As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Grupos de segurança: regras de entrada e saída
Um security group atua como um firewall virtual para sua instância para controlar o tráfego de entrada e saída. Para cada security group, adicione regras que controlam o tráfego de entrada para instâncias e um conjunto separado de regras que controlam o tráfego de saída.
Para a sua conexão VPC, crie um grupo de segurança com a descrição QuickSight-VPC. Esse grupo de segurança deve permitir todo o tráfego TCP de entrada dos grupos de segurança dos destinos de dados que você deseja acessar. O exemplo a seguir cria um grupo de segurança na VPC e retorna o ID do novo grupo de segurança.
aws ec2 create-security-group \ --group-name quicksight-vpc \ --description "QuickSight-VPC" \ --vpc-idvpc-0daeb67adda59e0cd
Importante
A configuração da rede é tão complexa que recomendamos fortemente que você crie um novo grupo de segurança para uso com o Amazon Quick Suite. Isso também facilita a ajuda do AWS Support se você precisar entrar em contato. Criar um grupo não é absolutamente necessário. No entanto, os tópicos a seguir se baseiam na suposição de que você segue essa recomendação.
Para permitir que o Quick Suite se conecte com sucesso a uma instância em sua VPC, configure suas regras de grupo de segurança para permitir o tráfego entre a interface de rede do Amazon Quick Suite e a instância que contém seus dados. Para fazer isso, configure o grupo de segurança anexado às regras de entrada da instância de banco de dados para permitir o seguinte tráfego:
-
Da porta à qual o Amazon Quick Suite está se conectando
-
Use uma das seguintes opções:
-
O ID do grupo de segurança associado à interface de rede do Amazon Quick Suite (recomendado)
or
-
O endereço IP privado da interface de rede do Amazon Quick Suite
-
Para obter mais informações, consulte Grupos de segurança para sua VPC VPCs e sub-redes no Guia do usuário da Amazon VPC.
Use os tópicos listados abaixo para saber mais sobre as regras de entrada e de saída.
Regras de entrada
Importante
A seção a seguir se aplica à sua conexão VPC se tiver sido criada antes de 27 de abril de 2023.
Quando você cria um security group, ele não possui regras de entrada. Nenhum tráfego de entrada originário de outro host para a sua instância será permitido até que você adicione regras de entrada ao grupo de segurança.
O grupo de segurança conectado à interface de rede do Amazon Quick Suite se comporta de forma diferente da maioria dos grupos de segurança, porque não tem estado. Outros grupos de segurança são geralmente com estado. Isso significa que, após estabelecerem uma conexão de saída para o grupo de segurança de um recurso, eles permitem o tráfego de retorno automaticamente. Por outro lado, o grupo de segurança da interface de rede do Amazon Quick Suite não permite automaticamente o tráfego de retorno. Por esse motivo, adicionar uma regra de saída ao grupo de segurança da interface de rede do Amazon Quick Suite não funciona. Para fazê-lo funcionar para o grupo de segurança da interface de rede do Amazon Quick Suite, certifique-se de adicionar uma regra de entrada que autorize explicitamente o tráfego de retorno do host do banco de dados.
A regra de entrada no seu grupo de segurança precisa permitir o tráfego em todas as portas. É necessário fazer isso porque o número da porta de destino de qualquer pacote de retorno de entrada é definido como um número de porta alocado aleatoriamente.
Para restringir a conexão do Amazon Quick Suite somente a determinadas instâncias, você pode especificar o ID do grupo de segurança (recomendado) ou o endereço IP privado das instâncias que você deseja permitir. De qualquer forma, sua regra de entrada do grupo de segurança ainda precisa permitir tráfego em todas as portas (de 0 a 65535).
Para permitir que o Amazon Quick Suite se conecte a qualquer instância na VPC, você pode configurar o grupo de segurança da interface de rede do Amazon Quick Suite. Nesse caso, forneça uma regra de entrada para permitir o tráfego em 0.0.0.0/0 em todas as portas (de 0 a 65535). O grupo de segurança usado pela interface de rede do Amazon Quick Suite deve ser diferente dos grupos de segurança usados para seus bancos de dados. É recomendável usar grupos de segurança separados para a conexão de VPC.
Importante
Se estiver usando uma instância de banco de dados do Amazon RDS de longa data, verifique sua configuração para ver se está usando um grupo de segurança de banco de dados. Os grupos de segurança de banco de dados são usados com instâncias de banco de dados que não estão em uma VPC e estão na plataforma EC2 -Classic.
Se essa for sua configuração e você não estiver movendo sua instância de banco de dados para a VPC para uso com o Amazon Quick Suite, certifique-se de atualizar as regras de entrada do seu grupo de segurança de banco de dados. Atualize-os para permitir o tráfego de entrada do grupo de segurança da VPC que você está usando para o Amazon Quick Suite. Para obter mais informações, consulte Controlar o acesso com grupos de segurança no Guia do usuário do Amazon RDS.
Regras de saída
Importante
A seção a seguir se aplica à sua conexão VPC se tiver sido criada antes de 27 de abril de 2023.
Por padrão, um security group inclui uma regra de saída que permite todo o tráfego de saída. É recomendável remover essa regra predefinida e adicionar regras de saída que permitam apenas tráfego de saída específico.
Atenção
Não configure o grupo de segurança na interface de rede do Amazon Quick Suite com uma regra de saída para permitir tráfego em todas as portas. Para obter informações sobre as principais considerações e recomendações para gerenciar o tráfego de saída da rede VPCs, consulte as melhores práticas de segurança para sua VPC no Guia do usuário da Amazon VPC.
O grupo de segurança anexado à interface de rede do Amazon Quick Suite deve ter regras de saída que permitam o tráfego para cada uma das instâncias de banco de dados em sua VPC às quais você deseja que o Amazon Quick Suite se conecte. Para restringir que o Amazon Quick Suite se conecte somente a determinadas instâncias, especifique o ID do grupo de segurança (recomendado) ou o endereço IP privado das instâncias a serem permitidas. Configure isso, juntamente com os números de porta apropriados para suas instâncias (a porta na qual as instâncias estão escutando), na regra de saída.
O grupo de segurança da VPC também deve permitir tráfego de saída para os grupos de segurança dos destinos de dados, especificamente na porta ou portas em que o banco de dados está escutando.
