Jak dodać grupę zabezpieczeń do działającej instancji EC2?

81

Mam uruchomioną instancję Amazon EC2 i chcę dodać kolejną grupę zabezpieczeń do tej instancji, a następnie usunąć bieżącą grupę zabezpieczeń z tej instancji. czy to możliwe?

linux security amazon-ec2 cloud-computing Geo
źródło
Wystarczy dodać jeszcze kilka bitów informacji. Mamy dwa wystąpienia połączone z dwiema grupami bezpieczeństwa. Chcemy to rozdzielić i przeznaczyć grupę zabezpieczeń na instancję.
Geo

Odpowiedzi:

52

Aktualizacja 27.02.2015:

Jest to teraz możliwe, patrz odpowiedź poniżej .

Stara odpowiedź:

Często zadawane pytania Amazon wskazują , że nie można zdefiniować grupy zabezpieczeń nigdzie poza uruchomieniem.

towo
źródło
1
Dzięki, tęsknię za tym pytaniem, gdy przeglądam FAQ. Dzięki jeszcze raz.
Geo
2
Ta odpowiedź jest nieaktualna. Teraz możesz modyfikować grupy zabezpieczeń EC2 VPC. Zobacz odpowiedź @hanxue poniżej.
Diego F. Durán
Potrzebujesz aktualizacji !! Zobacz poniżej odpowiedź
Axis
78

Aktualizacja : od stycznia 2014 r. Możesz teraz zmieniać grupy zabezpieczeń do uruchamiania instancji AWS EC2.

Konsola AWS

Wystarczy kliknąć instancję prawym przyciskiem myszy i kliknąć Change Security Group

Zmień grupę zabezpieczeń

Dodaj / usuń grupy zabezpieczeń odpowiednio i kliknij Assign Security Groupspo zakończeniu

Wybierz Grupy zabezpieczeń

Wiersz poleceń EC2

Użyj następującego polecenia:

ec2-modify-instance-attribute <instance-id> --group-id <group-id>

Wiersz poleceń AWS

Użyj następującego polecenia:

aws ec2 modify-instance-attribute --instance-id i-12345 --groups sg-12345 sg-67890

Uwaga: musisz określić wszystkie grupy zabezpieczeń, z którymi chcesz skojarzyć instancję.

Hanxue
źródło
5
Opcja „Zmień grupy zabezpieczeń” jest dostępna w menu, ale wyłączona. Używam regionu ap-południowy wschód-2.
Alastair Irvine
4
obecnie dotyczy to tylko instancji VPC. grupy zabezpieczeń, do których należy instancja inna niż VPC, są stałe / niezmienne i są ustawiane przy pierwszym uruchomieniu. jedynym sposobem na ich zmianę jest utworzenie pakietu z istniejącej instancji i ponowne uruchomienie nowej instancji za pomocą dołączonego ami.
ives
1
Co się stanie, jeśli mojej nowo utworzonej grupy zabezpieczeń nie ma na liście w Change Security Groupsmodule?
jtheletter
Ta opcja może być dostępna tylko w VPC. Starsze konta AWS, które zostały utworzone przed Vpc i mają instancje działające w klasycznym trybie EC2, nie będą mogły z tego skorzystać.
sprzedawca
To mylące, że CLI nie używa list oddzielonych przecinkami, jak w wielu innych miejscach.
user67327
7

Teraz można to zrobić. Kliknij menu akcji i Zmień grupy zabezpieczeń - Wybierz grupy zabezpieczeń, których chcesz użyć.

użytkownik193616
źródło
3
Wierzę, że tylko w VPC.
ceejayoz
Wygląda na to, że tak. Opcja „Zmień grupy zabezpieczeń” jest dostępna w menu, ale wyłączona dla instancji innych niż VPC.
Alastair Irvine
1
Co się stanie, jeśli mojej nowo utworzonej grupy zabezpieczeń nie ma na liście w module Zmień grupy zabezpieczeń?
jtheletter
5
  1. Utwórz obraz AMI z instancji, którą chcesz przenieść do innej grupy zabezpieczeń.
  2. Uruchom nową instancję za pomocą tego obrazu, teraz możemy przypisać tę nową instancję do innej grupy zabezpieczeń.
  3. Odrzuć poprzednie wystąpienie.

Wymaga to przestoju w Twojej instancji. Przy użyciu interfejsu API mogą być dostępne inne opcje.

Rajan
źródło
5

Jak powiedział towo, nie można zmienić grupy zabezpieczeń instancji nigdzie poza czasem uruchomienia.

Chyba że używasz VPC, w którym grupy zabezpieczeń różnią się od grup zabezpieczeń EC2.

Ta strona przedstawia różnice między grupami zabezpieczeń EC2 i VPC.

http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html

Jeśli więc potrzebujesz dodatkowej funkcjonalności grup VPC (zmiana grup, kontrola ruchu wejściowego / wejściowego itp.), Możesz spojrzeć na dodatkową funkcjonalność zapewnianą przez VPC.

idiom
źródło
Witaj w Server Fault! Chociaż teoretycznie może to odpowiedzieć na pytanie, lepiej byłoby zawrzeć tutaj istotne części odpowiedzi i podać odnośnik.
Scott Pack
1

Od 24 listopada 2016 r. Powyższa odpowiedź udzielona przez @hanxue jest prawidłowa, ale niepełna. Istnieją dwa rodzaje wystąpień w AWS: instancje wewnątrz chmury prywatnej zwane VPC przypadkach i wystąpień publicznych, zwanych Ec2 klasycznym. Możesz zmieniać tylko grupy zabezpieczeń instancji VPC, ale nie EC2-classic. Aws oficjalny zrzut ekranu dokumentacji, który chciałbyś zobaczyć. dokumenty, które chciałbyś zobaczyć

różnice w stosunku do oficjalnej dokumentacji AWS

Balman Rawat
źródło
0

Jeśli używasz boto3, musisz wywołać modyfikację_atrybut i przekazać listę identyfikatorów grup

http://boto3.readthedocs.io/en/latest/reference/services/ec2.html#EC2.Instance.modify_attribute

response = instance.modify_attribute(Groups=['string'])

Groups (list) --
  [EC2-VPC] Changes the security groups of the instance. You must 
  specify at least one security group, even if it's just the default 
  security group for the VPC. You must specify the security group ID,
  not the security group name.
James Morgan
źródło
-2

Jednak zgodnie z tym często zadawanym pytaniem „modyfikuj ustawienia dla bieżącej grupy zabezpieczeń - co wpłynie na wszystkie instancje działające w określonej grupie”, możesz zmieniać stopniowo nowe definicje istniejących. Gdy próbuję tego teraz w moim scenariuszu za pośrednictwem konsoli EC2, moje rekordy zostały skasowane!

robi
źródło