Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gruppi di sicurezza per l’endpoint EC2 Instance Connect
Un gruppo di sicurezza controlla il traffico consentito per raggiungere e lasciare le risorse a cui è associato. Ad esempio, neghiamo il traffico da e verso un’istanza Amazon EC2 a meno che non sia specificamente consentito dai gruppi di sicurezza associati all’istanza.
Gli esempi seguenti mostrano come configurare le regole dei gruppi di sicurezza per l’endpoint EC2 Instance Connect e le istanze di destinazione.
Esempi
Regole del gruppo di sicurezza per l’endpoint EC2 Instance Connect
Le regole del gruppo di sicurezza per un endpoint EC2 Instance Connect devono consentire il traffico in uscita destinato alle istanze di destinazione per lasciare l’endpoint. Puoi specificare il gruppo di sicurezza dell’istanza o l’intervallo di indirizzi IPv4 o IPv6 del VPC come destinazione.
Il traffico verso l’endpoint si origina dal servizio dell’endpoint EC2 Instance Connect ed è consentito indipendentemente dalle regole in entrata per il gruppo di sicurezza degli endpoint. Per controllare chi può utilizzare un endpoint EC2 Instance Connect per connettersi a un’istanza, utilizza una policy IAM. Per ulteriori informazioni, consulta Autorizzazioni per utilizzare l’endpoint EC2 Instance Connect per connettersi alle istanze.
Regola in uscita di esempio: Riferimenti dei gruppi di sicurezza
L’esempio seguente utilizza i riferimenti dei gruppi di sicurezza, il che significa che la destinazione è un gruppo di sicurezza associato alle istanze di destinazione. Questa regola consente il traffico in uscita dall’endpoint verso tutte le istanze che utilizzano questo gruppo di sicurezza.
| Protocollo | Destinazione | Intervallo porte | Comment |
|---|---|---|---|
| TCP | ID of instance security group |
22 | Consente il traffico SSH in uscita verso tutte le istanze associate al gruppo di sicurezza dell’istanza |
Regola in uscita di esempio: intervallo di indirizzi IPv4
L’esempio seguente consente il traffico in uscita verso l’intervallo di indirizzi IPv4 specificato. Gli indirizzi IPv4 di un’istanza vengono assegnati dalla relativa sottorete, quindi puoi utilizzare l’intervallo di indirizzi IPv4 del VPC.
| Protocollo | Destinazione | Intervallo porte | Comment |
|---|---|---|---|
| TCP | VPC IPv4 CIDR |
22 | Consente il traffico SSH in uscita verso il VPC |
Esempio di regola in uscita: intervallo di indirizzi IPv6
L’esempio seguente consente il traffico in uscita verso l’intervallo di indirizzi IPv6 specificato. Gli indirizzi IPv6 di un’istanza vengono assegnati dalla relativa sottorete, quindi puoi utilizzare l’intervallo di indirizzi IPv6 del VPC.
| Protocollo | Destinazione | Intervallo porte | Comment |
|---|---|---|---|
| TCP | VPC IPv6 CIDR |
22 | Consente il traffico SSH in uscita verso il VPC |
Regole del gruppo di sicurezza dell’istanza di destinazione
Le regole del gruppo di sicurezza per le istanze di destinazione devono consentire il traffico in entrata dall’endpoint EC2 Instance Connect. Puoi specificare il gruppo di sicurezza dell’endpoint o un intervallo di indirizzi IPv4 o IPv6 come origine. Se specifichi un intervallo di indirizzi IPv4, l’origine dipende dal fatto che la conservazione dell’IP del client sia attivata o disattivata. Per ulteriori informazioni, consulta Considerazioni.
Poiché i gruppi di sicurezza sono stateful, il traffico di risposta può lasciare il VPC indipendentemente dalle regole in uscita per il gruppo di sicurezza dell’istanza.
Regola in entrata di esempio: Riferimenti dei gruppi di sicurezza
L’esempio seguente utilizza i riferimenti dei gruppi di sicurezza, il che significa che l’origine è il gruppo di sicurezza associato all’endpoint. Questa regola consente il traffico SSH in entrata dall’endpoint verso tutte le istanze che utilizzano questo gruppo di sicurezza, indipendentemente dal fatto che la conservazione dell’IP del client sia attivata o disattivata. Se non vi sono altre regole del gruppo di sicurezza in entrata per SSH, le istanze accettano il traffico SSH solo dall’endpoint.
| Protocollo | Origine | Intervallo porte | Comment |
|---|---|---|---|
| TCP | ID of endpoint security group |
22 | Consente il traffico SSH in entrata dalle risorse associate al gruppo di sicurezza dell’endpoint |
Regola in entrata di esempio: conservazione dell’IP del client disattivata
L’esempio seguente consente il traffico SSH in entrata dall’intervallo di indirizzi IPv4 specificato. Poiché la conservazione dell’IP client è disattivata, l’indirizzo IPv4 di origine è l’indirizzo dell’interfaccia di rete dell’endpoint. L’indirizzo dell’interfaccia di rete dell’endpoint viene assegnato dalla relativa sottorete, quindi puoi utilizzare l’intervallo di indirizzi IPv4 del VPC per consentire le connessioni a tutte le istanze del VPC.
| Protocollo | Origine | Intervallo porte | Comment |
|---|---|---|---|
| TCP | VPC IPv4 CIDR |
22 | Consente il traffico SSH in entrata dal VPC. |
Regola in entrata di esempio: conservazione dell’IP del client attivata
L’esempio seguente consente il traffico SSH in entrata dall’intervallo di indirizzi IPv4 specificato. Poiché la conservazione dell’IP client è attivata, l’indirizzo IPv4 di origine è l’indirizzo del client.
| Protocollo | Origine | Intervallo porte | Comment |
|---|---|---|---|
| TCP | Public IPv4 address range |
22 | Consente il traffico in entrata dall’intervallo di indirizzi IPv4 del client specificato. |