Grupo de seguridad | Autorizar regla de salida - Referencia avanzada de tipos de cambios de AMS
Detalles del tipo de cambioInformación adicionalParámetros de entrada de ejecuciónEjemplo: Parámetros necesariosEjemplo: todos los parámetros

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Grupo de seguridad | Autorizar regla de salida

Autorice la regla de salida para el grupo de seguridad (SG) especificado. Debe especificar las configuraciones de la regla de salida que va a autorizar. Tenga en cuenta que esto añade una regla de salida al SG especificado, pero no modifica ninguna regla de salida existente.

Clasificación completa: Administración | Componentes de pila avanzados | Grupo de seguridad | Autorizar la regla de salida

Detalles del tipo de cambio

ID de tipo de cambio

ct-0lqruajvhwsbk

Versión actual

1.0

Duración prevista de la ejecución

60 minutos

Aprobación de AWS

Obligatorio

Aprobación del cliente

No obligatorio

Modo de ejecución

Automatizado

Información adicional

Autorizar la regla de salida del grupo de seguridad

Captura de pantalla de este tipo de cambio en la consola AMS:

Authorize Egress Rule interface with description, ID, and version fields for security group configuration.

Cómo funciona:

  1. Vaya a la página Crear RFC: en el panel de navegación izquierdo de la consola AMS, haga clic RFCspara abrir la página de RFCs listas y, a continuación, haga clic en Crear RFC.

  2. Elija un tipo de cambio (CT) popular en la vista predeterminada Buscar tipos de cambios o seleccione un CT en la vista Elegir por categoría.

    • Busque por tipo de cambio: puede hacer clic en un CT popular del área de creación rápida para abrir inmediatamente la página Ejecutar RFC. Tenga en cuenta que no puede elegir una versión antigua de CT con Quick Create.

      Para ordenar CTs, utilice el área Todos los tipos de cambios en la vista de tarjeta o de tabla. En cualquiera de las vistas, seleccione una CT y, a continuación, haga clic en Crear RFC para abrir la página Ejecutar RFC. Si corresponde, aparece la opción Crear con una versión anterior junto al botón Crear RFC.

    • Elegir por categoría: seleccione una categoría, subcategoría, elemento y operación, y se abrirá el cuadro de detalles del CT con la opción Crear con una versión anterior, si corresponde. Haga clic en Crear RFC para abrir la página Ejecutar RFC.

  3. En la página Ejecutar RFC, abra el área del nombre del CT para ver el cuadro de detalles del CT. Se requiere un asunto (lo rellena automáticamente si elige su CT en la vista Buscar tipos de cambios). Abra el área de configuración adicional para añadir información sobre la RFC.

    En el área de configuración de ejecución, utilice las listas desplegables disponibles o introduzca valores para los parámetros necesarios. Para configurar los parámetros de ejecución opcionales, abra el área de configuración adicional.

  4. Cuando haya terminado, haga clic en Ejecutar. Si no hay errores, aparecerá la página de la RFC creada correctamente con los detalles de la RFC enviada y el resultado inicial de la ejecución.

  5. Abra el área de parámetros de ejecución para ver las configuraciones que envió. Actualice la página para actualizar el estado de ejecución de la RFC. Si lo desea, cancele la RFC o cree una copia de la misma con las opciones de la parte superior de la página.

Cómo funciona:

  1. Utilice la función de creación en línea (se emite un create-rfc comando con todos los parámetros de ejecución y RFC incluidos) o la de plantilla (se crean dos archivos JSON, uno para los parámetros de RFC y otro para los parámetros de ejecución) y ejecute el create-rfc comando con los dos archivos como entrada. Ambos métodos se describen aquí.

  2. Envíe el aws amscm submit-rfc --rfc-id ID comando RFC: con el ID de RFC devuelto.

    Supervise el comando RFC:. aws amscm get-rfc --rfc-id ID

Para comprobar la versión del tipo de cambio, utilice este comando:

aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
nota

Puede utilizar cualquier CreateRfc parámetro con cualquier RFC, forme o no parte del esquema del tipo de cambio. Por ejemplo, para recibir notificaciones cuando cambie el estado de la RFC, añada esta línea --notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}" a la parte de los parámetros de la RFC de la solicitud (no a los parámetros de ejecución). Para ver una lista de todos los CreateRfc parámetros, consulta la referencia de la API de administración de cambios de AMS.

CREACIÓN EN LÍNEA:

Ejecute el comando create RFC con los parámetros de ejecución incluidos en línea (comillas de escape al proporcionar los parámetros de ejecución en línea) y, a continuación, envíe el ID de RFC devuelto. Por ejemplo, puedes reemplazar el contenido por algo como esto:

aws amscm create-rfc --change-type-id "ct-0lqruajvhwsbk" --change-type-version "1.0" --title "Authorize security group egress rule" --execution-parameters '{"DocumentName":"AWSManagedServices-AuthorizeSecurityGroupEgressRule","Region":"us-east-1","Parameters":{"SecurityGroupId":["SG_ID"],"IpProtocol":["tcp"],"FromPort":[80],"ToPort":[80],"Destination":["10.0.0.1/24"],"Description":["HTTP Port for 10.0.0.1/24"]}}'

CREACIÓN DE PLANTILLA:

  1. Envía los parámetros de ejecución del esquema JSON para este tipo de cambio a un archivo; este ejemplo lo denomina Auth SGEgress Params.json.

    aws amscm get-change-type-version --change-type-id "ct-0lqruajvhwsbk" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > AuthSGEgressParams.json

  2. Modifique y guarde el archivo de parámetros de autenticaciónSGEgress. Por ejemplo, puede reemplazar el contenido por algo como esto:

    {
"DocumentName" : "AWSManagedServices-AuthorizeSecurityGroupEgressRule",
"Region" : "us-east-1",
"Parameters" : {
"SecurityGroupId" : ["SG_ID"],
"IpProtocol" : ["tcp"],
"FromPort" : [80],
"ToPort" : [80],
"Destination" : ["10.0.0.1/24"]
"Description" : ["HTTP Port for 10.0.0.1/24"]
}
}

  3. Envía el archivo JSON de la plantilla RFC a un archivo llamado Auth SGEgress RFC.json:

    aws amscm create-rfc --generate-cli-skeleton > AuthSGEgressRfc.json

  4. Modifique y guarde el archivo Auth RFC.json. SGEgress Por ejemplo, puedes reemplazar el contenido por algo como esto:

    {
  "ChangeTypeId": "ct-0lqruajvhwsbk",
  "ChangeTypeVersion": "1.0",
  "Title": "Authorize security group egress rule"
}

  5. Cree el RFC especificando el archivo SGEgress Rfc de autenticación y el archivo de parámetros de autenticaciónSGEgress:

    aws amscm create-rfc --cli-input-json file://AuthSGEgressRfc.json  --execution-parameters file://AuthSGEgressParams.json

    Recibirá el ID de la nueva RFC en la respuesta y podrá utilizarla para enviar y supervisar la RFC. Hasta que la envíe, la RFC permanece en estado de edición y no se inicia.

nota

Hay dos formas de autorizar una nueva regla de salida: una es la de grupo de seguridad: actualizar el tipo de cambio (ct-3memthlcmvc1b), tiene un formato ExecutionMode =manual y proporciona un amplio margen de maniobra para las reglas personalizadas; sin embargo, al ser manual, su ejecución lleva más tiempo, ya que AMS Operations debe revisarla por motivos de seguridad y posiblemente requiera comunicaciones. La otra forma de autorización de reglas de salida, Grupo de seguridad: tipo de cambio de regla de autorización de salida (ct-3j2zstluz6dxq), tiene ExecutionMode =Automatizado y ofrece opciones para crear reglas de salida estándar TCP/UDP o ICMP. Su alcance es más limitado; sin embargo, al estar automatizado, se ejecuta más rápidamente.

Este tutorial es para el grupo de seguridad: tipo de cambio de regla de autorización de salida.

Para obtener más información sobre los grupos de seguridad y las reglas de los grupos de seguridad de AWS, consulte la Referencia de reglas de grupos de seguridad; esta página puede ayudarlo a determinar las reglas que desea y, lo que es más importante, cómo nombrar su grupo de seguridad para que elegirlo al crear otros recursos sea intuitivo. Consulte también Amazon EC2 Security Groups for Linux Instances and/or Security Groups for Linux Security Groups for Your VPC.

Una vez creado el grupo de seguridad, Asocie el grupo de seguridad al recurso utilícelo para asociarlo a sus recursos de AMS. Para eliminar un grupo de seguridad, debe tener recursos asociados.

Parámetros de entrada de ejecución

Para obtener información detallada sobre los parámetros de entrada de la ejecución, consulteEsquema para el tipo de cambio ct-0lqruajvhwsbk.

Ejemplo: Parámetros necesarios

{
  "DocumentName" : "AWSManagedServices-AuthorizeSecurityGroupEgressRule",
  "Region" : "us-east-1",
  "Parameters" : {
    "SecurityGroupId" : [
      "sg-abcd1234"
    ],
    "IpProtocol" : [
      "tcp"
    ],
    "FromPort" : [
      "80"
    ],
    "ToPort" : [
      "80"
    ],
    "Destination" : [
      "10.0.0.1/32"
    ]
  }
}

Ejemplo: todos los parámetros

{
  "DocumentName" : "AWSManagedServices-AuthorizeSecurityGroupEgressRule",
  "Region" : "us-east-1",
  "Parameters" : {
    "SecurityGroupId" : [
      "sg-abcd1234"
    ],
    "IpProtocol" : [
      "tcp"
    ],
    "FromPort" : [
      "80"
    ],
    "ToPort" : [
      "80"
    ],
    "Destination" : [
      "10.0.0.1/32"
    ],
    "Description" : [
      "New rule"
    ]
  }
}