# Controle o tráfego para seus recursos da AWS usando grupos de segurança
Um *grupo de segurança* controla o tráfego que tem permissão para acessar e sair dos recursos aos quais está associado. Por exemplo, depois de associar um grupo de segurança a uma instância do EC2, ele controla o tráfego de entrada e saída da instância.
Quando você cria uma VPC, ela vem com um grupo de segurança padrão. É possível criar grupos de segurança adicionais para uma VPC, cada um com suas próprias regras de entrada e saída. Você pode especificar a origem, o intervalo de portas e o protocolo de cada regra de entrada. Você pode especificar o destino, o intervalo de portas e o protocolo de cada regra de saída.
O diagrama a seguir mostra uma VPC com uma sub-rede, um gateway da Internet e um grupo de segurança. A sub-rede contém uma instância do EC2. O grupo de segurança é atribuído à instância. O grupo de segurança atua como um firewall virtual. O único tráfego que chega à instância é aquele permitido pelas regras do grupo de segurança. Por exemplo, se o grupo de segurança contiver uma regra que permita o tráfego ICMP proveniente da sua rede para a instância, você poderá efetuar ping na instância a partir do computador. Se o grupo de segurança não contiver uma regra que permita tráfego SSH, não será possível conectar-se à instância via SSH.
![\[VPC com duas sub-redes, dois grupos de segurança, servidores em sub-redes associadas a diferentes grupos de segurança\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/security-group-overview.png)
**Topics**
+ [Noções básicas do grupo de segurança](#security-group-basics)
+ [Exemplo de grupo de segurança](#security-group-example-details)
+ [Regras de grupos de segurança](security-group-rules.md)
+ [Grupos de segurança padrão](default-security-group.md)
+ [Criar um grupo de segurança](creating-security-groups.md)
+ [Configurar regras de grupo de segurança](working-with-security-group-rules.md)
+ [Exclua um grupo de segurança](deleting-security-groups.md)
+ [Associar grupos de segurança a várias VPCs](security-group-assoc.md)
+ [Compartilhar grupos de segurança com o AWS Organizations](security-group-sharing.md)
**Preços**
Não há cobrança adicional pelo uso de grupos de segurança.
## Noções básicas do grupo de segurança
+ Você poderá atribuir um grupo de segurança a recursos criados na mesma VPC do grupo de segurança ou a recursos em outras VPCs se utilizar o recurso [Associação de VPC do grupo de segurança](security-group-assoc.md) para associar o grupo de segurança a outras VPCs na mesma região. Você também pode atribuir vários grupos de segurança a um único recurso.
+ Ao criar um grupo de segurança, você deve fornecer um nome e uma descrição. As seguintes regras se aplicam:
+ O nome do grupo de segurança deve ser exclusivo dentro da VPC.
+ Os nomes do grupo de segurança não diferenciam letras maiúsculas de minúsculas.
+ Os nomes e as descrições podem ter até 255 caracteres de comprimento.
+ Os nomes e as descrições são limitados aos seguintes caracteres: a-z, A-Z, 0-9, espaços e .\$1-:/()\$1,@[]\$1=&;\$1\$1\$1\$1\$1.
+ Quando o nome termina com espaços, cortamos os espaços existentes no final do nome. Por exemplo, se você inserir “Testar grupo de segurança " para o nome, nós o armazenaremos como “Testar grupo de segurança”.
+ Um nome de grupo de segurança não pode começar com `sg-`.
+ Os grupos de segurança são com estado. Por exemplo, se você enviar uma solicitação de uma instância, o tráfego de resposta dessa solicitação terá permissão para alcançar a instância, independentemente das regras do grupo de segurança de entrada. As respostas ao tráfego de entrada permitido têm permissão para deixar a instância, independentemente das regras de saída.
+ Os grupos de segurança não filtram tráfego de entrada ou de saída de:
+ Serviços de nomes de domínio (DNS) da Amazon
+ Dynamic Host Configuration Protocol (DHCP – Protocolo de configuração de host dinâmico) da Amazon
+ Metadados da instância do Amazon EC2
+ Endpoints de metadados de tarefas do Amazon ECS
+ Ativação de licença para instâncias do Windows
+ Serviço de Sincronização Temporal da Amazon
+ Endereços IP reservados usados pelo roteador padrão da VPC
+ Existem cotas no número de grupos de segurança que podem ser criados por VPC, o número de regras que podem ser adicionadas a cada grupo de segurança e o número de grupos de segurança que podem ser associadas a uma interface de rede. Para obter mais informações, consulte [Cotas da Amazon VPC](amazon-vpc-limits.md).
**Práticas recomendadas**
+ Autorize somente entidades principais específicas do IAM para criar e modificar grupos de segurança.
+ Crie o número mínimo de grupos de segurança necessários para diminuir o risco de erro. Use cada grupo de segurança para gerenciar o acesso a recursos que tenham funções e requisitos de segurança semelhantes.
+ Quando você adicionar regras de entrada para as portas 22 (SSH) ou 3389 (RDP) para poder acessar as instâncias do EC2, autorize somente intervalos específicos de endereços IP. Se você especificar 0.0.0.0/0 (IPv4) e ::/ (IPv6), qualquer pessoa poderá acessar suas instâncias de qualquer endereço IP usando o protocolo especificado.
+ Não abra grandes intervalos de portas. Certifique-se de que o acesso por meio de cada porta seja restrito às fontes ou destinos que o exigem.
+ Você pode configurar ACLs da rede com regras semelhantes às dos grupos de segurança para adicionar uma camada de segurança à sua VPC. Para obter mais informações sobre as diferenças entre grupos de segurança e ACLs de rede, consulte [Comparar grupos de segurança e ACLs de rede](infrastructure-security.md#VPC_Security_Comparison).
## Exemplo de grupo de segurança
O diagrama a seguir mostra uma VPC com dois grupos de segurança e duas sub-redes. As instâncias na sub-rede A têm os mesmos requisitos de conectividade e, portanto, estão associadas ao grupo de segurança 1. As instâncias na sub-rede B têm os mesmos requisitos de conectividade e, portanto, estão associadas ao grupo de segurança 2. As regras do grupo de segurança permitem tráfego da seguinte maneira:
+ A primeira regra de entrada no grupo de segurança 1 permite tráfego SSH para as instâncias na sub-rede A a partir do intervalo de endereços especificado (por exemplo, um intervalo na sua própria rede).
+ A segunda regra de entrada no grupo de segurança 1 permite que as instâncias na sub-rede A se comuniquem entre si usando qualquer protocolo e porta.
+ A primeira regra de entrada no grupo de segurança 2 permite que as instâncias na sub-rede B se comuniquem entre si usando qualquer protocolo e porta.
+ A segunda regra de entrada no grupo de segurança 2 permite que as instâncias na sub-rede A se comuniquem com as instâncias na sub-rede B via SSH.
+ Ambos os grupos de segurança usam a regra de saída padrão, que permite todo o tráfego.
![\[Uma VPC com dois grupos de segurança e servidores em duas sub-redes. Os servidores na sub-rede A estão associados ao grupo de segurança 1. Os servidores na sub-rede B estão associados ao grupo de segurança 2.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/security-group-details.png)
# Regras de grupos de segurança
As regras de um grupo de segurança controlam o tráfego de entrada que tem permissão para alcançar as instâncias associadas ao grupo de segurança. As regras também controlam o tráfego de saída que pode deixá-los.
Você pode adicionar ou remover regras de um grupo de segurança (também conhecido como *autorização* ou *revogação* do acesso de entrada ou de saída). Uma regra aplica-se ao tráfego de entrada (ingresso) ou ao tráfego de saída (egresso). Você pode conceder acesso a uma origem ou destino específico.
**Topics**
+ [Noções básicas sobre grupos de segurança](#security-group-rule-characteristics)
+ [Componentes de uma regra de grupo de segurança](#security-group-rule-components)
+ [Referenciamento de grupo de segurança](#security-group-referencing)
+ [Tamanho do grupo de segurança](#security-group-size)
+ [Regras de grupo de segurança obsoletas](#vpc-stale-security-group-rules)
## Noções básicas sobre grupos de segurança
As seguintes são as características das regras de grupos de segurança:
+ Você pode especificar regras de permissão, mas não regras de negação.
+ Quando você cria um grupo de segurança, ele não possui regras de entrada. Portanto, nenhum tráfego de entrada tem permissão até que você adicione regras de entrada ao grupo de segurança.
+ Quando você cria um grupo de segurança pela primeira vez, ele possui uma regra de saída que permite todo o tráfego de saída do recurso. Você pode remover a regra e adicionar regras de saída que permitem somente tráfego de saída específico. Se o grupo de segurança não tiver nenhuma regra de saída, nenhum tráfego de saída será permitido.
+ Quando você associa vários grupos de segurança a um recurso, as regras de cada grupo de segurança são agregadas para formar um único conjunto de regras, que é utilizado para determinar se o acesso deve ser permitido.
+ Quando você adiciona, atualiza ou remove regras, elas são aplicadas automaticamente a todos os recursos associados ao grupo de segurança. Para instruções, consulte [Configurar regras de grupo de segurança](working-with-security-group-rules.md).
+ O efeito de algumas alterações nas regras pode depender de como o tráfego é acompanhado. Para obter mais informações, consulte [Rastreamento de conexão](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) no *Guia do usuário do Amazon EC2*.
+ Quando você cria uma regra para o grupo de segurança, a AWS atribui um ID exclusivo à regra. É possível usar o ID de uma regra ao usar a API ou a CLI para modificar ou excluir a regra.
**Limitação**
Os grupos de segurança não podem bloquear solicitações entre o DNS e o Route 53 Resolver, às vezes, chamado de "endereço IP VPC\$12" (consulte [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) no *Guia do desenvolvedor do Amazon Route 53*) ou como [AmazonProvidedDNS](DHCPOptionSet.md). Para filtrar solicitações de DNS usando o Route 53 Resolver, use o [Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html).
## Componentes de uma regra de grupo de segurança
Estes são os componentes das regras de grupo de segurança de entrada e saída:
+ **Protocolo**: o protocolo a permitir. Os protocolos mais comuns são 6 (TCP), 17 (UDP) e 1 (ICMP).
+ **Intervalo de portas**: para TCP, UDP ou um protocolo personalizado, o intervalo de portas a ser permitido. É possível especificar um único número de porta (por exemplo, `22`) ou um intervalo de números de portas (por exemplo, `7000-8000`).
+ **Tipo e código do ICMP**: para o ICMP, o tipo e o código do ICMP. Por exemplo, use o tipo 8 para solicitação de eco ICMP ou digite 128 para solicitação de eco ICMPv6. Para obter mais informações, consulte [Regras de ping/ICMP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-ping) no *Guia do usuário do Amazon EC2*.
+ **Origem ou destino**: a origem (regras de entrada) ou o destino (regras de saída) para permitir o tráfego. Especifique um dos seguintes:
+ Um endereço IPv4 único. Use o comprimento de prefixo `/32`. Por exemplo, `203.0.113.1/32`.
+ Um endereço IPv6 único. Use o comprimento de prefixo `/128`. Por exemplo, `2001:db8:1234:1a00::123/128`.
+ Um intervalo de endereços IPv4, em notação de bloco CIDR. Por exemplo, `203.0.113.0/24`.
+ Um intervalo de endereços IPv6, em notação de bloco CIDR. Por exemplo, `2001:db8:1234:1a00::/64`.
+ O ID de uma lista de prefixos. Por exemplo, `pl-1234abc1234abc123`. Para obter mais informações, consulte [Listas de prefixos gerenciados](managed-prefix-lists.md).
+ O ID de um grupo de segurança. Por exemplo, `sg-1234567890abcdef0`. Para obter mais informações, consulte [Referenciamento de grupo de segurança](#security-group-referencing).
+ **(Opcional) Descrição**: é possível adicionar uma descrição à regra, que pode ajudá-lo a identificá-la posteriormente. Uma descrição pode ser até 255 caracteres de comprimento. Os caracteres permitidos são a-z, A-Z, 0-9, espaços e .\$1-:/()\$1,@[]\$1=;\$1\$1\$1\$1\$1.
Para ver exemplos, consulte [Regras de grupos de segurança para diferentes casos de uso](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html) no *Guia do usuário do Amazon EC2*.
## Referenciamento de grupo de segurança
Quando você especifica um grupo de segurança como a origem ou o destino de uma regra, a regra afeta todas as instâncias associadas aos grupos de segurança. As instâncias podem se comunicar na direção especificada, usando os endereços IP privados das instâncias, pelo protocolo e pela porta especificados.
O exemplo a seguir representa uma regra de entrada de um grupo de segurança que faz referência ao grupo de segurança sg-0abcdef1234567890. Essa regra permite tráfego SSH de entrada das instâncias associadas a sg-0abcdef1234567890.
| Origem | Protocolo | Intervalo de portas |
| --- | --- | --- |
| sg-0abcdef1234567890 | TCP | 22 |
Ao fazer referência a um grupo de segurança em uma regra de grupo de segurança, observe o seguinte:
+ Você pode referenciar um grupo de segurança na regra de entrada de outro grupo de segurança se alguma das seguintes condições for verdadeira:
+ Os grupos de segurança são associados à mesma VPC.
+ Existe uma conexão de emparelhamento entre as VPCs às quais os grupos de segurança são associados.
+ Existe um gateway entre as VPCs às quais os grupos de segurança são associados.
+ Você pode referenciar um grupo de segurança na regra de saída de outro grupo de segurança se alguma das seguintes condições for verdadeira:
+ Os grupos de segurança são associados à mesma VPC.
+ Existe uma conexão de emparelhamento entre as VPCs às quais os grupos de segurança são associados.
+ Nenhuma regra do grupo de segurança referenciado é adicionada ao grupo de segurança que faz referência a ele.
+ Para regras de entrada, as instâncias do EC2 associadas a um grupo de segurança podem receber tráfego de entrada dos endereços IP privados das interfaces de rede das instâncias do EC2 associadas ao grupo de segurança referenciado.
+ Para regras de saída, as instâncias do EC2 associadas a um grupo de segurança podem enviar tráfego de saída para os endereços IP privados a partir das interfaces de rede das instâncias do EC2 associadas ao grupo de segurança referenciado.
+ Não autorizamos grupos de segurança referenciados nas seguintes ações: `AuthorizeSecurityGroupIngress`, `AuthorizeSecurityGroupEgress`, `RevokeSecurityGroupIngress` e `RevokeSecurityGroupEgress`. Somente verificamos se o grupo de segurança existe. Isso resulta no seguinte:
+ Especificar o grupo de segurança referenciado nas políticas do IAM para essas ações não tem efeito.
+ Quando um grupo de segurança referenciado pertence a outra conta, a conta do proprietário não recebe eventos do CloudTrail para essas ações.
**Limitação**
Se você configurar rotas para encaminhar o tráfego entre duas instâncias em sub-redes diferentes por meio de um dispositivo middlebox, deverá garantir que os grupos de segurança de ambas as instâncias permitam o fluxo de tráfego entre as instâncias. O grupo de segurança para cada instância deve fazer referência ao endereço IP privado da outra instância ou ao intervalo CIDR da sub-rede que contém a outra instância, como a origem. Se você fizer referência ao grupo de segurança da outra instância como a origem, isso não permitirá que o tráfego flua entre as instâncias.
**Exemplo**
O diagrama a seguir mostra uma VPC com sub-redes em duas zonas de disponibilidade, um gateway da Internet e um Application Load Balancer. Cada zona de disponibilidade tem uma sub-rede pública para servidores da Web e uma sub-rede privada para servidores de banco de dados. Há grupos de segurança separados para o balanceador de carga, os servidores da Web e os servidores de banco de dados. Crie as seguintes regras de grupos de segurança para permitir o tráfego.
+ Adicione regras ao grupo de segurança do balanceador de carga para permitir o tráfego HTTP e HTTPS da Internet. A origem é 0,0.0.0/0.
+ Adicione regras ao grupo de segurança dos servidores Web para permitir tráfego HTTP e HTTPS somente do balanceador de carga. A origem é o grupo de segurança do balanceador de carga.
+ Adicione regras ao grupo de segurança dos servidores de banco de dados para permitir solicitações de banco de dados dos servidores Web. A origem é o grupo de segurança dos servidores Web.
![\[Arquitetura com servidores Web e de banco de dados, grupos de segurança, gateway da Internet e balanceador de carga\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/security-group-referencing.png)
## Tamanho do grupo de segurança
O tipo de origem ou destino determina como cada regra conta para o número máximo de regras que você pode ter por grupo de segurança.
+ Uma regra que faz referência a um bloco CIDR é contabilizada como uma regra.
+ Uma regra que faz referência a outro grupo de segurança é contabilizada como uma regra, independentemente do tamanho do grupo de segurança referenciado.
+ Uma regra que faz referência a uma lista de prefixos gerenciada pelo cliente é contabilizada como o tamanho máximo da lista de prefixos. Por exemplo, se o tamanho máximo da sua lista de prefixos for 20, uma regra que faça referência a essa lista de prefixos será contabilizada como 20 regras.
+ Uma regra que utiliza uma lista de prefixos gerenciada por AWS é ponderada pelo peso atribuído a essa lista de prefixos. Por exemplo, se o peso da lista de prefixos for 10, uma regra que faz referência a essa lista será considerada como 10 regras. Para obter mais informações, consulte [Listas de prefixos gerenciados pela AWS disponíveis](working-with-aws-managed-prefix-lists.md#available-aws-managed-prefix-lists).
## Regras de grupo de segurança obsoletas
Se a VPC tiver uma conexão de emparelhamento da VPC com outra VPC, ou se utilizar uma VPC compartilhada por outra conta, uma regra do grupo de segurança em sua VPC pode fazer referência a um grupo de segurança no par da VPC ou na VPC compartihada. Isso permite que as instâncias associadas ao grupo de segurança referenciado e aquelas associadas ao grupo de segurança de referência se comuniquem entre si. Para obter mais informações, consulte [Atualizar seus grupos de segurança para fazer referência a grupos de segurança de mesmo nível](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html) no *Guia de emparelhamento da Amazon VPC*.
Se você tiver uma regra de grupo de segurança que referencie um grupo de segurança em uma VPC emparelhada, e o grupo de segurança, ou a conexão de emparelhamento da VPC forem excluídos, a regra de grupo de segurança será marcada como obsoleta. Você pode excluir regras de grupo de segurança obsoletas, como faria com qualquer outra regra do grupo de segurança.
# Grupo de segurança padrão para VPCs
Suas VPCs padrão e todas as VPCs criadas por você vêm com um grupo de segurança padrão. O nome do grupo de segurança padrão é “default”.
Recomendamos que você crie grupos de segurança para recursos ou grupos de recursos específicos em vez de usar o grupo de segurança padrão. No entanto, se você não associar um grupo de segurança a alguns recursos no momento da criação, nós os associaremos ao grupo de segurança padrão. Por exemplo, se você não especificar um grupo de segurança ao executar uma instância do EC2, associaremos a instância ao grupo de segurança padrão para a VPC.
## Noções básicas do grupo de segurança padrão
+ Você pode alterar as regras do grupo de segurança padrão.
+ Você não pode excluir um grupo de segurança padrão. Se você tentar excluir um grupo de segurança padrão, retornaremos o seguinte código de erro: `Client.CannotDelete`.
## Regras padrão
A tabela a seguir descreve as regras de entrada padrão para um grupo de segurança padrão.
| Origem | Protocolo | Intervalo de portas | Descrição |
| --- | --- | --- | --- |
| sg-1234567890abcdef0 | Todos | Todos | Permite tráfego de entrada de todos os recursos atribuídos a este grupo de segurança. A origem é o ID deste grupo de segurança. |
A tabela a seguir descreve as regras de saída padrão para um grupo de segurança padrão.
| Destino | Protocolo | Intervalo de portas | Descrição |
| --- | --- | --- | --- |
| 0.0.0.0/0 | Tudo | Tudo | Permite todo o tráfego IPv4 de saída. |
| ::/0 | Tudo | Tudo | Permite todo o tráfego IPv6 de saída. Essa regra será adicionada somente se sua VPC tiver um bloco CIDR IPv6 associado. |
## Exemplo
O diagrama a seguir mostra uma VPC com um grupo de segurança padrão, um gateway da Internet e um gateway NAT. A segurança padrão contém somente suas regras padrão, e está associada a duas instâncias do EC2 em execução na VPC. Nesse cenário, cada instância pode receber tráfego de entrada da outra instância em todas as portas e protocolos. As regras padrão não permitem que as instâncias recebam tráfego do gateway da Internet ou do gateway NAT. Se as suas instâncias precisarem receber tráfego adicional, recomendamos criar um grupo de segurança com as regras necessárias e associar esse novo grupo de segurança às instâncias em vez de ao grupo de segurança padrão.
![\[VPC com duas sub-redes, grupo de segurança padrão, duas instâncias do EC2, gateway da Internet e gateway NAT\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/default-security-group.png)
# Crie um grupo de segurança para a VPC
Sua nuvem privada virtual (VPC) vem com um grupo de segurança padrão. Você pode criar grupos de segurança adicionais. Os grupos de segurança só podem ser usados com os recursos da VPC para a qual foram criados.
Por padrão, novos grupos de segurança começam com apenas uma regra de saída que permite que todo o tráfego deixe as instâncias. Adicione regras para permitir qualquer tráfego de entrada ou para restringir o tráfego de saída. Você pode adicionar regras quando cria um grupo de segurança ou posteriormente. Para obter mais informações, consulte [Regras de grupos de segurança](security-group-rules.md).
**Permissões obrigatórias**
Antes de começar, verifique se você tem as permissões necessárias. Para saber mais, consulte:
+ [Gerenciar grupos de segurança](vpc-policy-examples.md#vpc-security-groups-iam)
+ [Gerenciar regras de grupos de segurança](vpc-policy-examples.md#vpc-security-group-rules-iam)
**Para criar um grupo de segurança usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Security groups** (Grupos de segurança).
1. Escolha **Create security group (Criar grupo de segurança)**.
1. Insira um nome e uma descrição para o grupo de segurança. Você não pode alterar o nome e a descrição de um grupo de segurança depois que ele foi criado.
1. Para **VPC**, escolha a VPC na qual você vai criar os recursos aos quais vai associar o grupo de segurança.
1. (Opcional) Para adicionar regras de entrada, escolha **Regras de entrada**. Para cada regra, escolha **Adicionar regra** e especifique o protocolo, a porta e a origem. Para obter mais informações, consulte [Configurar regras de grupo de segurança](working-with-security-group-rules.md).
1. (Opcional) Para adicionar regras de saída, escolha **Regras de saída**. Em cada regra, escolha **Adicionar regra** e especifique o protocolo, a porta e o destino.
1. (Opcional) Para adicionar uma tag, escolha **Add new tag** (Adicionar nova tag) e insira a chave e o valor da tag.
1. Escolha **Criar grupo de segurança**.
**Para criar um grupo de segurança usando o AWS CLI**
Use o comando [create-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html).
Ou então, você pode criar um novo grupo de segurança copiando um existente. Quando você copia um grupo de segurança, adicionamos automaticamente as mesmas regras de entrada e saída do grupo de segurança original, e usamos a mesma VPC do grupo de segurança original. Você pode inserir um nome e uma descrição para o novo grupo de segurança. Opcionalmente, você pode escolher uma VPC diferente e modificar as regras de entrada e saída conforme necessário. Mas não pode copiar um grupo de segurança de uma região para outra região.
**Para criar um grupo de segurança com base em um já existente**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Security groups** (Grupos de segurança).
1. Selecione um security group.
1. Escolha **Ações**, **Copiar para o novo grupo de segurança**.
1. Insira um nome e uma descrição para o grupo de segurança.
1. (Opcional) Escolha outra VPC se necessário.
1. (Opcional) Adicione, remova ou edite as regras de grupo de segurança conforme necessário.
1. Escolha **Criar grupo de segurança**.
# Configurar regras de grupo de segurança
Depois de criar um grupo de segurança, você pode adicionar, atualizar e excluir as regras de grupo de segurança do grupo. Quando você adiciona, atualiza ou exclui uma regra, a alteração é aplicada automaticamente aos recursos associados ao grupo de segurança.
**Permissões obrigatórias**
Antes de começar, verifique se você tem as permissões necessárias. Para obter mais informações, consulte [Gerenciar regras de grupos de segurança](vpc-policy-examples.md#vpc-security-group-rules-iam).
**Protocolos e portas**
+ Com o console, quando você seleciona um tipo predefinido, **Protocolo** e **Intervalo de portas** são especificados para você. Para inserir um intervalo de portas, você deve selecionar um dos seguintes tipos personalizados: **TCP personalizado** ou **UDP personalizado** .
+ Com a AWS CLI, você pode adicionar uma única regra com uma única porta usando as opções `--protocol` e `--port`. Para adicionar várias regras ou uma regra com um intervalo de portas, use a opção `--ip-permissions`.
**Origens e destinos**
+ Com o console, você pode especificar o seguinte como origens para as regras de entrada ou destinos para as regras de saída.
+ **Personalizado**: um bloco CIDR IPv4 e um bloco CIDR IPv6, um grupo de segurança ou uma lista de prefixos.
+ **Anywhere-IPv4**: o bloco CIDR IPv4 0.0.0.0/0.
+ **Anywhere-IPv6**: o bloco CIDR IPv6 ::/0.
+ **Meu IP**: o endereço IPv4 público do computador local.
+ Com a AWS CLI, você pode especificar um bloco CIDR IPv4 usando a opção `--cidr` ou um grupo de segurança usando a opção `--source-group`. Para especificar uma lista de prefixos ou um bloco CIDR IPv6, use a opção `--ip-permissions`.
**Atenção**
Se você escolher **Anywhere-IPv4**, o tráfego de todos os endereços IPv4 será permitido. Se você escolher **Anywhere-IPv6**, o tráfego de todos os endereços IPv6 será permitido. É uma prática recomendada autorizar apenas os intervalos de endereços IP específicos que precisam ter acesso a seus recursos.
**Para configurar regras de grupo de segurança usando o console**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Grupos de segurança**.
1. Selecione o grupo de segurança.
1. Para editar as regras de entrada, escolha **Editar regras de entrada** em **Ações** ou na guia **Regras de entrada**.
1. Para adicionar uma regra, escolha **Adicionar regra** e insira o tipo, o protocolo, a porta e a origem da regra.
Se o tipo for TCP ou UDP, será necessário inserir o intervalo de portas a ser permitido. Para ICMP personalizado, você deverá escolher o nome do tipo ICMP em **Protocol** (Protocolo) e, se aplicável, o nome do código em **Port range** (Intervalo de portas). Para qualquer outro tipo, o protocolo e o intervalo de portas serão configurados para você.
1. Para atualizar uma regra, altere o protocolo, a descrição e a origem da regra, conforme necessário. Porém, você não pode alterar o tipo de origem. Por exemplo, se a origem for um bloco CIDR IPv4, você não poderá especificar um bloco CIDR IPv6, uma lista de prefixos ou um grupo de segurança.
1. Para excluir uma regra, escolha seu botão **Excluir**.
1. Para editar as regras de saída, escolha **Editar regras de saída** em **Ações** ou na guia **Regras de saída**.
1. Para adicionar uma regra, escolha **Adicionar regra** e insira o tipo, o protocolo, a porta e o destino da regra. Você também pode inserir uma descrição opcional.
Se o tipo for TCP ou UDP, será necessário inserir o intervalo de portas a ser permitido. Para ICMP personalizado, você deverá escolher o nome do tipo ICMP em **Protocol** (Protocolo) e, se aplicável, o nome do código em **Port range** (Intervalo de portas). Para qualquer outro tipo, o protocolo e o intervalo de portas serão configurados para você.
1. Para atualizar uma regra, altere o protocolo, a descrição e a origem da regra, conforme necessário. Porém, você não pode alterar o tipo de origem. Por exemplo, se a origem for um bloco CIDR IPv4, você não poderá especificar um bloco CIDR IPv6, uma lista de prefixos ou um grupo de segurança.
1. Para excluir uma regra, escolha seu botão **Excluir**.
1. Selecione **Salvar regras**.
**Para configurar regras de grupo de segurança usando a AWS CLI**
+ **Adicionar**: use os comandos [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) e [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html).
+ **Remover**: use os comandos [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) e [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html).
+ **Modificar**: use os comandos [modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html), [update-security-group-rule-descriptions-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-ingress.html) e [update-security-group-rule-descriptions-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-egress.html).
# Exclua um grupo de segurança
Quando não precisar mais de um grupo de segurança que você criou, poderá excluí-lo.
**Requisitos**
+ O grupo de segurança não pode estar associado a nenhum recurso.
+ O grupo de segurança não pode ser referenciado por nenhuma regra em outro grupo de segurança.
+ O grupo de segurança não pode ser o grupo de segurança padrão da VPC.
**Para excluir um grupo de segurança usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Security groups** (Grupos de segurança).
1. Selecione o grupo de segurança e escolha **Ações**, **Excluir grupos de segurança**.
1. Caso tenha selecionado mais de um grupo de segurança, será solicitada sua confirmação. Se alguns dos grupos de segurança não puderem ser excluídos, exibiremos o status de cada grupo de segurança, que indicará se ele será ou não excluído. Para confirmar a exclusão, insira **Excluir**.
1. Escolha **Excluir**.
**Para excluir um grupo de segurança usando a AWS CLI**
Use o comando [delete-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html).
# Associar grupos de segurança a várias VPCs
Se você tiver workloads em execução em várias VPCs que compartilham requisitos de segurança de rede, poderá usar o atributo Associações de Grupos de Segurança a VPCs para associar um grupo de segurança a várias VPCs na mesma região. Isso permite que você gerencie e mantenha grupos de segurança para várias VPCs em um único local em sua conta.
![\[Um diagrama de um grupo de segurança associado a duas VPCs.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/sec-group-vpc-assoc.png)
O diagrama acima mostra a conta A da AWS com duas VPCs. Cada uma das VPCs tem workloads em execução em uma sub-rede privada. Nesse caso, as workloads das sub-redes A e B da VPC compartilham os mesmos requisitos de tráfego de rede, assim, a conta A pode usar o atributo Associações de Grupos de Segurança a VPCs para associar o grupo de segurança da VPC A à VPC B. Todas as atualizações feitas no grupo de segurança associado são aplicadas automaticamente ao tráfego para as workloads na sub-rede da VPC B.
**Requisitos do atributo Associações de Grupos de Segurança a VPCs**
+ Para associar um grupo de segurança à VPC, você deve ser o proprietário da VPC ou uma das sub-redes da VPC deve ser compartilhada com você.
+ A VCP e o grupo de segurança devem estar na mesma região da AWS.
+ Não é possível associar um grupo de segurança padrão a outra VPC ou associar um grupo de segurança a uma VPC padrão.
+ Tanto o proprietário do grupo de segurança quanto o proprietário da VPC podem visualizar as associações do grupo de segurança à VCP.
**Serviços compatíveis com esse atributo**
+ Amazon API Gateway (APIs REST apenas)
+ AWS Auto Scaling
+ CloudFormation
+ Amazon EC2
+ Amazon EFS
+ Amazon EKS
+ Amazon FSx
+ AWS PrivateLink
+ Amazon Route 53
+ Elastic Load Balancing
+ Application Load Balancer
+ Network Load Balancer
## Associar um grupo de segurança a outra VPC
Esta seção explica como usar o Console de gerenciamento da AWS e a AWS CLI para associar um grupo de segurança a VPCs.
------
#### [ AWS Management Console ]
**Para associar um grupo de segurança a outra VPC**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação esquerdo, escolha **Grupos de segurança**.
1. Escolha um grupo de segurança para visualizar os detalhes.
1. Escolha a guia **Associações de VPC**.
1. Escolha **Associate VPC**.
1. Em **ID da VPC**, escolha uma VPC para associar ao grupo de segurança.
1. Escolha **Associate VPC**.
------
#### [ Command line ]
**Para associar um grupo de segurança a outra VPC**
1. Crie uma associação da VPC com [associate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/associate-security-group-vpc.html).
1. Verifique o status de uma associação da VPC com [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) e aguarde até que o status seja `associated`.
------
A VPC agora está associada ao grupo de segurança.
Depois de associar a VPC ao grupo de segurança, você pode, por exemplo, [iniciar uma instância na VPC e escolher esse novo grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) ou [referenciar esse grupo de segurança em uma regra de grupo de segurança existente](security-group-rules.md#security-group-referencing).
## Desassociar um grupo de segurança de outra VPC
Esta seção explica como usar o Console de gerenciamento da AWS e a AWS CLI para desassociar um grupo de segurança de VPCs. Você poderá querer fazer isso se seu objetivo for excluir o grupo de segurança. Grupos de segurança não poderão ser excluídos se estiverem associados. Você só poderá desassociar um grupo de segurança se não houver nenhuma interface de rede na VPC associada que use esse grupo de segurança.
------
#### [ AWS Management Console ]
**Para desassociar um grupo de segurança de uma VPC**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação esquerdo, escolha **Grupos de segurança**.
1. Escolha um grupo de segurança para visualizar os detalhes.
1. Escolha a guia **Associações de VPC**.
1. Escolha **Desassociar VPC**.
1. Em **ID da VPC**, escolha uma VPC para desassociar do grupo de segurança.
1. Escolha **Desassociar VPC**.
1. Visualize o **Status** da dissociação na guia Associações da VPC e aguarde até que o status seja `disassociated`.
------
#### [ Command line ]
**Para desassociar um grupo de segurança de uma VPC**
1. [Desassocie uma associação da VPC com disassociate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/disassociate-security-group-vpc.html).
1. Verifique o status de uma desassociação da VPC com [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) e aguarde até que o status seja `disassociated`.
------
A VPC agora está desassociada do grupo de segurança.
# Compartilhar grupos de segurança com o AWS Organizations
O recurso grupo de segurança compartilhado possibilita compartilhar um grupo de segurança com outras contas do AWS Organizations na mesma região da AWS, tornando o grupo de segurança disponível para ser usado por essas contas.
O diagrama a seguir demonstra como você pode usar o atributo Grupo de Segurança Compartilhado para simplificar o gerenciamento de grupos de segurança entre as contas do AWS Organizations:
![\[Um diagrama do compartilhamento de grupo de segurança com outras contas em uma sub-rede da VPC compartilhada.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/userguide/images/sec-group-sharing.png)
Este diagrama mostra três contas que fazem parte da mesma organização. A conta A compartilha uma sub-rede da VPC com as contas B e C. A conta A compartilha o grupo de segurança com as contas B e C usando o atributo Grupo de Segurança Compartilhado. As contas B e C então usam esse grupo de segurança quando iniciam instâncias na sub-rede compartilhada. Isso permite que a conta A gerencie o grupo de segurança, e todas as atualizações do grupo de segurança se aplicam aos recursos que as contas B e C têm em execução na sub-rede da VPC compartilhada.
**Requisitos do atributo Grupo de Segurança Compartilhado**
+ Esse atributo só está disponível em contas na mesma organização do AWS Organizations. O [Compartilhamento de recurso](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html) deve estar habilitado no AWS Organizations.
+ A conta que compartilha o grupo de segurança deve ser a proprietária da VPC e do grupo de segurança.
+ Você não pode compartilhar os grupos de segurança padrão.
+ Você não pode compartilhar grupos de segurança que estejam em uma VPC padrão.
+ As contas participantes podem criar grupos de segurança em uma VPC compartilhada, mas não podem compartilhar esses grupos de segurança.
+ É necessário um conjunto mínimo de permissões para uma entidade principal do IAM compartilhar um grupo de segurança com o AWS RAM. Use as políticas gerenciadas do IAM `AmazonEC2FullAccess` e `AWSResourceAccessManagerFullAccess` para garantir que as entidades superiores do IAM tenham as permissões necessárias para compartilhar e usar os grupos de segurança compartilhados. Se você usar uma política personalizada do IAM, as ações `c2:PutResourcePolicy` e `ec2:DeleteResourcePolicy` serão são necessárias. Essas são ações do IAM realizadas somente com permissão. Se uma entidade principal do IAM não tiver essas permissões, ocorrerá um erro quando ela tentar compartilhar o grupo de segurança usando o AWS RAM.
**Serviços compatíveis com esse atributo**
+ Amazon API Gateway
+ Amazon EC2
+ Amazon ECS
+ Amazon EFS
+ Amazon EKS
+ Amazon EMR
+ Amazon FSx
+ Amazon ElastiCache
+ AWS Elastic Beanstalk
+ AWS Glue
+ Amazon MQ
+ Amazon SageMaker AI
+ Elastic Load Balancing
+ Application Load Balancer
+ Network Load Balancer
**Como esse atributo afeta as cotas existentes**
[Cotas de grupo de segurança](amazon-vpc-limits.md#vpc-limits-security-groups) se aplicam. No entanto, para a cota “Grupos de segurança por interface de rede”, se um participante usar tanto grupos próprios quanto grupos compartilhados em uma interface de rede elástica (ENI), a cota mínima entre o proprietário e o participante será aplicada.
Exemplo para demonstrar como a cota é afetada por esse atributo:
+ Cota da conta do proprietário: 4 grupos de segurança por interface
+ Cota da conta do participante: 5 grupos de segurança por interface.
+ O proprietário compartilha os grupos SG-O1, SG-O2, SG-O3, SG-O4, SG-O5 com o participante. O participante já tem seus próprios grupos na VPC: SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.
+ Se o participante criar uma ENI e usar somente apenas seus próprios grupos, poderá associar todos os 5 grupos de segurança (SG-P1, SG-P2, SG-P3, SG-P4, SG-P5) porque essa é sua cota.
+ Se o participante criar uma ENI e usar nela algum grupo compartilhado, poderá associar até 4 grupos. Nesse caso, a cota para essa ENI será o mínimo das cotas do proprietário e do participante. As possíveis configurações válidas serão assim:
+ SG-O1, SG-P1, SG-P2, SG-P3
+ SG-O1, SG-O2, SG-O3, SG-O4
## Compartilhar um grupo de segurança
Esta seção explica como usar o Console de gerenciamento da AWS e a AWS CLI para compartilhar um grupo de segurança com outras contas da organização.
------
#### [ AWS Management Console ]
**Para compartilhar um grupo de segurança**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação esquerdo, escolha **Grupos de segurança**.
1. Escolha um grupo de segurança para visualizar os detalhes.
1. Escolha a guia **Sharing (Compartilhamento)**.
1. Escolha **Grupo de segurança compartilhado**.
1. Escolha **Criar compartilhamento de recursos**. Como resultado, o console do AWS RAM será aberto, e nele você criará o compartilhamento de recurso para o grupo de segurança.
1. Insira um **Nome** para o recurso compartilhado.
1. Em **Recursos: opcional**, escolha **Grupos de segurança**.
1. Escolha um grupo de segurança. O grupo de segurança não pode ser um grupo de segurança padrão e não pode estar associado à VPC padrão.
1. Escolha **Próximo**.
1. Revise as ações que as entidades principais terão permissão de realizar e escolha **Avançar**.
1. Em **Entidades principais: opcional**, escolha **Permitir compartilhamento apenas dentro da organização**.
1. Em **Entidades principais**, selecione um dos seguintes tipos de entidade principal e insira os números apropriados:
+ **Conta da AWS**: o número de uma conta da organização.
+ **Organização**: o ID do AWS Organizations.
+ **Unidade organizacional (UO)**: o ID de uma UO da organização.
+ **Perfil do IAM**: o ARN de um perfil do IAM. A conta que criou o perfil deve ser membro da mesma organização que a conta que está criando esse compartilhamento de recurso.
+ **Usuário do IAM**: o ARN de um usuário do IAM. A conta que criou o usuário deve ser membro da mesma organização que a conta que está criando esse compartilhamento de recurso.
+ **Entidade principal do serviço**: você não pode compartilhar um grupo de segurança com uma entidade principal do serviço.
1. Escolha **Adicionar**.
1. Escolha **Próximo**.
1. Escolha **Criar compartilhamento de recursos**.
1. Em **Recursos compartilhados**, aguarde para ver o **Status** de `Associated`. Se houver uma falha na associação do grupo de segurança, a causa talvez seja uma das limitações listadas acima. Visualize os detalhes do grupo de segurança e a guia **Compartilhamento** na página de detalhes para ver todas as mensagens relacionadas motivo pelo qual um grupo de segurança pode não ser compartilhável.
1. Volte à lista de grupos de segurança no console da VPC.
1. Escolha o grupo de segurança que você compartilhou.
1. Escolha a guia **Sharing (Compartilhamento)**. O recurso do AWS RAM deve estar visível ali. Se não estiver, talvez a criação do recurso compartilhado tenha falhado e seja necessário recriá-la.
------
#### [ Command line ]
**Para compartilhar um grupo de segurança**
1. Você primeiro deve criar um compartilhamento de recurso para o grupo de segurança que deseja compartilhar com o AWS RAM. Para ver as etapas de como criar um recurso compartilhado com o AWS RAM usando a AWS CLI, consulte [Creating a resource share in AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) no *AWS RAM User Guide*
1. Para visualizar as associações de compartilhamento de recurso criadas, use [get-resource-share-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-resource-share-associations.html).
------
O grupo de segurança agora está compartilhado. É possível selecionar o grupo de segurança ao [iniciar uma instância do EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) em uma sub-rede compartilhada na mesma VPC.
## Parar de compartilhar um grupo de segurança
Esta seção explica como usar o Console de gerenciamento da AWS e a AWS CLI para parar de compartilhar um grupo de segurança com outras contas da organização.
------
#### [ AWS Management Console ]
**Para parar de compartilhar um grupo de segurança**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação esquerdo, escolha **Grupos de segurança**.
1. Escolha um grupo de segurança para visualizar os detalhes.
1. Escolha a guia **Sharing (Compartilhamento)**.
1. Escolha um compartilhamento de recurso do grupo de segurança e depois **Parar de compartilhar**.
1. Escolha **Sim, parar de compartilhar**.
------
#### [ Command line ]
**Para parar de compartilhar um grupo de segurança**
Exclua o compartilhamento de recurso com [delete-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-resource-share.html).
------
O grupo de segurança não está mais sendo compartilhado. Quando o proprietário deixa de compartilhar um grupo de segurança, as seguintes regras se aplicam:
+ As Elastic Network Interfaces (ENIs) de participantes existentes continuam a receber todas as atualizações de regra de grupo de segurança feitas nos grupos de segurança não compartilhados. O cancelamento do compartilhamento só impede que o participante crie novas associações com o grupo não compartilhado.
+ Os participantes não podem mais associar o grupo de segurança não compartilhado a suas próprias ENIs.
+ Os participantes podem descrever e excluir as ENIs que ainda estão associadas aos grupos de segurança não compartilhados.
+ Se os participantes ainda tiverem ENIs associadas ao grupo de segurança não compartilhado, o proprietário não poderá excluir o grupo de segurança não compartilhado. O proprietário só poderá excluir o grupo de segurança depois que os participantes desassociarem (removerem) o grupo de segurança de todas as suas ENIs.
+ Os participantes não podem iniciar novas instâncias do EC2 usando uma ENI associada a um grupo de segurança não compartilhado.