Quero configurar e conectar um grupo de segurança ao meu balanceador de carga do Elastic Load Balancing.
Resolução
Se você usa um Classic Load Balancer, consulte Gerenciar grupos de segurança usando o console ou Gerenciar grupos de segurança usando a AWS CLI.
Observação: se você receber erros ao executar comandos da AWS CLI, consulte Solucionar erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.
Se você usa um Application Load Balancer, consulte Security groups for your Application Load Balancer.
Se você usa um Network Load Balancer, é possível associar um grupo de segurança ao criar o Network Load Balancer.
Se o tipo de destino for um endereço IP, a configuração de preservação de IP do cliente será desativada. O destino vê o endereço IP privado do balanceador de carga como o endereço IP de origem para verificações de integridade e tráfego de usuários. É uma prática recomendada incluir os endereços IP privados do balanceador de carga ou o grupo de segurança do balanceador de carga na lista de permissões do grupo de segurança do destino.
Observação: examine a configuração de preservação de IP do cliente e os grupos de segurança de destino. Se a configuração estiver desativada e o destino autorizar os endereços IP privados ou grupos de segurança do balanceador de carga, todo o tráfego de entrada poderá acessar seu serviço. Se o acesso ao seu serviço estiver restrito a intervalos CIDR específicos, use um Network Load Balancer. Certifique-se de criar o balanceador de carga com grupos de segurança e permitir somente o CIDR dos clientes necessários.
Se o tipo de destino for uma instância e o protocolo do grupo for TCP/ TLS/ UDP/TCP_UDP, o endereço IP do cliente será preservado por padrão. Se você criar o Network Load Balancer sem grupos de segurança, é uma prática recomendada incluir endereços IP de clientes na lista de permissões do grupo de segurança de destino. Para um Network Load Balancer com grupos de segurança, você pode controlar o acesso do cliente no grupo de segurança do balanceador de carga.
Para alterar a configuração padrão de preservação de IP do cliente para o grupo de destino TCP/TLS, defina o atributo de grupo de destino preserve_client_ip.enabled. Você não pode alterar o comportamento dos grupos de destino do protocolo UDP/TCP_UDP. O comportamento está sempre ativado.
Observação: associe pelo menos um grupo de segurança a cada Classic Load Balancer ou Application Load Balancer. O grupo de segurança deve permitir conexões entre o balanceador de carga e as instâncias de back-end associadas. Para Network Load Balancers, você não precisa selecionar grupos de segurança ao criar o balanceador de carga. No entanto, se você criar o Network Load Balancer sem um grupo de segurança, não poderá associar um grupo de segurança posteriormente.
Informações relacionadas
Monitore seu Classic Load Balancer
Monitor your Application Load Balancers