As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Controlar o tráfego no VPC Lattice usando grupos de segurança
<a name="security-groups"></a>

AWS grupos de segurança atuam como firewalls virtuais, controlando o tráfego de rede de e para as entidades às quais estão associados. Com o VPC Lattice, você pode criar grupos de segurança e atribuí-los à associação VPC que conecta uma VPC a uma rede de serviços para aplicar proteções adicionais de segurança em nível de rede para sua rede de serviços. Se você conectar uma VPC a uma rede de serviços usando um VPC endpoint, também poderá atribuir grupos de segurança ao VPC endpoint. Da mesma forma, você pode atribuir grupos de segurança aos gateways de recursos que você cria para permitir o acesso aos recursos em sua VPC.

**Topics**
+ [Listas de prefixos gerenciados](#managed-prefix-list)
+ [Regras de grupos de segurança](#security-groups-rules)
+ [Gerenciar grupos de segurança para uma associação de VPC](#service-network-security-group)

## Listas de prefixos gerenciados
<a name="managed-prefix-list"></a>

O VPC Lattice fornece listas de prefixos gerenciados que incluem os endereços IP usados para rotear o tráfego pela rede VPC Lattice quando você usa uma associação de rede de serviços para conectar sua VPC a uma rede de serviços usando uma associação VPC. Eles IPs são links privados locais IPs ou públicos não roteáveis. IPs

 É possível fazer referência à lista de prefixos gerenciados do VPC Lattice nas regras do seu grupo de segurança. Isso permite que o tráfego flua dos clientes por meio da rede de serviços do VPC Lattice e para os destinos do serviço VPC Lattice.

Por exemplo, suponha que você tenha uma instância do EC2 registrada como destino na região Oeste dos EUA (Oregon) (`us-west-2`). Você pode adicionar uma regra ao grupo de segurança da instância que permita acesso HTTPS de entrada da lista de prefixos gerenciados do VPC Lattice, para que o tráfego do VPC Lattice nessa região possa chegar na instância. Se você remover todas as outras regras de entrada do grupo de segurança, poderá impedir a chegada à instância de qualquer outro tráfego que não seja do VPC Lattice.

Os nomes das listas de prefixos gerenciados para o VPC Lattice são os seguintes:
+ com.amazonaws. *region*.vpc-lattice
+ com.amazonaws. *region*.ipv6.vpc-lattice

Para obter mais informações, consulte [listaS de prefixos gerenciados da AWS](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html#available-aws-managed-prefix-lists) no *Guia do usuário da Amazon VPC*.

**Clientes Windows e macOS**  
Os endereços nas listas de prefixos do VPC Lattice são endereços locais de link e endereços públicos não roteáveis. Se você se conectar à VPC Lattice a partir desses clientes, deverá atualizar suas configurações para que ela encaminhe os endereços IP na lista de prefixos gerenciados para o endereço IP primário do cliente. Veja a seguir um exemplo de comando que atualiza a configuração do cliente Windows, onde 169.254.171.0 está um dos endereços na lista de prefixos gerenciados. 

```
C:\> route add 169.254.171.0 mask 255.255.255.0 primary-ip-address
```

Veja a seguir um exemplo de comando que atualiza a configuração do cliente macOS, onde 169.254.171.0 está um dos endereços na lista de prefixos gerenciados. 

```
sudo route -n add -net 169.254.171.0 primary-ip-address 255.255.255.0
```

Para evitar a criação de uma rota estática, recomendamos que você use um endpoint de rede de serviços em uma VPC para estabelecer conectividade. Para obter mais informações, consulte [Gerencie associações de endpoints VPC da rede de serviços](service-network-associations.md#service-network-vpc-endpoint-associations).

## Regras de grupos de segurança
<a name="security-groups-rules"></a>

Usar o VPC Lattice com ou sem grupos de segurança não afetará sua configuração de grupo de segurança da VPC existente. No entanto, você pode adicionar seus próprios grupos de segurança a qualquer momento.

**Considerações importantes**
+ As regras do grupo de segurança para clientes controlam o tráfego de saída para o VPC Lattice. 
+ As regras do grupo de segurança para alvos controlam o tráfego de entrada do VPC Lattice para os alvos, incluindo o tráfego de verificação de integridade. 
+ As regras do grupo de segurança para a associação entre a rede de serviços e a VPC controlam quais clientes podem acessar a rede de serviços do VPC Lattice.
+ As regras de grupo de segurança para o gateway de recursos controlam o tráfego de saída do gateway de recursos para os recursos.

**Regras de saída recomendadas para o tráfego que flui do gateway de recursos para um recurso de banco de dados**  
Para que o tráfego flua do gateway de recursos para os recursos, você deve criar regras de saída para as portas abertas e protocolos de escuta aceitos para os recursos.


| Destino | Protocolo | Intervalo de portas | Comment | 
| --- | --- | --- | --- | 
| CIDR range for resource | TCP | 3306 | Permitir tráfego do gateway de recursos para bancos de dados | 

**Regras de entrada recomendadas para redes de serviço e associações de VPC**  
Para que o tráfego flua do cliente VPCs para os serviços associados à rede de serviços, você deve criar regras de entrada para as portas do listener e protocolos do listener para os serviços.


| Fonte | Protocolo | Intervalo de portas | Comment | 
| --- | --- | --- | --- | 
| VPC CIDR | listener | listener | Permita tráfego de clientes para o VPC Lattice | 

**Regras de saída recomendadas para o fluxo de tráfego das instâncias do cliente para o VPC Lattice**  
Por padrão, os grupos de segurança permitem todo o tráfego de saída. No entanto, se você tiver regras de saída personalizadas, deverá permitir o tráfego de saída para o prefixo VPC Lattice para portas e protocolos de ouvinte para que as instâncias do cliente possam se conectar a todos os serviços associados à rede de serviços VPC Lattice. Você pode permitir esse tráfego fazendo referência ao ID da lista de prefixos do VPC Lattice.


| Destino | Protocolo | Intervalo de portas | Comment | 
| --- | --- | --- | --- | 
| ID of the VPC Lattice prefix list | listener | listener | Permita tráfego de clientes para o VPC Lattice | 

**Regras de entrada recomendadas para o fluxo de tráfego do VPC Lattice para as instâncias de destino**  
Você não pode usar o grupo de segurança do cliente como origem para os grupos de segurança do seu destino, porque o tráfego é proveniente do VPC Lattice. Você pode fazer referência ao ID da lista de prefixos do VPC Lattice.


| Fonte | Protocolo | Intervalo de portas | Comment | 
| --- | --- | --- | --- | 
| ID of the VPC Lattice prefix list | target | target | Permitir tráfego do VPC Lattice para os destinos | 
| ID of the VPC Lattice prefix list | health check | health check | Permitir a verificação de integridade do tráfego do VPC Lattice para os destinos | 

## Gerenciar grupos de segurança para uma associação de VPC
<a name="service-network-security-group"></a>

Você pode usar o AWS CLI para visualizar, adicionar ou atualizar grupos de segurança na VPC para atender à associação de rede. Ao usar o AWS CLI, lembre-se de que seus comandos são Região da AWS executados no configurado para seu perfil. Se você deseja executar os comandos em uma região diferente, altere a região padrão para o seu perfil ou use o parâmetro `--region` com o comando.

Antes de começar, confirme se você criou o grupo de segurança na mesma VPC que você deseja adicionar à rede de serviços. Para obter mais informações, consulte [Controle o tráfego para seus recursos usando grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) no Guia do *usuário da Amazon VPC*

**Para adicionar um grupo de segurança ao criar uma associação de VPC usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, em **VPC Lattice**, escolha **Redes de serviço**.

1. Selecione o nome da rede de serviços para abrir sua página de detalhes.

1. Na guia **Associações de VPC**, escolha **Criar associações de VPC** e, em seguida, escolha **Adicionar associação de VPC**.

1. Selecione uma VPC e até cinco grupos de segurança.

1. Escolha **Salvar alterações**.

**Para adicionar ou atualizar grupos de segurança para uma associação de VPC existente usando o console**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, em **VPC Lattice**, escolha **Redes de serviço**.

1. Selecione o nome da rede de serviços para abrir sua página de detalhes.

1. Na guia **Associações de VPC**, marque a caixa de seleção da associação e escolha **Ações**, **Editar grupos de segurança**.

1. Adicione e remova grupos de segurança conforme necessário.

1. Escolha **Salvar alterações**.

**Para adicionar um grupo de segurança ao criar uma associação de VPC usando o AWS CLI**  
Use o comando [create-service-network-vpc-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-service-network-vpc-association.html), especificando o ID da VPC para a associação VPC e o ID dos grupos de segurança a serem adicionados.

```
aws vpc-lattice create-service-network-vpc-association \
    --service-network-identifier sn-0123456789abcdef0 \
    --vpc-identifier vpc-1a2b3c4d \
    --security-group-ids sg-7c2270198example
```

Se houver êxito, o comando gerará uma saída semelhante à seguinte.

```
{
  "arn": "arn",
  "createdBy": "464296918874",
  "id": "snva-0123456789abcdef0",
  "status": "CREATE_IN_PROGRESS",
  "securityGroupIds": ["sg-7c2270198example"]
}
```

**Para adicionar ou atualizar grupos de segurança para uma associação de VPC existente usando o AWS CLI**  
Use o comando [update-service-network-vpc-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/update-service-network-vpc-association.html), especificando o ID da rede de serviços e dos grupos IDs de segurança. Esses grupos de segurança substituem qualquer outro grupo de segurança anteriormente associado. Defina pelo menos um grupo de segurança ao atualizar a lista.

```
aws vpc-lattice update-service-network-vpc-association 
    --service-network-vpc-association-identifier sn-903004f88example \
    --security-group-ids sg-7c2270198example sg-903004f88example
```

**Atenção**  
Não é possível remover todos os grupos de segurança. Em vez disso, primeiro você deve excluir a associação de VPC e, em seguida, recriar a associação de VPC sem nenhum grupo de segurança. Tenha cuidado ao excluir a associação de VPC. Isso impede que o tráfego chegue aos serviços que estão nessa rede de serviços.