Condivisione di gruppi di sicurezza con AWS Organizations - Amazon Virtual Private Cloud
Condivisione di un gruppo di sicurezzaInterruzione della condivisione di un gruppo di sicurezza

Condivisione di gruppi di sicurezza con AWS Organizations

La funzionalità Gruppo di sicurezza condiviso consente di condividere un gruppo di sicurezza con altri account AWS Organizations nella stessa regione di AWS e di renderlo disponibile per l’utilizzo da parte di tali account.

Il diagramma seguente mostra come utilizzare la funzionalità Gruppo di sicurezza condiviso per semplificare la gestione dei gruppi di sicurezza tra gli account in AWS Organizations:

Diagramma della condivisione di gruppi di sicurezza con altri account in una sottorete VPC condivisa.

Questo diagramma mostra tre account che fanno parte della stessa organizzazione. L'account A condivide una sottorete VPC con gli account B e C. L'account A condivide il gruppo di sicurezza con gli account B e C utilizzando la funzionalità Gruppo di sicurezza condiviso. Gli account B e C utilizzano quindi quel gruppo di sicurezza quando avviano istanze nella sottorete condivisa. Ciò consente all'account A di gestire il gruppo di sicurezza; qualsiasi aggiornamento al gruppo di sicurezza si applica alle risorse che gli account B e C hanno in esecuzione nella sottorete VPC condivisa.

Requisiti della funzionalità Gruppo di sicurezza condiviso

  • Questa funzionalità è disponibile solo per gli account della stessa organizzazione in AWS Organizations. Condivisione risorse deve essere abilitato in AWS Organizations.

  • L'account che condivide il gruppo di sicurezza deve possedere sia il VPC che il gruppo di sicurezza.

  • Non è possibile condividere gruppi di sicurezza predefiniti.

  • Non è possibile condividere gruppi di sicurezza che si trovano in un VPC predefinito.

  • Gli account dei partecipanti possono creare gruppi di sicurezza in un VPC condiviso, ma non possono condividere tali gruppi di sicurezza.

  • È necessario un set minimo di autorizzazioni per consentire a un principale IAM di condividere un gruppo di sicurezza con AWS RAM. Utilizza le policy IAM AmazonEC2FullAccess e AWSResourceAccessManagerFullAccess gestite per assicurarti che i principali IAM dispongano delle autorizzazioni necessarie per condividere e utilizzare gruppi di sicurezza condivisi. Se utilizzi una policy IAM personalizzata, sono necessarie le operazioni c2:PutResourcePolicy e ec2:DeleteResourcePolicy. Si tratta di operazioni IAM che richiedono solo l'autorizzazione. Se a un principale IAM non sono concesse queste autorizzazioni, si verificherà un errore nel tentativo di condividere il gruppo di sicurezza utilizzando AWS RAM.

Servizi che supportano questa funzionalità

  • Amazon API Gateway

  • Amazon EC2

  • Amazon ECS

  • Amazon EFS

  • Amazon EKS

  • Amazon EMR

  • Amazon FSx

  • Amazon ElastiCache

  • AWS Elastic Beanstalk

  • AWS Glue

  • Amazon MQ

  • Amazon SageMaker AI

  • Sistema di bilanciamento del carico elastico

    • Application Load Balancer

    • Network Load Balancer

In che modo questa funzionalità influisce sulle quote esistenti

Si applicano le quote dei gruppi di sicurezza. Per la quota “Gruppi di sicurezza per interfaccia di rete”, tuttavia, se un partecipante utilizza sia gruppi di proprietà che gruppi condivisi su un’interfaccia di rete elastica (ENI), si applica la quota minima del proprietario e del partecipante.

Esempio per dimostrare in che modo la quota è influenzata da questa funzionalità:

  • Quota dell'account del proprietario: 4 gruppi di sicurezza per interfaccia

  • Quota dell'account del partecipante: 5 gruppi di sicurezza per interfaccia

  • Il proprietario condivide i gruppi SG-O1, SG-O2, SG-O3, SG-O4, SG-O5 con il partecipante. Il partecipante dispone già di gruppi propri nel VPC: SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.

  • Se un partecipante crea una ENI e utilizza solo i gruppi di cui è proprietario, può associare tutti e 5 i gruppi di sicurezza (SG-P1, SG-P2, SG-P3, SG-P4, SG-P5) perché questa è la sua quota.

  • Se il partecipante crea una ENI e utilizza dei gruppi condivisi al suo interno, può associare solo fino a 4 gruppi. In questo caso, la quota per tale ENI è la quota minima delle quote del proprietario e del partecipante. Le possibili configurazioni valide sono le seguenti:

    • SG-O1, SG-P1, SG-P2, SG-P3

    • SG-O1, SG-O2, SG-O3, SG-O4

Condivisione di un gruppo di sicurezza

Questa sezione spiega come utilizzare la Console di gestione AWS e la AWS CLI per condividere un gruppo di sicurezza con altri account dell'organizzazione.

AWS Management Console
Condividere un gruppo di sicurezza

  1. Apri la console Amazon VPC all’indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione a sinistra, scegli Gruppi di sicurezza.

  3. Scegli un gruppo di sicurezza per visualizzare i dettagli.

  4. Scegliere la scheda Sharing (Condivisione) .

  5. Scegli Condividi gruppo di sicurezza.

  6. Seleziona Crea condivisione risorse. Si apre la console AWS RAM in cui creerai la condivisione di risorse per il gruppo di sicurezza.

  7. Aggiungi un Nome per la condivisione della risorsa.

  8. In Risorse - facoltativo, scegli Gruppi di sicurezza.

  9. Scelta del gruppo di sicurezza. Il gruppo di sicurezza non può essere un gruppo di sicurezza predefinito e non può essere associato al VPC predefinito.

  10. Scegli Next (Successivo).

  11. Controlla le operazioni che i principali saranno autorizzati a eseguire e scegli Avanti.

  12. In Principali - facoltativo, scegli Consenti la condivisione solo all'interno dell'organizzazione.

  13. In Principali, seleziona uno dei seguenti tipi di principali e inserisci i numeri appropriati:

    • Account AWS: il numero di account di un account nell'organizzazione.

    • Organizzazione: l'ID di AWS Organizations.

    • Unità organizzativa (UO): l'ID di un'unità organizzativa nell'organizzazione.

    • Ruolo IAM: l'ARN di un ruolo IAM. L'account che ha creato il ruolo deve essere membro della stessa organizzazione dell'account che crea questa condivisione di risorse.

    • Utente IAM: l'ARN di un utente IAM. L'account che ha creato l'utente deve essere membro della stessa organizzazione dell'account che crea questa condivisione di risorse.

    • Principale del servizio: non è possibile condividere un gruppo di sicurezza con un principale del servizio.

  14. Scegli Aggiungi.

  15. Scegli Next (Successivo).

  16. Seleziona Crea condivisione risorse.

  17. In Risorse condivise, attendi di visualizzare lo stato di Associated. Se si verifica un errore nell'associazione tra i gruppi di sicurezza, il motivo può essere una delle limitazioni sopra elencate. Visualizza i dettagli del gruppo di sicurezza e la scheda Condivisione nella pagina dei dettagli per visualizzare eventuali messaggi relativi al motivo per cui un gruppo di sicurezza potrebbe non essere condivisibile.

  18. Torna all'elenco dei gruppi di sicurezza della console VPC.

  19. Scegli il gruppo di sicurezza che hai condiviso.

  20. Scegliere la scheda Sharing (Condivisione) . La risorsa AWS RAM dovrebbe essere visibile. In caso contrario, la creazione della condivisione di risorse potrebbe non essere riuscita e potrebbe essere necessario ricrearla.

Command line
Condividere un gruppo di sicurezza

  1. È innanzitutto necessario creare una condivisione di risorse per il gruppo di sicurezza con cui si desidera condividere AWS RAM. Per istruzioni su come creare una condivisione di risorse con AWS RAM utilizzando la AWS CLI, consulta Creazione di una condivisione di risorse in AWS RAM nella Guida per l'utente di AWS RAM

  2. Per visualizzare le associazioni di condivisione delle risorse create, usa get-resource-share-associations.

Il gruppo di sicurezza è ora condiviso. Puoi selezionare il gruppo di sicurezza quando avvii un’istanza EC2 in una sottorete condivisa all’interno dello stesso VPC.

Interruzione della condivisione di un gruppo di sicurezza

Questa sezione spiega come utilizzare la Console di gestione AWS e la AWS CLI per interrompere la condivisione di un gruppo di sicurezza con altri account dell'organizzazione.

AWS Management Console
Interrompere la condivisione di un gruppo di sicurezza

  1. Apri la console Amazon VPC all’indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione a sinistra, scegli Gruppi di sicurezza.

  3. Scegli un gruppo di sicurezza per visualizzare i dettagli.

  4. Scegliere la scheda Sharing (Condivisione) .

  5. Scegli una condivisione di risorse per il gruppo di sicurezza e successivamente Interrompi condivisione.

  6. Scegli Sì, interrompi condivisione.

Command line

Interrompere la condivisione di un gruppo di sicurezza

Elimina la condivisione di risorse con delete-resource-share.

Il gruppo di sicurezza non è più condiviso. Una volta che il proprietario interrompe la condivisione di un gruppo di sicurezza, si applicano le regole seguenti:

  • Le interfacce di rete elastiche (ENI) dei partecipanti esistenti continuano a ricevere tutti gli aggiornamenti delle regole dei gruppi di sicurezza apportati a quelli non condivisi. L'annullamento della condivisione impedisce solo al partecipante di creare nuove associazioni con il gruppo non condiviso.

  • I partecipanti non possono più associare il gruppo di sicurezza non condiviso a nessuna ENI di loro proprietà.

  • I partecipanti possono descrivere ed eliminare le ENI che sono ancora associate a gruppi di sicurezza non condivisi.

  • Se i partecipanti hanno ancora ENI associate al gruppo di sicurezza non condiviso, il proprietario non può eliminarlo. Il proprietario può eliminare il gruppo di sicurezza solo dopo che i partecipanti hanno dissociato (rimosso) il gruppo di sicurezza da tutte le proprie ENI.

  • I partecipanti non possono avviare nuove istanze EC2 utilizzando una ENI associata a un gruppo di sicurezza non condiviso.