Gestione dei gruppi di sicurezza EC2 - AWS Elastic Beanstalk
Ambienti con carico bilanciato (multiistanza)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione dei gruppi di sicurezza EC2

Quando Elastic Beanstalk crea un ambiente, assegna un gruppo di sicurezza predefinito alle istanze EC2 che vengono avviate con esso. I gruppi di sicurezza collegati alle istanze determinano il traffico autorizzato a raggiungere e uscire dalle istanze.

Il gruppo di sicurezza EC2 predefinito creato da Elastic Beanstalk consente tutto il traffico in entrata da Internet o dai sistemi di bilanciamento del carico sulle porte standard per HTTP (80) e SSH (22). Puoi anche definire i tuoi gruppi di sicurezza personalizzati per designare le regole del firewall per le istanze EC2. I gruppi di sicurezza possono consentire il traffico su altre porte o da altre fonti. Ad esempio, è possibile creare un gruppo di sicurezza per l'accesso SSH che consente il traffico in entrata sulla porta 22 da un intervallo di indirizzi IP limitati. Oppure, per una maggiore sicurezza, puoi crearne uno che consenta il traffico proveniente da un host bastion a cui solo tu puoi accedere.

Puoi scegliere di disattivare il tuo ambiente dal gruppo di sicurezza EC2 predefinito impostando l'DisableDefaultEC2SecurityGroupopzione nel aws:autoscaling:launchconfiguration namespace su. true Utilizza i file di configurazione AWS CLIo per applicare questa opzione al tuo ambiente e per collegare gruppi di sicurezza personalizzati alle istanze EC2.

Gestione dei gruppi di sicurezza EC2 in ambienti a più istanze

Se crei un gruppo di sicurezza EC2 personalizzato in un ambiente a più istanze, devi anche considerare in che modo i bilanciatori del carico e le regole del traffico in entrata mantengono le tue istanze sicure e accessibili.

Il traffico in entrata verso un ambiente con più istanze EC2 è gestito dal sistema di bilanciamento del carico, che indirizza il traffico in entrata tra tutte le istanze EC2. Quando Elastic Beanstalk crea un gruppo di sicurezza EC2 predefinito, definisce anche regole in entrata che consentono il traffico in entrata dal load balancer. Senza questa regola in entrata nel gruppo di sicurezza, il traffico in entrata non potrà entrare nelle istanze. Questa condizione bloccherebbe essenzialmente le istanze dalle richieste esterne.

Se disabiliti il gruppo di sicurezza EC2 predefinito per un ambiente con bilanciamento del carico, Elastic Beanstalk convalida alcune regole di configurazione. Se la configurazione non soddisfa i controlli di convalida, invia messaggi che indicano all'utente di fornire la configurazione richiesta. I controlli di convalida sono i seguenti:

  • Almeno un gruppo di sicurezza deve essere assegnato al load balancer utilizzando l'SecurityGroupsopzione aws:elbv2:loadbalancer oaws:elb:loadbalancer, a seconda che si tratti rispettivamente di un application load balancer o di un load balancer classico. Per AWS CLI alcuni esempi, vedere. Configurazione con AWS CLI

  • È necessario che esistano regole sul traffico in entrata che consentano alle istanze EC2 di ricevere traffico dal sistema di bilanciamento del carico. Sia i gruppi di sicurezza EC2 che i gruppi di sicurezza del load balancer devono fare riferimento a queste regole in entrata. Per ulteriori informazioni, consultare la sezione seguente Regole per il traffico in entrata.

Regole per il traffico in entrata

I gruppi di sicurezza EC2 per un ambiente a più istanze devono includere una regola in entrata che faccia riferimento al gruppo di sicurezza del bilanciamento del carico. Ciò si applica agli ambienti con qualsiasi tipo di bilanciamento del carico, dedicato o condiviso, e con gruppi di sicurezza di bilanciamento del carico personalizzati o predefiniti.

Puoi visualizzare tutti i gruppi di sicurezza collegati ai componenti dell'ambiente nella console EC2. L'immagine seguente mostra l'elenco della console EC2 dei gruppi di sicurezza che Elastic Beanstalk crea di default durante l'operazione di creazione dell'ambiente.

La schermata Security Groups mostra gli ambienti e i gruppi di sicurezza associati. Sia GettingStarted-env che GettingStarted3-env sono ambienti multiistanza con bilanciatori di carico dedicati. Ciascuno di questi ambienti presenta due gruppi di sicurezza elencati, uno per le istanze EC2 e l'altro per il bilanciamento del carico. Elastic Beanstalk crea questi gruppi di sicurezza quando crea gli ambienti. GettingStarted5-env non dispone di un gruppo di sicurezza per il bilanciamento del carico, perché ha solo un'istanza EC2 e quindi nessun sistema di bilanciamento del carico.

La schermata delle regole in entrata approfondisce il gruppo di sicurezza EC2 per le istanze di 3-env. GettingStarted Questo esempio definisce le regole in entrata per il gruppo di sicurezza EC2. Nota che la colonna Source nelle regole in entrata elenca l'id del gruppo di sicurezza del gruppo di sicurezza del load balancer elencato nell'immagine precedente. Questa regola consente alle istanze EC2 di GettingStarted3-env di ricevere traffico in entrata da quello specifico sistema di bilanciamento del carico sulla porta 80.

La console Amazon EC2 mostra i gruppi di sicurezza Elastic Beanstalk per ogni ambiente.

Per ulteriori informazioni, consulta Modifica dei gruppi di sicurezza per l'istanza e le regole Elastic Load Balancing nella Guida per l'utente di Amazon EC2.