Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controllo dell'accesso con i gruppi di sicurezza
Per impostazione predefinita, l'accesso alla rete è disattivato per un di istanze DB. Puoi specificare delle norme in un gruppo di sicurezza che consente l'accesso da un intervallo di indirizzi IP, dalla porta o da un gruppo di sicurezza. Una volta configurate le regole di ingresso, le stesse regole si applicano a tutti i di istanze DB associati a quel gruppo di sicurezza. Puoi specificare fino a 20 norme in un gruppo di sicurezza.
Panoramica dei gruppi di sicurezza VPC
Ogni regola del gruppo di sicurezza VPC consente a una fonte specifica di accedere a un di istanze DB in un VPC associato a quel gruppo di sicurezza VPC. L'origine può essere una serie di indirizzi (ad esempio, 203.0.113.0/24) oppure un altro gruppo di sicurezza VPC. Specificando un gruppo di sicurezza VPC come origine, consenti il traffico in entrata da tutte le istanze (in genere i server dell'applicazione) che usano il gruppo di sicurezza VPC. I gruppi di sicurezza VPC possono avere regole che gestiscono sia il traffico in entrata che in uscita. Le regole del traffico in uscita si applicano solo se il . Ad esempio, le regole del traffico in uscita si applicano a un'istanza database di Oracle con collegamenti database in uscita. È necessario utilizzare l' EC2API Amazon o l'opzione Security Group sulla console VPC per creare gruppi di sicurezza VPC.
Quando crei regole per il tuo gruppo di sicurezza VPC che consentono l'accesso ai tuo VPC, devi specificare una porta per ogni intervallo di indirizzi a cui la regola consente l'accesso. Ad esempio, se si desidera abilitare l'accesso SSH (Secure Shell) alle istanze nel VPC, devi creare una regola che consenta l'accesso alla porta TCP 22 per l'intervallo di indirizzi specificato.
È possibile configurare più gruppi di sicurezza VPC che consentono l'accesso a porte diverse per istanze diverse nel VPC. Ad esempio, è possibile creare un gruppo di sicurezza VPC che consenta l'accesso alla porta TCP 80 per i server web nel VPC.
Per ulteriori informazioni sui gruppi di sicurezza VPC, consulta la pagina Gruppi di sicurezza nella Guida per l'utente di Amazon Virtual Private Cloud.
Nota
Se il di istanze DB si trova in un VPC ma non è accessibile pubblicamente, puoi anche utilizzare una connessione AWS Site-to-Site VPN o una AWS Direct Connect connessione per accedervi da una rete privata. Per ulteriori informazioni, consulta Riservatezza del traffico Internet.
Scenario del gruppo di sicurezza
Un uso comune di un di istanze DB in un VPC consiste nel condividere i dati con un server di applicazioni in esecuzione in un' EC2 istanza Amazon nello stesso VPC, a cui accede un'applicazione client esterna al VPC. In questo scenario, si utilizzano le pagine RDS e VPC su o AWS Management Console le operazioni RDS EC2 e API per creare le istanze e i gruppi di sicurezza necessari:
-
Creare un gruppo di sicurezza VPC (ad esempio,
sg-0123ec2example) e definire le regole in entrata che utilizzano l'indirizzo IP dell'applicazione client usato nell'indirizzo IP dell'applicazione del client come origine. Questo gruppo di sicurezza consente all'applicazione client di connettersi alle EC2 istanze in un VPC che utilizza questo gruppo di sicurezza. -
Crea un' EC2 istanza per l'applicazione e aggiungi l' EC2 istanza al gruppo di sicurezza VPC (
sg-0123ec2example) creato nel passaggio precedente. -
Creare un secondo gruppo di sicurezza VPC (ad esempio,
sg-6789rdsexample) e creare una nuova regola specificando il gruppo di sicurezza VPC creato nel passaggio 1 (sg-0123ec2example) come l'origine. -
Crea un nuovo di istanze DB e aggiungi il di istanze DB al gruppo di sicurezza VPC (
sg-6789rdsexample) creato nel passaggio precedente. Quando crei il di istanze DB, utilizza lo stesso numero di porta specificato per la regola del gruppo di sicurezza VPC (sg-6789rdsexample) creata nel passaggio 3.
Il seguente diagramma mostra questo scenario.
Per istruzioni dettagliate sulla configurazione di un VPC per questo scenario, vedere. Tutorial: Creazione di un Amazon VPC da utilizzare con un'istanza database (solo IPv4) Per ulteriori informazioni sull'utilizzo di un VPC, vedere. Amazon VPC e Amazon RDS Amazon
Creazione di un gruppo di sicurezza VPC
Puoi creare un gruppo di sicurezza VPC per un'istanza database tramite la console VPC. Per informazioni sulla creazione di un gruppo di sicurezza, consulta le pagine Fornisci l'accesso alla tua istanza DB VPC tramite la creazione di un gruppo di sicurezza e Gruppi di sicurezza nella Guida per l'utente di Amazon Virtual Private Cloud.
Associazione di un gruppo di sicurezza a un istanza database
Puoi associare un gruppo di sicurezza a un'istanza DB utilizzando Modify sulla console RDS, l'API ModifyDBInstance Amazon RDS o il modify-db-instance AWS CLI comando.
Il seguente esempio CLI associa un gruppo di sicurezza VPC specifico e rimuove i gruppi di sicurezza DB dall'istanza DB.
aws rds modify-db-instance --db-instance-identifierdbName--vpc-security-group-idssg-ID
Per informazioni sulla modifica di un'istanza DB, consulta. Modifica di un'istanza Amazon RDS DB Per considerazioni sui gruppi di sicurezza quando ripristini un'istanza DB da uno snapshot DB, consulta. Considerazioni relative al gruppo di sicurezza
Nota
Nella console RDS vengono visualizzati diversi nomi di regole dei gruppi di sicurezza per il database se il valore della porta è configurato su un valore non predefinito.
Per le istanze RDS for Oracle DB, è possibile associare gruppi di sicurezza aggiuntivi compilando l'impostazione delle opzioni del gruppo di sicurezza per le opzioni Oracle Enterprise Manager Database Express (OEM), Oracle Management Agent for Enterprise Manager Cloud Control (OEM Agent) e Oracle Secure Sockets Layer. In questo caso, entrambi i gruppi di sicurezza associati all'istanza DB e le impostazioni delle opzioni si applicano all'istanza DB. Per ulteriori informazioni su questi gruppi di opzioni, consulta Oracle Enterprise ManagerOracle Management Agent per Enterprise Manager Cloud Control, eOracle Secure Sockets Layer.
