Grupos de segurança para o EC2 Instance Connect Endpoint
Um grupo de segurança controla o tráfego que tem permissão para acessar e sair dos recursos aos quais está associado. Por exemplo, negamos tráfego de e para uma instância do Amazon EC2, a menos que seja especificamente permitido pelos grupos de segurança associados à instância.
Os exemplos a seguir mostram como configurar as regras do grupo de segurança para o EC2 Instance Connect Endpoint e as instâncias de destino.
Exemplos
Regras de grupo de segurança para o EC2 Instance Connect Endpoint
As regras de grupo de segurança para um EC2 Instance Connect Endpoint devem permitir que o tráfego de saída para as instâncias de destino deixem o endpoint. É possível especificar o grupo de segurança da instância ou o intervalo de endereços IPv4 ou iPv6 da VPC como o destino.
O tráfego para o endpoint é proveniente do EC2 Instance Connect Endpoint Service e é permitido independentemente das regras de entrada do grupo de segurança do endpoint. Para controlar quem pode usar o endpoint do EC2 Instance Connect para se conectar a uma instância, use uma política do IAM. Para obter mais informações, consulte Permissões para usar o EC2 Instance Connect Endpoint para se conectar às instâncias.
Exemplo de regra de saída: referência a grupos de segurança
O exemplo a seguir usa referência a grupos de segurança, o que significa que o destino é um grupo de segurança associado às instâncias de destino. Essa regra permite tráfego de saída do endpoint para todas as instâncias que usam esse grupo de segurança.
| Protocolo | Destino | Intervalo de portas | Comentário |
|---|---|---|---|
| TCP | ID do grupo de segurança da instância |
22 | Permite tráfego SSH de saída para todas as instâncias associadas ao grupo de segurança da instância |
Exemplo de regra de saída: intervalo de endereços IPv4
O exemplo a seguir permite tráfego de saída para o intervalo de endereços IPv4 especificado. Os endereços IPv4 de uma instância são atribuídos a partir de sua sub-rede para que você possa usar o intervalo de endereços IPv4 da VPC.
| Protocolo | Destino | Intervalo de portas | Comentário |
|---|---|---|---|
| TCP | CIDR IPv4 da VPC |
22 | Permite tráfego SSH de saída para a VPC |
Exemplo de regra de saída: intervalo de endereços IPv6
O exemplo a seguir permite tráfego de saída para o intervalo de endereços IPv6 especificado. Os endereços IPv6 de uma instância são atribuídos a partir de sua sub-rede para que você possa usar o intervalo de endereços IPv6 da VPC.
| Protocolo | Destino | Intervalo de portas | Comentário |
|---|---|---|---|
| TCP | CIDR IPv6 da VPC |
22 | Permite tráfego SSH de saída para a VPC |
Regras do grupo de segurança da instância de destino
As regras do grupo de segurança para instâncias de destino devem permitir o tráfego de entrada do EC2 Instance Connect Endpoint. É possível especificar o grupo de segurança do endpoint ou um intervalo de endereços IPv4 ou IPv6 como origem. Se você especificar um intervalo de endereços IPv4, a origem dependerá se a preservação do IP do cliente está desativada ou ativada. Para obter mais informações, consulte Considerações.
Como os grupos de segurança são stateful, o tráfego de resposta tem permissão para sair da VPC, independentemente das regras de saída do grupo de segurança da instância.
Exemplo de regra de entrada: referência a grupos de segurança
O exemplo a seguir usa referência a grupos de segurança, o que significa que a origem é o grupo de segurança associado ao endpoint. Essa regra permite tráfego SSH de entrada do endpoint para todas as instâncias que usam esse grupo de segurança, independentemente de a preservação do IP do cliente estar ativada ou desativada. Se não houver outras regras do grupo de segurança de entrada para SSH, as instâncias aceitarão tráfego SSH somente do endpoint.
| Protocolo | Origem | Intervalo de portas | Comentário |
|---|---|---|---|
| TCP | ID do grupo de segurança do endpoint |
22 | Permite tráfego SSH de entrada dos recursos associados ao grupo de segurança do endpoint |
Exemplo de regra de entrada: preservação do IP do cliente desativada
O exemplo a seguir permite tráfego SSH de entrada do intervalo de endereços IPv4 especificado. Como a preservação do IP do cliente está desativada, o endereço IPv4 de origem é o endereço da interface de rede do endpoint. O endereço da interface de rede do endpoint é atribuído a partir de sua sub-rede, então você pode usar o intervalo de endereços IPv4 da VPC para permitir conexões com todas as instâncias na VPC.
| Protocolo | Origem | Intervalo de portas | Comentário |
|---|---|---|---|
| TCP | CIDR IPv4 da VPC |
22 | Permitir tráfego de entrada SSH da VPC |
Exemplo de regra de entrada: preservação do IP do cliente ativada
O exemplo a seguir permite tráfego SSH de entrada do intervalo de endereços IPv4 especificado. Como a preservação do IP do cliente está ativada, o endereço IPv4 de origem é o endereço do cliente.
| Protocolo | Origem | Intervalo de portas | Comentário |
|---|---|---|---|
| TCP | Intervalo de endereços IPv4 públicos |
22 | Permite tráfego de entrada do intervalo de endereços IPv4 do cliente especificado. |
