Global outage event

If you’re experiencing issues with your AWS services, then please refer to the AWS Health Dashboard. You can find the overall status of ongoing outages, the health of AWS services, and the latest updates from AWS engineers.

Come posso configurare i gruppi di sicurezza e le ACL quando creo un endpoint Amazon VPC di interfaccia per servizi endpoint?

4 minuti di lettura

Desidero configurare i gruppi di sicurezza e le liste di controllo degli accessi alla rete (ACL) quando creo un endpoint Amazon Virtual Private Cloud (Amazon VPC) di interfaccia per connettere un servizio endpoint.

Risoluzione

Quando crei un endpoint Amazon VPC di interfaccia con un servizio endpoint, Amazon VPC crea un'interfaccia di rete elastica nella sottorete specificata. L'endpoint di interfaccia riceve l'ACL della sottorete associata. All'endpoint di interfaccia devi inoltre associare un gruppo di sicurezza per controllare il traffico in entrata.

Quando associ un Network Load Balancer a un servizio endpoint, il Network Load Balancer inoltra le richieste alla destinazione registrata. Il Network Load Balancer inoltra le richieste come se un indirizzo IP registrasse la destinazione. In questo caso, gli indirizzi IP di origine sono gli indirizzi IP privati dei nodi del bilanciatore del carico.

Se hai accesso al servizio endpoint Amazon VPC, verifica le seguenti configurazioni:

Le regole del gruppo di sicurezza in entrata delle destinazioni del Network Load Balancer consentono il traffico proveniente dall'indirizzo IP privato dei nodi del Network Load Balancer. Per ulteriori informazioni, consulta Considerazioni.
Le regole della ACL per le destinazioni del Network Load Balancer consentono il traffico proveniente dall'indirizzo IP privato dei nodi del Network Load Balancer.

Identifica l'ACL associata all'endpoint di interfaccia

Completa i seguenti passaggi:

Apri la console Amazon VPC.
Scegli Endpoint, quindi seleziona l'ID dell'endpoint.
Scegli la vista Sottoreti.
Seleziona le sottoreti associate.
Nella sezione Sottoreti, annota l'ACL associata alle sottoreti.

Identifica il gruppo di sicurezza associato all'endpoint di interfaccia

Completa i seguenti passaggi:

Apri la console Amazon VPC.
Scegli Endpoint, quindi seleziona l'ID dell'endpoint.
Scegli la vista Gruppi di sicurezza.
Annota gli ID dei gruppi di sicurezza associati.

Aggiorna il gruppo di sicurezza associato al Network Load Balancer

Puoi controllare se il traffico di AWS PrivateLink è soggetto a regole in entrata. Se attivi regole in entrata per il traffico di PrivateLink, l'origine del traffico è l'indirizzo IP privato del client, non l'interfaccia dell'endpoint.

Se non desideri utilizzare le regole in entrata per il traffico inviato da PrivateLink al bilanciatore del carico, configura il bilanciatore del carico. Per ulteriori informazioni, consulta Aggiorna i gruppi di sicurezza per il tuo Network Load Balancer.

Configura il gruppo di sicurezza associato all'endpoint di interfaccia

Nota: i gruppi di sicurezza sono statici. Quando definisci una regola in una direzione, autorizzi automaticamente il traffico nell'altra direzione.

Quando configuri una regola in entrata, inserisci la stessa porta del servizio endpoint in Port Range. In Origine, inserisci l'indirizzo IP o la rete del client di avvio.

Nota: non serve creare una regola in uscita nel gruppo di sicurezza associato all'endpoint di interfaccia.

Ripeti questi passaggi per ogni gruppo di sicurezza associato all'endpoint di interfaccia.

Configura l'ACL associata all'endpoint di interfaccia

Nota: le ACL sono stateless. Devi definire regole per il traffico in uscita e in entrata.

Completa i seguenti passaggi:

Aggiungi regole all'ACL.
Per la regola in entrata, utilizza le seguenti configurazioni in modo da consentire il traffico dal client:
In Port Range, inserisci la stessa porta del servizio endpoint.
In Origine, inserisci l'indirizzo IP o la rete del client.
Per la regola in uscita, utilizza le seguenti configurazioni in modo da consentire il traffico di ritorno dall'endpoint di interfaccia:
In Intervallo porte, inserisci 1024-65535.
In Destinazione, inserisci l'indirizzo IP o la rete del client.

Se hai specificato ACL diverse per ogni sottorete, ripeti i passaggi per ogni ACL associata all'endpoint di interfaccia.

Nota: quando configuri il gruppo di sicurezza del client di origine, verifica che le regole in uscita consentano la connettività agli indirizzi IP privati dell'endpoint di interfaccia. Non serve verificare le regole in entrata del gruppo di sicurezza del client. Per l'ACL del client di origine, utilizza le seguenti configurazioni:

Per la regola in entrata, inserisci l'intervallo di porte effimere 1024-65535 in Port Range. In Origine, inserisci l'indirizzo IP privato dell'endpoint di interfaccia.
Per la regola in uscita, inserisci la stessa porta del servizio endpoint in Port Range. In Destinazione, inserisci l'indirizzo IP privato dell'endpoint di interfaccia.

Informazioni correlate

Come posso risolvere i problemi di connettività tra un endpoint Amazon VPC di interfaccia e un servizio endpoint?

Perché non riesco a connettermi a un servizio quando il gruppo di sicurezza e l'ACL di rete consentono il traffico in entrata?

Argomenti: Networking & Content Delivery
Tag: Amazon VPC
Lingua: Italiano

AWS UFFICIALEAggiornata 3 mesi fa

Contenuto pertinente

Come posso configurare e gestire i gruppi di sicurezza e le ACL di Amazon VPC?
AWS UFFICIALEAggiornata 4 mesi fa
Come posso risolvere i problemi di connettività con i miei endpoint Amazon VPC di interfaccia?
AWS UFFICIALEAggiornata 2 anni fa
Come posso risolvere i problemi di connettività tra un endpoint Amazon VPC di interfaccia e un servizio di endpoint?
AWS UFFICIALEAggiornata 2 anni fa
Come posso risolvere i problemi di connettività quando uso gli endpoint di interfaccia VPC per connettermi al mio bucket Amazon S3?
AWS UFFICIALEAggiornata 2 anni fa