Gruppi di sicurezza: regole in entrata e in uscita - Amazon Quick Suite
Regole in entrataRegole in uscita

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gruppi di sicurezza: regole in entrata e in uscita

Un gruppo di sicurezza funge da firewall virtuale di un'istanza per controllare il traffico in entrata e quello in uscita. Per ogni gruppo di sicurezza puoi aggiungere regole che controllano il traffico in entrata verso le istanze E un set distinto di regole che controllano il traffico in uscita.

Per la connessione VPC, crea un nuovo gruppo di sicurezza con la descrizione QuickSight-VPC. Questo gruppo di sicurezza deve consentire tutto il traffico TCP in ingresso dai gruppi di sicurezza delle destinazioni dati che si desidera raggiungere. Nell'esempio seguente viene creato un nuovo gruppo di sicurezza nel VPC e viene restituito l'ID del nuovo gruppo di sicurezza.


aws ec2 create-security-group \
--group-name quicksight-vpc \
--description "QuickSight-VPC" \
--vpc-id vpc-0daeb67adda59e0cd
Importante

La configurazione di rete è sufficientemente complessa per cui consigliamo vivamente di creare un nuovo gruppo di sicurezza da utilizzare con Amazon Quick Suite. Inoltre, semplifica l'assistenza per il Supporto AWS nel caso in cui sia necessario contattarlo. La creazione di un nuovo gruppo non è assolutamente necessaria. Tuttavia, i seguenti argomenti si basano sul presupposto che tu segua questa raccomandazione.

Per consentire a Quick Suite di connettersi correttamente a un'istanza nel tuo VPC, configura le regole del gruppo di sicurezza per consentire il traffico tra l'interfaccia di rete Amazon Quick Suite e l'istanza che contiene i tuoi dati. A tale scopo, configurare il gruppo di sicurezza collegato alle regole in ingresso dell'istanza del database in modo da consentire il traffico seguente:

  • Dalla porta a cui Amazon Quick Suite si connette

  • Seleziona una delle seguenti opzioni:

    • L'ID del gruppo di sicurezza associato all'interfaccia di rete Amazon Quick Suite (consigliato)

      oppure

    • L'indirizzo IP privato dell'interfaccia di rete Amazon Quick Suite

Per ulteriori informazioni, consulta i gruppi di sicurezza per il tuo VPC VPCs e le sottoreti nella Amazon VPC User Guide.

Utilizza gli argomenti elencati di seguito per ulteriori informazioni sulle regole in entrata e in uscita.

Regole in entrata

Importante

La sezione seguente si applica alla tua connessione VPC se la connessione è stata creata prima del 27 aprile 2023.

Al momento della sua creazione, un gruppo di sicurezza è privo di regole in entrata. Di conseguenza, non è consentito alcun traffico in entrata da un altro host verso l'istanza fino a quando al gruppo di sicurezza non vengono aggiunte regole in entrata.

Il gruppo di sicurezza collegato all'interfaccia di rete Amazon Quick Suite si comporta in modo diverso rispetto alla maggior parte dei gruppi di sicurezza, perché non è dotato di stato. Gli altri gruppi di sicurezza sono in genere stateful. Ciò significa che, una volta stabilita una connessione in uscita al gruppo di sicurezza di una risorsa, consentono automaticamente il traffico di ritorno. Al contrario, il gruppo di sicurezza dell'interfaccia di rete Amazon Quick Suite non consente automaticamente il traffico di ritorno. Per questo motivo, l'aggiunta di una regola di uscita al gruppo di sicurezza dell'interfaccia di rete Amazon Quick Suite non funziona. Per farlo funzionare per il gruppo di sicurezza dell'interfaccia di rete Amazon Quick Suite, assicurati di aggiungere una regola in entrata che autorizzi esplicitamente il traffico di ritorno dall'host del database.

La regola in entrata nel gruppo di sicurezza deve consentire il traffico su tutte le porte. È necessario eseguire questa operazione perché il numero di porta di destinazione di tutti i pacchetti di ritorno in entrata è impostato su un numero di porta assegnato casualmente.

Per limitare la connessione di Amazon Quick Suite solo a determinate istanze, puoi specificare l'ID del gruppo di sicurezza (consigliato) o l'indirizzo IP privato delle istanze che desideri consentire. In entrambi i casi, la regola del gruppo di sicurezza in entrata deve comunque consentire il traffico su tutte le porte (0-65535).

Per consentire ad Amazon Quick Suite di connettersi a qualsiasi istanza nel VPC, puoi configurare il gruppo di sicurezza dell'interfaccia di rete Amazon Quick Suite. In questo caso, assegnagli una regola in entrata per consentire il traffico su 0.0.0.0/0 su tutte le porte (0-65.535). Il gruppo di sicurezza utilizzato dall'interfaccia di rete Amazon Quick Suite deve essere diverso dai gruppi di sicurezza utilizzati per i database. Si consiglia di utilizzare gruppi di sicurezza separati per la connessione VPC.

Importante

Importante: se utilizzi un'istanza database di Amazon RDS di lunga data, controlla la configurazione per verificare se utilizzi un gruppo di sicurezza del database. I gruppi di sicurezza DB vengono utilizzati con istanze DB che non si trovano in un VPC e si trovano EC2 sulla piattaforma -Classic.

Se questa è la tua configurazione e non intendi spostare l'istanza DB nel VPC per utilizzarla con Amazon Quick Suite, assicurati di aggiornare le regole in entrata del tuo gruppo di sicurezza DB. Aggiornali per consentire il traffico in entrata dal gruppo di sicurezza VPC che stai utilizzando per Amazon Quick Suite. Per ulteriori informazioni, consulta Controllo dell'accesso con i gruppi di sicurezza nella Guida per l'utente di Amazon RDS.

Regole in uscita

Importante

La sezione seguente si applica alla tua connessione VPC se la connessione è stata creata prima del 27 aprile 2023.

Per impostazione predefinita, un gruppo di sicurezza include una regola in uscita che autorizza tutto il traffico in uscita. È consigliabile rimuovere questa regola predefinita e aggiungere regole in uscita che consentono solo traffico in uscita specifico.

avvertimento

Non configurare il gruppo di sicurezza sull'interfaccia di rete Amazon Quick Suite con una regola in uscita per consentire il traffico su tutte le porte. Per informazioni su considerazioni e consigli chiave per la gestione del traffico di rete in uscita da VPCs, consulta le migliori pratiche di sicurezza per il tuo VPC nella Amazon VPC User Guide.

Il gruppo di sicurezza collegato all'interfaccia di rete di Amazon Quick Suite dovrebbe avere regole in uscita che consentano il traffico verso ciascuna delle istanze di database nel tuo VPC a cui desideri connettere Amazon Quick Suite. Per limitare la connessione di Amazon Quick Suite solo a determinate istanze, specifica l'ID del gruppo di sicurezza (consigliato) o l'indirizzo IP privato delle istanze da consentire. Con questa impostazione, è necessario specificare anche i numeri di porta appropriati per le istanze (la porta su cui le istanze sono in ascolto), nella regola in uscita.

Il gruppo di sicurezza VPC deve inoltre consentire il traffico in uscita verso i gruppi di sicurezza delle destinazioni dati, in particolare sulla porta o sulle porte su cui il database è in ascolto.