Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheitsgruppen für EC2-Instance-Connect-Endpunkt
Eine Sicherheitsgruppe steuert den Datenverkehr, der die Ressourcen erreichen und verlassen darf, mit denen er verknüpft ist. Beispielsweise verweigern wir den Datenverkehr zu und von einer Amazon-EC2-Instance, es sei denn, er wird von den Sicherheitsgruppen, die der Instance zugeordnet sind, ausdrücklich zugelassen.
Die folgenden Beispiele zeigen Ihnen, wie Sie die Sicherheitsgruppenregeln für den EC2-Instance-Connect-Endpunkt und die Ziel-Instances konfigurieren.
Beispiele
Sicherheitsgruppenregeln für EC2-Instance-Connect-Endpunkt
Die Sicherheitsgruppe für einen EC2-Instance-Connect-Endpunkt muss ausgehenden Datenverkehr zu den Ziel-Instances zulassen. Sie können entweder die Instanz-Sicherheitsgruppe IPv4 oder den IPv6 Adressbereich der VPC als Ziel angeben.
Der Datenverkehr zum Endpunkt stammt vom Service EC2-Instance-Connect-Endpunkt und ist unabhängig von den Regeln für eingehende Nachrichten für die Endpunkt-Sicherheitsgruppe zulässig. Um zu kontrollieren, wer den EC2-Instance-Connect-Endpoint verwenden kann, um sich mit einer Instance zu verbinden, verwenden Sie eine IAM-Richtlinie. Weitere Informationen finden Sie unter Berechtigungen, EC2-Instance-Connect-Endpunkt zu verwenden, um eine Verbindung zu Instances herzustellen.
Beispiel für eine Ausgangsregel: Referenzierung von Sicherheitsgruppen
Im folgenden Beispiel wird auf Sicherheitsgruppen verwiesen, was bedeutet, dass das Ziel eine Sicherheitsgruppe ist, die den Ziel-Instances zugeordnet ist. Diese Regel erlaubt ausgehenden Datenverkehr vom Endpunkt zu allen Instances, die diese Sicherheitsgruppe verwenden.
| Protocol (Protokoll) | Ziel | Port-Bereich | Comment |
|---|---|---|---|
| TCP | ID of instance security group |
22 | Erlaubt ausgehenden SSH-Verkehr zu allen Instances, die der Instance-Sicherheitsgruppe zugeordnet sind |
Beispiel für eine ausgehende Regel: Adressbereich IPv4
Das folgende Beispiel erlaubt ausgehenden Verkehr in den angegebenen IPv4 Adressbereich. Die IPv4 Adressen einer Instance werden von ihrem Subnetz aus zugewiesen, sodass Sie den IPv4 Adressbereich der VPC verwenden können.
| Protocol (Protokoll) | Ziel | Port-Bereich | Comment |
|---|---|---|---|
| TCP | VPC IPv4 CIDR |
22 | Erlaubt ausgehenden SSH-Verkehr zur VPC |
Beispiel für eine ausgehende Regel: Adressbereich IPv6
Das folgende Beispiel erlaubt ausgehenden Verkehr in den angegebenen IPv6 Adressbereich. Die IPv6 Adressen einer Instance werden von ihrem Subnetz aus zugewiesen, sodass Sie den IPv6 Adressbereich der VPC verwenden können.
| Protocol (Protokoll) | Ziel | Port-Bereich | Comment |
|---|---|---|---|
| TCP | VPC IPv6 CIDR |
22 | Erlaubt ausgehenden SSH-Verkehr zur VPC |
Ziel-Instance-Sicherheitsgruppenregeln
Die Sicherheitsgruppenregeln für Ziel-Instances müssen eingehenden Verkehr vom EC2-Instance-Connect-Endpunkt zulassen. Sie können entweder die Endpunkt-Sicherheitsgruppe IPv4 oder einen IPv6 Oder-Adressbereich als Quelle angeben. Wenn Sie einen IPv4 Adressbereich angeben, hängt die Quelle davon ab, ob die Client-IP-Erhaltung aus- oder aktiviert ist. Weitere Informationen finden Sie unter Überlegungen.
Da Sicherheitsgruppen statusbehaftet sind, darf der Antwortdatenverkehr die VPC unabhängig von den ausgehenden Regeln für die Instance-Sicherheitsgruppe verlassen.
Beispiel für eine Eingangsregel: Referenzierung von Sicherheitsgruppen
Im folgenden Beispiel wird auf Sicherheitsgruppen verwiesen, was bedeutet, dass das Ziel eine Sicherheitsgruppe ist, die den Ziel-Instances zugeordnet ist. Diese Regel erlaubt eingehenden SSH-Verkehr vom Endpunkt zu allen Instances, die diese Sicherheitsgruppe verwenden, unabhängig davon, ob die Client-IP-Erhaltung aktiviert oder deaktiviert ist. Wenn es keine anderen Regeln für eingehende Sicherheitsgruppen für SSH gibt, akzeptieren die Instances nur SSH-Verkehr vom Endpunkt.
| Protocol (Protokoll) | Quelle | Port-Bereich | Comment |
|---|---|---|---|
| TCP | ID of endpoint security group |
22 | Lässt eingehenden SSH-Datenverkehr von den Ressourcen zu, die der Endpunkt-Sicherheitsgruppe zugeordnet sind |
Beispiel für eine Eingangsregel: Client-IP-Erhaltung aus
Das folgende Beispiel lässt eingehenden SSH-Verkehr aus dem angegebenen IPv4 Adressbereich zu. Da die Client-IP-Erhaltung ausgeschaltet ist, ist die IPv4 Quelladresse die Adresse der Endpunkt-Netzwerkschnittstelle. Die Adresse der Endpunkt-Netzwerkschnittstelle wird von ihrem Subnetz aus zugewiesen, sodass Sie den IPv4 Adressbereich der VPC verwenden können, um Verbindungen zu allen Instances in der VPC zuzulassen.
| Protocol (Protokoll) | Quelle | Port-Bereich | Comment |
|---|---|---|---|
| TCP | VPC IPv4 CIDR |
22 | Eingehenden SSH-Datenverkehr von der VPC zulassen |
Beispiel für eine Eingangsregel: Client-IP-Erhaltung an
Das folgende Beispiel erlaubt eingehenden SSH-Verkehr aus dem angegebenen Adressbereich. IPv4 Da die Client-IP-Erhaltung aktiviert ist, ist die IPv4 Quelladresse die Adresse des Clients.
| Protocol (Protokoll) | Quelle | Port-Bereich | Comment |
|---|---|---|---|
| TCP | Public IPv4 address range |
22 | Lässt eingehenden Datenverkehr aus dem angegebenen IPv4 Client-Adressbereich zu |
