Grupo de seguridad | Autorizar regla de ingreso - Referencia avanzada de tipos de cambios de AMS
Detalles del tipo de cambioInformación adicionalParámetros de entrada de ejecuciónEjemplo: Parámetros necesariosEjemplo: todos los parámetros

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Grupo de seguridad | Autorizar regla de ingreso

Autorice varias reglas de entrada para el grupo de seguridad (SG) especificado. Debe especificar las configuraciones de la regla de entrada que va a autorizar. Tenga en cuenta que añadir una regla de entrada al SG especificado no modifica ninguna regla de entrada existente.

Clasificación completa: Administración | Componentes de pila avanzados | Grupo de seguridad | Autorizar la regla de entrada

Detalles del tipo de cambio

ID de tipo de cambio

ct-3j2zstluz6dxq

Versión actual

4.0

Duración de ejecución prevista

60 minutos

Aprobación de AWS

Obligatorio

Aprobación del cliente

No obligatorio

Modo de ejecución

Automatizado

Información adicional

Autorizar la regla de ingreso de grupos de seguridad

La siguiente es una captura de pantalla de este tipo de cambio en la consola AMS:

Authorize Ingress Rule interface showing ID, execution mode, version, and description.

Cómo funciona:

  1. Vaya a la página Crear RFC: en el panel de navegación izquierdo de la consola AMS, haga clic RFCspara abrir la página de RFCs listas y, a continuación, haga clic en Crear RFC.

  2. Elija un tipo de cambio (CT) popular en la vista predeterminada de búsqueda de tipos de cambios o seleccione un CT en la vista Elegir por categoría.

    • Busque por tipo de cambio: puede hacer clic en un CT popular en el área de creación rápida para abrir inmediatamente la página Ejecutar RFC. Tenga en cuenta que no puede elegir una versión antigua de CT con Quick Create.

      Para ordenar CTs, utilice el área Todos los tipos de cambios en la vista de tarjeta o de tabla. En cualquiera de las vistas, seleccione una CT y, a continuación, haga clic en Crear RFC para abrir la página Ejecutar RFC. Si corresponde, aparece la opción Crear con una versión anterior junto al botón Crear RFC.

    • Elegir por categoría: seleccione una categoría, una subcategoría, un elemento y una operación, y se abrirá el cuadro de detalles del CT con la opción Crear con una versión anterior, si corresponde. Haga clic en Crear RFC para abrir la página Ejecutar RFC.

  3. En la página Ejecutar RFC, abra el área del nombre del CT para ver el cuadro de detalles del CT. Se requiere un asunto (lo rellena automáticamente si elige su CT en la vista Buscar tipos de cambios). Abra el área de configuración adicional para añadir información sobre la RFC.

    En el área de configuración de ejecución, utilice las listas desplegables disponibles o introduzca valores para los parámetros necesarios. Para configurar los parámetros de ejecución opcionales, abra el área de configuración adicional.

  4. Cuando haya terminado, haga clic en Ejecutar. Si no hay errores, aparecerá la página de la RFC creada correctamente con los detalles de la RFC enviada y el resultado inicial de la ejecución.

  5. Abra el área de parámetros de ejecución para ver las configuraciones que envió. Actualice la página para actualizar el estado de ejecución de la RFC. Si lo desea, cancele la RFC o cree una copia de la misma con las opciones de la parte superior de la página.

Cómo funciona:

  1. Utilice la función de creación en línea (se emite un create-rfc comando con todos los parámetros de ejecución y RFC incluidos) o la de plantilla (se crean dos archivos JSON, uno para los parámetros de RFC y otro para los parámetros de ejecución) y ejecute el create-rfc comando con los dos archivos como entrada. Ambos métodos se describen aquí.

  2. Envíe el aws amscm submit-rfc --rfc-id ID comando RFC: con el ID de RFC devuelto.

    Supervise el comando RFC:. aws amscm get-rfc --rfc-id ID

Para comprobar la versión del tipo de cambio, utilice este comando:

aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
nota

Puede utilizar cualquier CreateRfc parámetro con cualquier RFC, forme o no parte del esquema del tipo de cambio. Por ejemplo, para recibir notificaciones cuando cambie el estado de la RFC, añada esta línea --notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}" a la parte de los parámetros de la RFC de la solicitud (no a los parámetros de ejecución). Para ver una lista de todos los CreateRfc parámetros, consulta la referencia de la API de administración de cambios de AMS.

CREACIÓN EN LÍNEA:

Ejecute el comando create RFC con los parámetros de ejecución incluidos en línea (comillas de escape al proporcionar los parámetros de ejecución en línea) y, a continuación, envíe el ID de RFC devuelto. Por ejemplo, puedes reemplazar el contenido por algo como esto:

aws amscm create-rfc --change-type-id "ct-3j2zstluz6dxq" --change-type-version "4.0" --title "AWSManagedServices-AuthorizeSecurityGroupIngressRulesV4" --execution-parameters "{\"DocumentName\": \"AWSManagedServices-AuthorizeSecurityGroupIngressRulesV4\",\"Region\": \"us-east-1\",\"Parameters\": {\"SecurityGroupId\": [
\"sg-03b5e3a1ad874bdd7\"],\"InboundRules\": [{\"IpProtocol\": \"tcp\",\"FromPort\": \"80\",\"ToPort\": \"80\",\"Source\": \"192.168.1.0/24\"},{\"IpProtocol\": \"tcp\",\"FromPort\": \"99\",\"ToPort\": \"99\",\"Source\": \"172.16.0.0/24\", \"Description\": \"On-prem IP\"}]}}"

CREACIÓN DE PLANTILLA:

  1. Envía los parámetros de ejecución del esquema JSON para este tipo de cambio a un archivo; este ejemplo lo denomina Auth SGIngress Params.json.

    aws amscm get-change-type-version --change-type-id "ct-3j2zstluz6dxq" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > AuthSGIngressParams.json

  2. Modifique y guarde el archivo de parámetros de autenticaciónSGIngress. Por ejemplo, puede reemplazar el contenido por algo como esto:

    {
"DocumentName": "AWSManagedServices-AuthorizeSecurityGroupIngressRulesV4",
"Region": "us-east-1",
"Parameters": {
{
"SecurityGroupId": [
"sg-03b5e3a1ad874bdd7"
],
"InboundRules": [
{
"IpProtocol": "tcp",
"FromPort": "80",
"ToPort": "80",
"Source": "192.168.1.0/24",
},
{
"IpProtocol": "tcp",
"FromPort": "99",
"ToPort": "99",
"Source": "172.16.0.0/24",
"Description": "On-prem IP"
}
]
}
}
}

  3. Envía el archivo JSON de la plantilla RFC a un archivo llamado Auth SGIngress RFC.json:

    aws amscm create-rfc --generate-cli-skeleton > AuthSGIngressRfc.json

  4. Modifique y guarde el archivo Auth RFC.json. SGIngress Por ejemplo, puedes reemplazar el contenido por algo como esto:

    {
"ChangeTypeVersion": "4.0",
"ChangeTypeId": "ct-3j2zstluz6dxq",
"Title": "Authorize Multiple Ingress Rules"
}

  5. Cree el RFC especificando el archivo SGIngress Rfc de autenticación y el archivo de parámetros de autenticaciónSGIngress:

    aws amscm create-rfc --cli-input-json file://AuthSGIngressRfc.json  --execution-parameters file://AuthSGIngressParams.json

    Recibirá el ID de la nueva RFC en la respuesta y podrá utilizarla para enviar y supervisar la RFC. Hasta que la envíe, la RFC permanece en estado de edición y no se inicia.

nota

Este tipo de cambio se encuentra en la versión 2.0. Los dos parámetros de fuente independientes CidrIp y SourceSecurityGroupIdopcionales se combinan en un parámetro obligatorio, Fuente, con dos opciones. Este cambio ayuda a garantizar que se proporciona una fuente. Sin una fuente, la RFC falla.

Hay dos formas de autorizar una nueva regla de entrada:

  • Grupo de seguridad | Tipo de cambio de actualización (ct-3memthlcmvc1b): se trata de un tipo de cambio manual y tarda más en implementarse porque AMS Operations debe revisarlo por motivos de seguridad. Es posible que sea necesaria una comunicación adicional con usted.

  • Grupo de seguridad | Regla de autorización de entrada (ct-3j2zstluz6dxq): se trata de un tipo de cambio automatizado, por lo que se implementa más rápidamente. Este tipo de cambio ofrece opciones para eliminar las reglas de ingreso estándar o ICMP. TCP/UDP

Si la fuente es una IP pública, se produce un error en la RFC. Para añadir una nueva regla de entrada con una IP pública, utilice el grupo de seguridad | Tipo de cambio de actualización (ct-3memthlcmvc1b).

Para obtener más información sobre los grupos de seguridad y las reglas de los grupos de AWS seguridad, consulte la Referencia de reglas de grupos de seguridad. Esta información le ayuda a determinar las reglas que desea y, lo que es más importante, cómo nombrar su grupo de seguridad para que su elección al crear otros recursos resulte intuitiva. Consulte también Amazon EC2 Security Groups for Linux Instances Security Groups for Linux Security Groups for Your VPC.

Una vez creado el grupo de seguridad, Asocie el grupo de seguridad al recurso utilícelo para asociarlo a sus recursos de AMS. Para eliminar un grupo de seguridad, debe tener recursos asociados.

Parámetros de entrada de ejecución

Para obtener información detallada sobre los parámetros de entrada de la ejecución, consulteEsquema para el tipo de cambio ct-3j2zstluz6dxq.

Ejemplo: Parámetros necesarios

Example not available.

Ejemplo: todos los parámetros

Example not available.