Gruppi di sicurezza di default per VPC
I VPC predefiniti e tutti i VPC creati includono un gruppo di sicurezza di default. Il nome del gruppo di sicurezza predefinito è "default".
Ti consigliamo di creare gruppi di sicurezza per risorse o gruppi di risorse specifici invece di utilizzare il gruppo di sicurezza predefinito. Tuttavia, per alcune risorse, se non si associa un gruppo di sicurezza quando vengono create, queste vengono associate al gruppo di sicurezza predefinito. Ad esempio, se non specifichi un gruppo di sicurezza all'avvio di un'istanza EC2, l'istanza sarà associata al gruppo di sicurezza predefinito per il relativo VPC.
Nozioni di base sui gruppi di sicurezza predefiniti
-
È possibile modificare le regole di un gruppo di sicurezza di default.
-
Non è possibile eliminare un gruppo di sicurezza predefinito. Se provi a eliminare un gruppo di sicurezza predefinito, sarà restituito il seguente codice di errore:
Client.CannotDelete.
Regole predefinite
La tabella seguente descrive le regole in entrata predefinite di un gruppo di sicurezza predefinito.
| Crea | Protocollo | Intervallo porte | Descrizione |
|---|---|---|---|
sg-1234567890abcdef0 |
Tutti | Tutti | Consente il traffico in entrata da tutte le risorse assegnate a questo gruppo di sicurezza. L'origine è l'ID di questo gruppo di sicurezza. |
La tabella seguente descrive le regole in uscita predefinite di un gruppo di sicurezza predefinito.
| Destinazione | Protocollo | Intervallo porte | Descrizione |
|---|---|---|---|
| 0.0.0.0/0 | Tutti | Tutti | Autorizza tutto il traffico IPv4 in uscita. |
| ::/0 | Tutti | Tutti | Autorizza tutto il traffico IPv6 in uscita. Questa regola viene aggiunta solo se il VPC ha un blocco CIDR IPv6 associato. |
Esempio
Il diagramma seguente mostra un VPC con un gruppo di sicurezza predefinito, un gateway Internet e un gateway NAT. Il gruppo di sicurezza predefinito contiene solo le regole predefinite ed è associato a due istanze EC2 in esecuzione nel cloud VPC. In questo scenario, ogni istanza può ricevere traffico in entrata da un'altra istanza su tutte le porte e i protocolli. Le regole predefinite non consentono alle istanze di ricevere traffico dal gateway Internet o dal gateway NAT. Se le istanze devono ricevere traffico aggiuntivo, è consigliabile creare un gruppo di sicurezza con le regole richieste e associare il nuovo gruppo di sicurezza alle istanze anziché il gruppo di sicurezza predefinito.
