WKLD.11 Restrinja el acceso a la red mediante grupos de seguridad

Utilice grupos de seguridad para controlar el tráfico a las EC2 instancias, las bases de datos de RDS y otros recursos compatibles. Los grupos de seguridad actúan como un firewall virtual que se puede aplicar a cualquier grupo de recursos relacionados a fin de definir de forma coherente las reglas que permitan el tráfico entrante y saliente. Además de las reglas basadas en las direcciones IP y los puertos, los grupos de seguridad admiten reglas para permitir el tráfico desde los recursos asociados a otros grupos de seguridad. Por ejemplo, un grupo de seguridad de base de datos puede tener reglas que solo permitan el tráfico procedente de un grupo de seguridad de servidores de aplicaciones.

De forma predeterminada, los grupos de seguridad permiten todo el tráfico saliente, pero no el tráfico entrante. Se puede eliminar la regla de tráfico saliente o configurar reglas adicionales que se agreguen para restringir el tráfico saliente y permitir el tráfico entrante. Si el grupo de seguridad no tiene reglas entrantes, no se permitirá el tráfico saliente que proceda de esta instancia. Para obtener más información, consulte Control del tráfico hacia los recursos mediante grupos de seguridad (documentación de Amazon VPC).

En el siguiente ejemplo, hay tres grupos de seguridad que controlan el tráfico desde un Application Load Balancer a las EC2 instancias que se conectan a una base de datos de Amazon RDS for MySQL.

Grupo de seguridad	Reglas de entrada	Reglas de salida
Grupo de seguridad del equilibrador de carga de aplicación	Descripción: permitir el tráfico HTTPS desde cualquier lugar Tipo: HTTPS Fuente: Anywhere- IPv4 (0.0.0.0/0)	Descripción: permitir todo el tráfico a cualquier lugar Tipo: todo el tráfico Destino: En cualquier lugar (0.0.0.0/0) IPv4
EC2 grupo de seguridad de instancias	Descripción: permitir el tráfico HTTP desde el equilibrador de carga de aplicación Tipo: HTTP Origen: grupo de seguridad del equilibrador de carga de aplicación	Descripción: permitir todo el tráfico a cualquier lugar Tipo: todo el tráfico Destino: En cualquier lugar IPv4 (0.0.0.0/0)
Grupo de seguridad de la base de datos de RDS	Descripción: Permitir el tráfico de MySQL desde la EC2 instancia Tipo: MySQL Fuente: grupo de seguridad de EC2 instancias	Sin reglas de salida

Grupo de seguridad

Reglas de entrada

Reglas de salida

Grupo de seguridad del equilibrador de carga de aplicación

Descripción: permitir el tráfico HTTPS desde cualquier lugar

Tipo: HTTPS

Fuente: Anywhere- IPv4 (0.0.0.0/0)

Descripción: permitir todo el tráfico a cualquier lugar

Tipo: todo el tráfico

Destino: En cualquier lugar (0.0.0.0/0) IPv4

EC2 grupo de seguridad de instancias

Descripción: permitir el tráfico HTTP desde el equilibrador de carga de aplicación

Tipo: HTTP

Origen: grupo de seguridad del equilibrador de carga de aplicación

Descripción: permitir todo el tráfico a cualquier lugar

Tipo: todo el tráfico

Destino: En cualquier lugar IPv4 (0.0.0.0/0)

Grupo de seguridad de la base de datos de RDS

Descripción: Permitir el tráfico de MySQL desde la EC2 instancia

Tipo: MySQL

Fuente: grupo de seguridad de EC2 instancias

Sin reglas de salida

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

WKLD.10 Implemente recursos privados en subredes privadas

WKLD.12 Utilice puntos finales de VPC para acceder a los servicios