Panoramica dei gruppi di sicurezza VPC Scenario del gruppo di sicurezza Creazione di un gruppo di sicurezza VPC Associazione a un cluster database

Controllo dell'accesso con i gruppi di sicurezza

I gruppi di sicurezza VPC controllano l'accesso del traffico in entrata e in uscita da un cluster di DB. Per impostazione predefinita, l'accesso alla rete è disattivato per un cluster di DB. Puoi specificare delle norme in un gruppo di sicurezza che consente l'accesso da un intervallo di indirizzi IP, dalla porta o da un gruppo di sicurezza. Una volta configurate le regole di ingresso, le stesse regole si applicano a tutti i cluster di DB associati a quel gruppo di sicurezza. Puoi specificare fino a 20 norme in un gruppo di sicurezza.

Panoramica dei gruppi di sicurezza VPC

Ogni regola del gruppo di sicurezza VPC consente a una fonte specifica di accedere a un cluster di DB in un VPC associato a quel gruppo di sicurezza VPC. L'origine può essere una serie di indirizzi (ad esempio, 203.0.113.0/24) oppure un altro gruppo di sicurezza VPC. Specificando un gruppo di sicurezza VPC come origine, consenti il traffico in entrata da tutte le istanze (in genere i server dell'applicazione) che usano il gruppo di sicurezza VPC. I gruppi di sicurezza VPC possono avere regole che gestiscono sia il traffico in entrata che in uscita. Le regole del traffico in uscita si applicano solo se il cluster di DB funge da client. È necessario utilizzare l' EC2API Amazon o l'opzione Security Group sulla console VPC per creare gruppi di sicurezza VPC.

Quando crei regole per il tuo gruppo di sicurezza VPC che consentono l'accesso ai cluster di nel tuo VPC, devi specificare una porta per ogni intervallo di indirizzi a cui la regola consente l'accesso. Ad esempio, se si desidera abilitare l'accesso SSH (Secure Shell) alle istanze nel VPC, devi creare una regola che consenta l'accesso alla porta TCP 22 per l'intervallo di indirizzi specificato.

È possibile configurare più gruppi di sicurezza VPC che consentono l'accesso a porte diverse per istanze diverse nel VPC. Ad esempio, è possibile creare un gruppo di sicurezza VPC che consenta l'accesso alla porta TCP 80 per i server web nel VPC. Puoi quindi creare un altro gruppo di sicurezza VPC che consenta l'accesso alla porta TCP 3306 per RDS per le istanze DB nel tuo VPC.

Nota

In un cluster database Aurora, il gruppo di sicurezza VPC associato al cluster database è anche associato a tutte le istanze database nel cluster database. Se modifichi il gruppo di sicurezza VPC per il cluster database o per un'istanza database, la modifica viene applicata automaticamente a tutte le istanze database nel cluster database.

Per ulteriori informazioni sui gruppi di sicurezza VPC, consulta la pagina Gruppi di sicurezza nella Guida per l'utente di Amazon Virtual Private Cloud.

Nota

Se il cluster di DB si trova in un VPC ma non è accessibile pubblicamente, puoi anche utilizzare una connessione AWS Site-to-Site VPN o una AWS Direct Connect connessione per accedervi da una rete privata. Per ulteriori informazioni, consulta Riservatezza del traffico Internet.

Scenario del gruppo di sicurezza

Un uso comune di un cluster di DB in un VPC consiste nel condividere i dati con un server di applicazioni in esecuzione in un' EC2 istanza Amazon nello stesso VPC, a cui accede un'applicazione client esterna al VPC. In questo scenario, si utilizzano le pagine RDS e VPC su o AWS Management Console le operazioni RDS EC2 e API per creare le istanze e i gruppi di sicurezza necessari:

Creare un gruppo di sicurezza VPC (ad esempio, sg-0123ec2example) e definire le regole in entrata che utilizzano l'indirizzo IP dell'applicazione client usato nell'indirizzo IP dell'applicazione del client come origine. Questo gruppo di sicurezza consente all'applicazione client di connettersi alle EC2 istanze in un VPC che utilizza questo gruppo di sicurezza.
Crea un' EC2 istanza per l'applicazione e aggiungi l' EC2 istanza al gruppo di sicurezza VPC (sg-0123ec2example) creato nel passaggio precedente.
Creare un secondo gruppo di sicurezza VPC (ad esempio, sg-6789rdsexample) e creare una nuova regola specificando il gruppo di sicurezza VPC creato nel passaggio 1 (sg-0123ec2example) come l'origine.
Crea un nuovo cluster di DB e aggiungi il cluster di DB al gruppo di sicurezza VPC (sg-6789rdsexample) creato nel passaggio precedente. Quando crei il cluster di DB, utilizza lo stesso numero di porta specificato per la regola del gruppo di sicurezza VPC (sg-6789rdsexample) creata nel passaggio 3.

Il seguente diagramma mostra questo scenario.

Per istruzioni dettagliate sulla configurazione di un VPC per questo scenario, vedere. Tutorial: crea un VPC da utilizzare con un cluster di DB (solo) IPv4 Per ulteriori informazioni sull'utilizzo di un VPC, vedere. Amazon VPC e Aurora

Creazione di un gruppo di sicurezza VPC

Puoi creare un gruppo di sicurezza VPC per un'istanza database tramite la console VPC. Per informazioni sulla creazione di un gruppo di sicurezza, consulta le pagine Fornisci l'accesso al cluster DB VPC tramite la creazione di un gruppo di sicurezza e Gruppi di sicurezza nella Guida per l'utente di Amazon Virtual Private Cloud.

Associazione di un gruppo di sicurezza a un cluster database

Puoi associare un gruppo di sicurezza a un cluster DB utilizzando Modify cluster sulla console RDS, l'API ModifyDBCluster Amazon RDS o il modify-db-cluster AWS CLI comando.

Il seguente esempio CLI associa un gruppo VPC specifico e rimuove i gruppi di sicurezza DB dal cluster DB.


aws rds modify-db-cluster --db-cluster-identifier dbName --vpc-security-group-ids sg-ID

Per informazioni sulla modifica di un cluster DB, vedere. Modifica di un cluster database Amazon Aurora

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Best practice relative alla sicurezza

Privilegi dell'account utente master