Como configuro e gerencio grupos de segurança e ACLs de rede da Amazon VPC?
Quero configurar e gerenciar grupos de segurança e listas de controle de acesso à rede (ACLs de rede) da Amazon Virtual Private Cloud (Amazon VPC). Quero compartilhar VPCs com outras contas da AWS ou gerenciar várias VPCs.
Resolução
Observação: é uma prática recomendada usar grupos de segurança para controle de acesso refinado e ACLs de rede para um acesso mais amplo.
Configurar um grupo de segurança da Amazon VPC
Ao configurar as regras do grupo de segurança, permita somente o tráfego necessário para que as aplicações e serviços funcionem.
Se necessário, é possível usar vários grupos de segurança para gerenciar separadamente diferentes tipos de regras de acesso. Por exemplo, conecte vários grupos de segurança a uma única interface de rede elástica para acesso ao tráfego na web, acesso ao banco de dados e ferramentas de monitoramento.
Certifique-se de configurar as regras com base nos seus requisitos de serviço da AWS. Por exemplo, para instâncias do Amazon Elastic Compute Cloud (Amazon EC2), permita SSH (porta 22) para Linux ou o TCP padrão (porta 3389) para instâncias do Windows. Para instâncias do Amazon Relational Database Service (Amazon RDS), permita portas específicas do banco de dados.
Exemplos de regras de entrada para se conectar a instâncias do seu computador:
| Tipo de protocolo | Número do protocolo | Porta | Endereço IP de origem |
|---|---|---|---|
| TCP | 6 | 22 (SSH) | O endereço do seu computador |
| TCP | 6 | 3389 (TCP) | O endereço do seu computador |
Exemplo de regras de entrada para se conectar a instâncias a partir do seu servidor de banco de dados:
| Tipo de protocolo | Número do protocolo | Porta | Endereço IP de origem |
|---|---|---|---|
| TCP | 6 | 1433 (MS SQL) | O endereço do seu computador |
| TCP | 6 | 3306 (MYSQL/Amazon Aurora) | O endereço do seu computador |
Ao criar suas regras, também é possível fazer referência a outros grupos de segurança em vez de endereços IP privados individuais ou intervalos CIDR.
Associar grupos de segurança a várias VPCs
Por padrão, é possível associar grupos de segurança somente a recursos na VPC em que você criou o grupo de segurança. Para usar o mesmo grupo de segurança em várias VPCs na mesma região da AWS em uma conta, associe grupos de segurança a outras VPCs.
Consolidar e gerenciar blocos CIDR de rede com listas de prefixos gerenciadas
Quando você faz referência a uma lista de prefixos, a cota para o número de entradas do recurso inclui o número máximo de entradas para a lista de prefixos. Por exemplo, se você fizer referência a uma lista de prefixos com, no máximo, 20 entradas em uma regra de grupo de segurança, as entradas serão contadas como 20 regras de grupo de segurança.
Para consolidar várias regras de grupos de segurança que tenham a mesma porta e protocolo, mas blocos CIDR diferentes em uma única regra, use uma lista de prefixos gerenciada pelo cliente. Quando você atualiza uma lista de prefixos gerenciada pelo cliente, as regras do grupo de segurança que fazem referência à lista herdam automaticamente as alterações.
Crie uma lista de prefixos gerenciada pelo cliente e, em seguida, visualize as entradas da lista.
Compartilhar grupos de segurança com Organizations
É possível compartilhar VPCs em várias contas dentro da sua organização do AWS Organizations. Para compartilhar grupos de segurança com outras contas em sua organização, use o atributo Grupo de Segurança Compartilhada.
Por exemplo, as contas de membro podem usar grupos de segurança criados pela conta do proprietário com regras que atendem às políticas de segurança de toda a organização em sub-redes de VPC compartilhadas.
Observação: as contas de membro podem usar grupos de segurança compartilhados, mas não podem modificar as regras.
Configurar ACLs de rede
Ao configurar ACLs de rede, use as seguintes práticas recomendadas:
- Mantenha lacunas entre as regras de ACL da rede para acomodar regras futuras, para que você não precise reordenar as regras atuais.
- Use ACLs de rede separadas para diferentes sub-redes para controlar o tráfego de entrada e saída com base nos recursos em cada sub-rede.
- Use portas efêmeras para tráfego de saída para permitir respostas dos serviços da AWS.
Adicionar tags a recursos
Para ajudar você a identificar a finalidade e os recursos associados de seus grupos de segurança e ACLs de rede, adicione uma tag a eles. As tags permitem que você gerencie e organize com eficiência seus recursos em diferentes equipes ou projetos. É possível filtrar e gerenciar sistematicamente seus recursos para automação e manutenção.
Informações relacionadas
Diferenças entre ACLs de rede e grupos de segurança
Regras do grupo de segurança para diferentes casos de uso
Rastreamento de conexão de grupo de segurança do Amazon EC2
Simplify Amazon VPC security groups management with VPC associations and security groups sharing (Simplificar o gerenciamento de grupos de segurança da Amazon VPC com associações de VPC e compartilhamento de grupos de segurança)
- Tags
- Amazon VPC
- Idioma
- Português
Conteúdo relevante
- feita há 3 meses
- feita há 7 meses
- feita há 13 dias
- AWS OFICIALAtualizada há 5 meses
