, zugelassen wird. Konfigurieren Sie dazu die Sicherheitsgruppe, die den eingehenden Regeln Ihrer Datenbank-Instance angefügt ist, um den folgenden Datenverkehr zuzulassen:

  • Von dem Port, zu dem Amazon Quick Suite eine Verbindung herstellt

  • Von einer der folgenden Optionen:

    • Die Sicherheitsgruppen-ID, die der Amazon Quick Suite-Netzwerkschnittstelle zugeordnet ist (empfohlen)

      oder

    • Die private IP-Adresse der Amazon Quick Suite-Netzwerkschnittstelle

Weitere Informationen finden Sie unter Sicherheitsgruppen für Ihre VPC VPCs und Subnetze im Amazon VPC-Benutzerhandbuch.

In den unten aufgeführten Themen erfahren Sie mehr über Regeln für eingehenden und ausgehenden Datenverkehr.

Regeln für eingehenden Datenverkehr

Wichtig

Der folgende Abschnitt gilt für Ihre VPC-Verbindung, wenn die Verbindung vor dem 27. April 2023 erstellt wurde.

Wenn Sie eine Sicherheitsgruppe erstellen, verfügt sie über keine Regeln für den eingehenden Datenverkehr. Eingehender Datenverkehr, der von einem anderen Host zu Ihrer Instance gelangt, wird erst zugelassen, wenn Sie der Sicherheitsgruppe Regeln für eingehenden Datenverkehr hinzufügen.

Die an die Amazon Quick Suite-Netzwerkschnittstelle angehängte Sicherheitsgruppe verhält sich anders als die meisten Sicherheitsgruppen, da sie nicht statusbehaftet ist. Andere Sicherheitsgruppen sind normalerweise stateful (zustandsbehaftet). Dies bedeutet, dass sie, nachdem sie eine ausgehende Verbindung mit der Sicherheitsgruppe einer Ressource herstellen, automatisch Rückdatenverkehr zulassen. Im Gegensatz dazu lässt die Amazon Quick Suite-Netzwerkschnittstellen-Sicherheitsgruppe Rückverkehr nicht automatisch zu. Aus diesem Grund funktioniert das Hinzufügen einer Ausgangsregel zur Amazon Quick Suite-Netzwerkschnittstellen-Sicherheitsgruppe nicht. Damit es für die Amazon Quick Suite-Netzwerkschnittstellen-Sicherheitsgruppe funktioniert, stellen Sie sicher, dass Sie eine eingehende Regel hinzufügen, die den Rückverkehr vom Datenbank-Host explizit autorisiert.

Die eingehende Regel in Ihrer Sicherheitsgruppe muss den Verkehr auf allen Ports zulassen. Dies ist erforderlich, da die Zielportnummer aller eingehenden Rückpakete auf eine zufällig zugewiesene Portnummer festgelegt ist.

Um Amazon Quick Suite darauf zu beschränken, sich nur mit bestimmten Instances zu verbinden, können Sie die Sicherheitsgruppen-ID (empfohlen) oder die private IP-Adresse der Instances angeben, die Sie zulassen möchten. In diesem Fall muss die Sicherheitsgruppenregel für eingehenden Datenverkehr aber trotzdem Datenverkehr über alle Ports (0–65535) zulassen.

Damit Amazon Quick Suite eine Verbindung zu einer beliebigen Instance in der VPC herstellen kann, können Sie die Amazon Quick Suite-Netzwerkschnittstellen-Sicherheitsgruppe konfigurieren. Geben Sie ihr in diesem Fall eine Regel für eingehenden Datenverkehr, um Datenverkehr auf 0.0.0.0/0 auf allen Ports (0–65535) zuzulassen. Die von der Amazon Quick Suite-Netzwerkschnittstelle verwendete Sicherheitsgruppe sollte sich von den Sicherheitsgruppen unterscheiden, die für Ihre Datenbanken verwendet werden. Es wird empfohlen, separate Sicherheitsgruppen für die VPC-Verbindung zu verwenden.

Wichtig

Wenn Sie eine seit langem verwendete Amazon-RDS-DB-Instance verwenden, überprüfen Sie Ihre Konfiguration, um festzustellen, ob Sie eine DB-Sicherheitsgruppe verwenden. DB-Sicherheitsgruppen werden mit DB-Instances verwendet, die sich nicht in einer VPC befinden und sich auf der EC2 -Classic-Plattform befinden.

Wenn dies Ihre Konfiguration ist und Sie Ihre DB-Instance nicht zur Verwendung mit Amazon Quick Suite in die VPC verschieben, stellen Sie sicher, dass Sie die Eingangsregeln Ihrer DB-Sicherheitsgruppe aktualisieren. Aktualisieren Sie sie, um eingehenden Datenverkehr von der VPC-Sicherheitsgruppe zuzulassen, die Sie für Amazon Quick Suite verwenden. Weitere Informationen finden Sie unter Zugriffskontrolle mit Sicherheitsgruppen im Amazon RDS-Benutzerhandbuch.

Regeln für ausgehenden Datenverkehr

Wichtig

Der folgende Abschnitt gilt für Ihre VPC-Verbindung, wenn die Verbindung vor dem 27. April 2023 erstellt wurde.

Standardmäßig enthält eine Sicherheitsgruppe eine ausgehende Regel, die den gesamten ausgehenden Datenverkehr zulässt. Es wird empfohlen, diese Standardregel zu entfernen und ausgehende Regeln hinzuzufügen, die nur bestimmten ausgehenden Datenverkehr zulassen.

Warnung

Konfigurieren Sie die Sicherheitsgruppe auf der Amazon Quick Suite-Netzwerkschnittstelle nicht mit einer ausgehenden Regel, um Datenverkehr auf allen Ports zuzulassen. Informationen zu den wichtigsten Überlegungen und Empfehlungen für die Verwaltung des ausgehenden Netzwerkverkehrs finden Sie unter Bewährte Sicherheitsmethoden für Ihre VPC im Amazon VPC-Benutzerhandbuch. VPCs

Die Sicherheitsgruppe, die an die Amazon Quick Suite-Netzwerkschnittstelle angehängt ist, sollte Regeln für ausgehenden Datenverkehr zu jeder der Datenbank-Instances in Ihrer VPC haben, zu denen Amazon Quick Suite eine Verbindung herstellen soll. Um Amazon Quick Suite darauf zu beschränken, sich nur mit bestimmten Instances zu verbinden, geben Sie die Sicherheitsgruppen-ID (empfohlen) oder die private IP-Adresse der Instances an, die zugelassen werden sollen. Sie richten dies zusammen mit den entsprechenden Portnummern für Ihre Instances (dem Port, den die Instances überwachen) in der Regel für ausgehende Verbindungen ein.

Die VPC-Sicherheitsgruppe muss auch ausgehenden Datenverkehr zu den Sicherheitsgruppen der Datenziele zulassen, insbesondere zu den Ports, die die Datenbank überwacht.