Gerenciar grupos de segurança do EC2 - AWS Elastic Beanstalk
Ambientes com balanceamento de carga (várias instâncias)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciar grupos de segurança do EC2

Quando o Elastic Beanstalk cria um ambiente, ele atribui um grupo de segurança padrão às instâncias do EC2 que são executadas com ele. Os grupos de segurança anexados a suas instâncias determinam qual tráfego tem permissão para acessar e encerrar as instâncias.

O grupo de segurança EC2 padrão criado pelo Elastic Beanstalk permite todo o tráfego de entrada da Internet ou de balanceadores de carga nas portas padrão para HTTP (80) e SSH (22). Também é possível definir seus próprios grupos de segurança personalizados para designar regras de firewall para as instâncias do EC2. Os grupos de segurança podem permitir o tráfego em outras portas ou de outras fontes. Por exemplo, você pode criar um grupo de segurança para acessar SSH que permita o tráfego de entrada na porta 22 a partir de um intervalo restrito de endereços IP. Ou, para segurança adicional, você pode criar uma que permita o tráfego de um bastion host que só você pode acessar.

Você pode optar por excluir seu ambiente do grupo de segurança do EC2 padrão definindo a opção DisableDefaultEC2SecurityGroup no namespace aws:autoscaling:launchconfiguration como true. Use a AWS CLI ou arquivos de configuração para aplicar essa opção ao seu ambiente e anexar grupos de segurança personalizados às instâncias do EC2.

Gerenciar grupos de segurança do EC2 em ambientes de várias instâncias

Se você criar um grupo de segurança EC2 personalizado em um ambiente de várias instâncias, também deverá considerar como os balanceadores de carga e as regras de tráfego de entrada mantêm suas instâncias seguras e acessíveis.

O tráfego de entrada para um ambiente com várias instâncias do EC2 é gerenciado pelo balanceador de carga, que direciona o tráfego de entrada entre todas as instâncias do EC2. Quando o Elastic Beanstalk cria um grupo de segurança padrão do EC2, ele também define regras de entrada que permitem o tráfego de entrada do balanceador de carga. Sem essa regra de entrada no grupo de segurança, o tráfego de entrada não poderá entrar nas instâncias. Essa condição basicamente bloquearia as instâncias de solicitações externas.

Se você desabilitar o grupo de segurança padrão do EC2 para um ambiente com balanceamento de carga, o Elastic Beanstalk valida algumas regras de configuração. Se a configuração não atender às verificações de validação, ela emitirá mensagens instruindo você a fornecer a configuração necessária. As verificações de validação são as seguintes:

  • Pelo menos um grupo de segurança deve ser atribuído ao balanceador de carga usando a opção SecurityGroups de aws:elbv2:loadbalancer ou aws:elb:loadbalancer, dependendo se é um application load balancer ou classic load balancer, respectivamente. Para ver exemplos de AWS CLI, consulte Configurar com o AWS CLI.

  • Devem existir regras de tráfego de entrada que permitam que suas instâncias do EC2 recebam tráfego do balanceador de carga. Tanto os grupos de segurança do EC2 quanto os grupos de segurança do balanceador de carga devem fazer referência a essas regras de entrada. Para obter mais informações, consulte a seção Regras de entrada para tráfego abaixo.

Regras de entrada para tráfego

Os grupos de segurança do EC2 para um ambiente de várias instâncias devem incluir uma regra de entrada que faça referência ao grupo de segurança do balanceador de carga. Isso se aplica a ambientes com qualquer tipo de balanceador de carga, dedicado ou compartilhado, e com grupos de segurança de balanceadores de carga personalizados ou padrão.

Você pode visualizar todos os grupos de segurança que estão conectados aos componentes do seu ambiente no console do EC2. A imagem a seguir mostra a lista dos grupos de segurança do console do EC2 que o Elastic Beanstalk cria por padrão durante a operação de criação do ambiente.

A tela Grupos de segurança mostra os ambientes e seus grupos de segurança associados. Tanto GettingStarted-env quanto GettingStarted3-env são ambientes de várias instâncias com balanceadores de carga dedicados. Cada um desses ambientes tem dois grupos de segurança listados, um para as instâncias do EC2 e outro para o balanceador de carga. O Elastic Beanstalk cria esses grupos de segurança ao criar os ambientes. GettingStarted5-env não tem um grupo de segurança de balanceador de carga, porque tem apenas uma instância do EC2 e, portanto, nenhum balanceador de carga.

A tela de Regras de entrada detalha o grupo de segurança do EC2 para as instâncias de GettingStarted3-env. Este exemplo define as regras de entrada para o grupo de segurança do EC2. Observe que a coluna Fonte nas Regras de entrada lista o ID do grupo de segurança do balanceador de carga listado na imagem anterior. Essa regra permite que as instâncias EC2 de GettingStarted3-env recebam tráfego de entrada desse balanceador de carga específico na porta 80.

O console do Amazon EC2 exibe grupos de segurança do Elastic Beanstalk para cada ambiente.

Para obter mais informações, consulte Alterar grupos de segurança para sua instância e Regras do Elastic Load Balancing no Guia do usuário do Amazon EC2.