Amazon Virtual Private Cloud · datacenter, com os benefícios de usar a infraestrutura escalável...
324
Amazon Virtual Private Cloud Guia do usuário
Transcript of Amazon Virtual Private Cloud · datacenter, com os benefícios de usar a infraestrutura escalável...
Amazon Virtual Private CloudGuia do usuário
Amazon Virtual Private Cloud Guia do usuário
Amazon Virtual Private Cloud: Guia do usuárioCopyright © 2019 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.
Amazon Virtual Private Cloud Guia do usuário
Table of ContentsO que é Amazon VPC? ....................................................................................................................... 1
Conceitos do Amazon VPC .......................................................................................................... 1VPCs e sub-redes .............................................................................................................. 1Plataformas compatíveis ...................................................................................................... 1VPCs padrão e VPCs não padrão ......................................................................................... 2Acessar a Internet .............................................................................................................. 2Acessar uma rede corporativa ou doméstica ........................................................................... 5Acesso a serviços pelo AWS PrivateLink ............................................................................... 6
Conceitos básicos do Amazon VPC .............................................................................................. 7Como acessar a Amazon VPC ..................................................................................................... 8Definição de preço da Amazon VPC ............................................................................................. 8Limites do Amazon VPC .............................................................................................................. 8Conformidade do PCI DSS .......................................................................................................... 9
Conceitos básicos ............................................................................................................................. 10Conceitos básicos do IPv4 ......................................................................................................... 10
Etapa 1: criar a VPC ......................................................................................................... 11Etapa 2: criar um security group ......................................................................................... 13Etapa 3: executar uma instância em uma VPC ...................................................................... 14Etapa 4: atribua um endereço Elastic IP à instância ............................................................... 15Etapa 5: limpar ................................................................................................................. 16
Conceitos básicos do IPv6 ......................................................................................................... 16Etapa 1: criar a VPC ......................................................................................................... 17Etapa 2: criar um security group ......................................................................................... 19Etapa 3: Executar uma instância ......................................................................................... 20
Cenários e exemplos ......................................................................................................................... 23Cenário 1: VPC com uma única sub-rede pública .......................................................................... 23
Visão geral ...................................................................................................................... 24Roteamento ..................................................................................................................... 26Segurança ....................................................................................................................... 27Implementação do cenário 1 .............................................................................................. 29
Cenário 2: VPC com sub-redes pública e privada (NAT) ................................................................. 31Visão geral ...................................................................................................................... 32Roteamento ..................................................................................................................... 34Segurança ....................................................................................................................... 36Implementação do cenário 2 .............................................................................................. 39Implementação do cenário 2 com uma instância NAT ............................................................. 42
Cenário 3: VPC com sub-redes públicas e privadas e acesso à ....................................................... 44Visão geral ...................................................................................................................... 44Roteamento ..................................................................................................................... 47Segurança ....................................................................................................................... 49Implementação do cenário 3 .............................................................................................. 53
Cenário 4: VPC com apenas uma sub-rede privada e acesso à ....................................................... 57Visão geral ...................................................................................................................... 57Roteamento ..................................................................................................................... 59Segurança ....................................................................................................................... 60Implementação do cenário 4 .............................................................................................. 61
Exemplo: criar uma VPC para IPv4 e sub-redes usando a AWS CLI ................................................. 63Etapa 1: criar uma VPC e sub-redes ................................................................................... 63Etapa 2: torne pública a sua sub-rede ................................................................................. 64Etapa 3: executar uma instância em sua sub-rede ................................................................. 66Etapa 4: Limpeza .............................................................................................................. 67
Exemplo: criação de uma VPC para IPv6 e de sub-redes usando a AWS CLI ..................................... 68Etapa 1: criar uma VPC e sub-redes ................................................................................... 68Etapa 2: configurar um sub-rede pública .............................................................................. 69
iii
Amazon Virtual Private Cloud Guia do usuário
Etapa 3: configurar uma sub-rede privada apenas de saída ..................................................... 72Etapa 4: modificar o comportamento do endereçamento IPv6 das sub-redes .............................. 72Etapa 5: executar uma instância em sua sub-rede pública ...................................................... 73Etapa 6: executar uma instância em sua sub-rede privada ...................................................... 74Etapa 7: Limpeza .............................................................................................................. 76
Exemplo: Como compartilhar sub-redes públicas e privadas ............................................................ 77Exemplo: serviços disponíveis em várias regiões usando o AWS PrivateLink e o emparelhamento deVPC entre regiões. ................................................................................................................... 78
Exemplo: o provedor do serviço configura um serviço para operar em várias regiões ................... 78Exemplo: o consumidor do serviço configura o acesso em várias regiões ................................... 79
VPCs e sub-redes ............................................................................................................................ 81VPC e conceitos básicos de sub-rede .......................................................................................... 81Dimensionamento de VPC e sub-rede ......................................................................................... 84
Dimensionamento da VPC e sub-rede para IPv4 ................................................................... 84Adicionar blocos CIDR IPv4 a uma VPC .............................................................................. 85Dimensionamento da VPC e sub-rede para IPv6 ................................................................... 89
Roteamento de sub-rede ............................................................................................................ 89Segurança de sub-rede ............................................................................................................. 90Conexões com sua rede local e outras VPCs ............................................................................... 90Como trabalhar com VPCs e sub-redes ....................................................................................... 91
Criar uma VPC ................................................................................................................. 91Criar uma sub-rede na VPC ............................................................................................... 92Associar um bloco CIDR IPv4 secundário à VPC ................................................................... 93Como associar um bloco CIDR IPv6 a sua VPC .................................................................... 93Associar um bloco CIDR IPv6 à sua sub-rede ....................................................................... 94Inicialização de uma instância em sua sub-rede .................................................................... 94Exclusão de suas sub-redes ............................................................................................... 95Desassociar um bloco CIDR IPv4 da VPC ............................................................................ 95Como desassociar um bloco CIDR IPv6 da sua VPC ou sub-rede ............................................ 96Exclusão de sua VPC ....................................................................................................... 97
Como trabalhar com VPCs compartilhadas ................................................................................... 97Pré-requisitos para o compartilhamento de VPCs .................................................................. 98Como compartilhar uma sub-rede ........................................................................................ 98Como cancelar o compartilhamento de uma sub-rede compartilhada ......................................... 98Identificar o proprietário de uma sub-rede compartilhada ......................................................... 99Permissões de sub-redes compartilhadas ............................................................................. 99Faturamento e medição para proprietários e participantes ..................................................... 100Serviços sem suporte para sub-redes compartilhadas ........................................................... 100Limitações ...................................................................................................................... 100
Padrão VPC e sub-redes padrão ....................................................................................................... 101Componentes da VPC padrão ................................................................................................... 101
Sub-redes padrão ........................................................................................................... 102Disponibilidade e plataformas compatíveis .................................................................................. 103
Como detectar suas plataformas compatíveis e se você tem uma VPC padrão .......................... 103Visualizar a VPC padrão e as sub-redes padrão .......................................................................... 104Inicialização de uma instância do EC2 na VPC padrão ................................................................. 105
Inicialização de uma instância do EC2 usando o console ...................................................... 105Inicialização de uma instância do EC2 usando a linha de comando ......................................... 105
Exclusão das suas sub-redes padrão e da VPC padrão ................................................................ 106Criar uma VPC padrão ............................................................................................................ 106Criação de uma sub-rede padrão .............................................................................................. 107
Endereçamento IP ........................................................................................................................... 109Endereços IPv4 privados .......................................................................................................... 110Endereços IPv4 públicos .......................................................................................................... 111Endereços IPv6 ...................................................................................................................... 111Comportamento de endereçamento de IP para sua sub-rede ......................................................... 112Como trabalhar com endereços IP ............................................................................................. 112
iv
Amazon Virtual Private Cloud Guia do usuário
Modificação do atributo de endereçamento IPv4 público para sua sub-rede .............................. 113Modificação do atributo de endereçamento IPv6 para sua sub-rede ......................................... 113Atribuição de um endereço de público IPv4 durante a inicialização de instância ......................... 113Atribuição de um endereço de público IPv6 durante a inicialização de instância ......................... 114Atribuir um endereço IPv6 a uma instância ......................................................................... 115Cancelar a atribuição de um endereço IPv6 de uma instância ................................................ 116Visão geral sobre API e comando ..................................................................................... 116
Migração para o IPv6 .............................................................................................................. 117Exemplo: habilitação do IPv6 em uma VPC com sub-rede pública e privada ............................. 118Etapa 1: associe um bloco CIDR IPv6 com a VPC e as sub-redes .......................................... 120Etapa 2: atualize suas tabelas de rota ................................................................................ 121Etapa 3: atualize as regras do Security Group ..................................................................... 121Etapa 4: altere o tipo de instância ..................................................................................... 122Etapa 5: atribua endereços IPv6 às instâncias ..................................................................... 123Etapa 6: (Opcional) Configure o IPv6 nas instâncias ............................................................. 123
Segurança ...................................................................................................................................... 130Comparação entre security groups e Network ACLs ..................................................................... 130Security groups ....................................................................................................................... 131
Noções básicas do security group ..................................................................................... 132Security group padrão para sua VPC ................................................................................. 133Regras de security groups ................................................................................................ 133Diferenças entre security groups para EC2-Classic e EC2-VPC .............................................. 135Como trabalhar com security groups .................................................................................. 135
Network ACLs ........................................................................................................................ 139Noções básicas de Network ACL ...................................................................................... 140Regras de Network ACL .................................................................................................. 140Network ACL padrão ....................................................................................................... 140Network ACL personalizada .............................................................................................. 142Portas efêmeras .............................................................................................................. 147Utilização de Network ACLs ............................................................................................. 147Exemplo: controle de acesso a instâncias em uma sub-rede .................................................. 150Visão geral sobre API e comando ..................................................................................... 153
Regras de Network ACL recomendadas para sua VPC ................................................................. 154Regras recomendadas para o cenário 1 ............................................................................. 154Regras recomendadas para o cenário 2 ............................................................................. 157Regras recomendadas para o cenário 3 ............................................................................. 165Regras recomendadas para o cenário 4 ............................................................................. 171
Controle do acesso ................................................................................................................. 173Exemplo de políticas para o SDK ou CLI da AWS ................................................................ 174Exemplos de políticas para o console ................................................................................ 181
VPC Flow Logs ....................................................................................................................... 188Noções básicas de logs de fluxo ....................................................................................... 188Registros de log de fluxo ................................................................................................. 189Limitações do log de fluxo ................................................................................................ 191Publicação no CloudWatch Logs ....................................................................................... 192Publicação no Amazon S3 ................................................................................................ 195Utilização de logs de fluxo ................................................................................................ 200Solução de problemas ..................................................................................................... 202
Componentes das redes VPC ........................................................................................................... 205Interfaces de rede ................................................................................................................... 205Tabelas de rotas ..................................................................................................................... 206
Noções básicas sobre tabela de rotas ................................................................................ 206Prioridade de rota ........................................................................................................... 210Opções de roteamento ..................................................................................................... 211Como trabalhar com tabelas de rotas ................................................................................. 214Visão geral sobre API e comando ..................................................................................... 218
Gateways da internet ............................................................................................................... 219
v
Amazon Virtual Private Cloud Guia do usuário
Permitir acesso à Internet ................................................................................................. 219Criar uma VPC com um gateway da internet ....................................................................... 221
Gateways da Internet somente de saída ..................................................................................... 225Noções básicas do Gateway da Internet somente de saída .................................................... 225Como trabalhar com os Gateways da Internet somente de saída ............................................ 226Visão geral sobre API e CLI ............................................................................................. 227
NAT ...................................................................................................................................... 228NAT Gateways ............................................................................................................... 228Instâncias NAT ............................................................................................................... 245Comparação entre instâncias NAT e gateways NAT ............................................................. 252
Conjuntos de opções de DHCP ................................................................................................. 254Visão geral dos conjuntos de opções DHCP ....................................................................... 254Servidor DNS da Amazon ................................................................................................ 256Alteração das opções DHCP ............................................................................................ 256Como trabalhar com conjuntos de opções DHCP ................................................................. 257Visão geral sobre API e comando ..................................................................................... 258
DNS ...................................................................................................................................... 259Nomes de host DNS ....................................................................................................... 259Suporte a DNS em sua VPC ............................................................................................ 260Limites do DNS .............................................................................................................. 261Visualização de nomes de host DNS para a Instância EC2 .................................................... 261Atualização do suporte a DNS para sua VPC ...................................................................... 262Como usar zonas hospedadas privadas ............................................................................. 263
Emparelhamento de VPC ......................................................................................................... 263Endereços Elastic IP ............................................................................................................... 263
Noções básicas sobre endereços IP elásticos ..................................................................... 264Como trabalhar com endereços IP elásticos ........................................................................ 264Visão geral sobre API e CLI ............................................................................................. 266
VPC Endpoints ....................................................................................................................... 267Endpoints de interface ..................................................................................................... 268Endpoints de gateway ...................................................................................................... 281Controle do acesso a serviços com VPC Endpoints .............................................................. 294Exclusão de um Endpoint de VPC ..................................................................................... 295
Serviços do VPC endpoint ........................................................................................................ 296Visão geral ..................................................................................................................... 296Limitações de serviço de endpoint ..................................................................................... 298Criação de uma configuração de serviço do VPC endpoint .................................................... 299Adição e remoção das permissões para seu serviço de endpoint ............................................ 300Mudança das configurações dos Load balancer de redes e de aceitação ................................. 301Aceitação e rejeição das solicitações de conexão do endpoint da interface ............................... 302Criação e gerenciamento de uma notificação para um serviço de endpoint ............................... 303Uso do Proxy Protocol para informações de conexão ........................................................... 305Exclusão de uma configuração de serviço de endpoint ......................................................... 305
ClassicLink ............................................................................................................................. 306Conexões VPN ............................................................................................................................... 307Limites ........................................................................................................................................... 308
VPC e sub-redes .................................................................................................................... 308DNS ...................................................................................................................................... 308Endereços IP elásticos (IPv4) ................................................................................................... 308Logs de fluxo ......................................................................................................................... 309Gateways ............................................................................................................................... 309Network ACLs ........................................................................................................................ 309Interfaces de rede ................................................................................................................... 310Tabelas de rotas ..................................................................................................................... 310Grupos de segurança .............................................................................................................. 311Conexões de emparelhamento de VPC ...................................................................................... 311VPC Endpoints ....................................................................................................................... 312
vi
Amazon Virtual Private Cloud Guia do usuário
Conexões do .......................................................................................................................... 312Compartilhamento da VPC ....................................................................................................... 312
Histórico do documento .................................................................................................................... 313
vii
Amazon Virtual Private Cloud Guia do usuárioConceitos do Amazon VPC
O que é Amazon VPC?A Amazon Virtual Private Cloud (Amazon VPC) permite executar os recursos da AWS em uma redevirtual definida por você. Essa rede virtual se assemelha a uma rede tradicional que você operaria no seudatacenter, com os benefícios de usar a infraestrutura escalável da AWS.
Conceitos do Amazon VPCConforme o uso do Amazon VPC, compreende-se os principais conceitos dessa rede virtual, alémdas semelhanças ou diferenças de suas próprias redes. Essa seção oferece uma breve descrição dosprincipais conceitos para Amazon VPC.
Amazon VPC é a camada de rede para Amazon EC2. Se você for novo no Amazon EC2, consulte O que éo Amazon EC2? no Guia do usuário do Amazon EC2 para instâncias do Linux para obter uma visão geralresumida.
Tópicos• VPCs e sub-redes (p. 1)• Plataformas compatíveis (p. 1)• VPCs padrão e VPCs não padrão (p. 2)• Acessar a Internet (p. 2)• Acessar uma rede corporativa ou doméstica (p. 5)• Acesso a serviços pelo AWS PrivateLink (p. 6)
VPCs e sub-redesUma virtual private cloud (VPC) é uma rede virtual dedicada à sua conta da AWS Ela é isolada de maneiralógica das outras redes virtuais na Nuvem AWS. Inicie os recursos da AWS, como as instâncias doAmazon EC2 na VPC. Você pode especificar um intervalo de endereços IP para a VPC, adicionar sub-rede, associar security groups e configurar tabelas de rota.
Uma sub-rede é uma gama de endereços IP na VPC. Você pode executar recursos da AWS em uma sub-rede especificada. Use uma sub-rede pública para recursos que devem ser conectados à Internet e umasub-rede privada para recursos que não serão conectados à Internet. Para obter mais informações sobresub-redes públicas e privadas, consulte VPC e conceitos básicos de sub-rede (p. 81).
Para proteger os recursos AWS em cada sub-rede, use várias camadas de segurança, incluindo securitygroups e access control lists (ACL - listas de controle de acesso) de rede. Para obter mais informações,consulte Segurança (p. 130).
Plataformas compatíveisA versão original de Amazon EC2 oferecia suporte a uma rede plana única que era compartilhada comoutros clientes, chamada de plataforma EC2-Classic. As contas da AWS anteriores ainda oferecem
1
Amazon Virtual Private Cloud Guia do usuárioVPCs padrão e VPCs não padrão
suporte a essa plataforma e podem executar as instâncias tanto no EC2-Classic como em uma VPC. Ascontas criadas após 04/12/2013 oferecem suporte somente para EC2-VPC. Para obter mais informações,consulte Como detectar suas plataformas compatíveis e se você tem uma VPC padrão (p. 103).
Ao executar as instâncias em uma VPC em vez de EC2-Classic, seja capaz de:
• Atribuir endereços IPv4 privados estáticos às instâncias que persistem nos inícios e nas interrupções• Associar, opcionalmente, um bloco CIDR IPv6 à VPC e atribuir endereços IPv6 às instâncias• Atribuir vários endereços IP às instâncias• Definir interfaces de rede e anexar uma ou mais interfaces de rede às instâncias• Alterar a associação do security group para as instâncias, durante a execução• Controlar o tráfego de saída (filtragem de saída) das instâncias, além de controlar o tráfego de entrada
(filtragem de entrada) para as instâncias• Adicionar uma camada adicional de controle de acesso às instâncias na forma de listas de controle de
acesso à rede (ACL)• Execute as instâncias no hardware de um único usuário
VPCs padrão e VPCs não padrãoQuando a conta oferece suporte apenas para a plataforma EC2-VPC, ela possui uma VPC padrão quecontém uma sub-rede padrão em cada zona de disponibilidade. Uma VPC padrão detém os benefíciosdos recursos avançados fornecidos pelo EC2-VPC e está pronta para o uso. Caso você tenha um padrãoVPC e não especifique uma sub-rede ao executar uma instância, a instância será iniciada no padrão VPC.É possível executar instâncias em sua VPC padrão sem precisar conhecer absolutamente nada sobre oAmazon VPC.
Independentemente das plataformas para quais a conta oferece suporte, é possível criar sua própria VPCe configurá-la, conforme necessário. Isso é conhecido como uma VPC não padrão. As sub-redes criadasna VPC não padrão e as sub-redes adicionais criadas na VPC padrão são chamadas de sub-redes nãopadrão.
Acessar a InternetControle o modo como as instâncias executadas em uma VPC acessam os recursos fora da VPC.
A VPC padrão inclui um gateway da Internet. Cada sub-rede padrão é uma sub-rede pública. Cadainstância executada em uma sub-rede padrão possui dois endereços IPv4: um público e outro privado.Essas instâncias podem se comunicar com a Internet através do gateway da Internet. Um gateway daInternet permite que as instâncias se conectem à Internet por meio da borda de rede do Amazon EC2.
2
Amazon Virtual Private Cloud Guia do usuárioAcessar a Internet
Em regra, cada instância executada em uma sub-rede não padrão tem apenas um endereço IPv4 privado.Para haver o endereço público IPv4 será preciso atribuir especificamente um no momento da execução oumodificar o atributo do endereço IP público da sub-rede. Essas instâncias podem se comunicar entre si,mas não podem acessar a Internet.
3
Amazon Virtual Private Cloud Guia do usuárioAcessar a Internet
Habilite o acesso à Internet para uma instância executada em uma sub-rede não padrão anexando umgateway da Internet à sua VPC (caso essa não seja padrão) e associando um endereço IP elástico àinstância.
4
Amazon Virtual Private Cloud Guia do usuárioAcessar uma rede corporativa ou doméstica
Como alternativa, para permitir que uma instância na VPC inicie as conexões de saída para a Internet,mas também evitar as conexões de entrada não solicitadas pela Internet, use um dispositivo de networkaddress translation (NAT – tradução de endereço de rede) para o tráfego IPv4. O NAT mapeia váriosendereços IPv4 privados para um único endereço público IPv4. Um dispositivo NAT possui um endereçoIP elástico, conectando-se à Internet por meio de um gateway da Internet. Conecte uma instância de umasub-rede privada à Internet por meio do dispositivo NAT, que roteia o tráfego da instância para o gatewayda Internet, assim como quaisquer respostas para a instância.
Para obter mais informações, consulte NAT (p. 228).
Associe, opcionalmente, um bloco CIDR IPv6 fornecido pela Amazon à VPC e atribua endereços IPv6às instâncias. As instâncias podem se conectar à Internet via IPv6, por meio de um gateway da Internet.Alternativamente, as instâncias podem executar conexões de saída para a Internet via IPv6 usando umgateway da Internet somente de saída. Para obter mais informações, consulte Gateways da Internetsomente de saída (p. 225). Como há separação entre os tráfegos IPv4 e IPv6, as tabelas de rotas devemincluir rotas distintas para o tráfego IPv6.
Acessar uma rede corporativa ou domésticaOpcionalmente, conecte a VPC ao seu datacenter usando uma conexão do de IPsec (IP Security Protocol -Protocolo de segurança para redes IP) e torne a Nuvem AWS uma extensão do seu datacenter.
Uma conexão do consiste em um gateway privado virtual anexado à VPC e ao gateway do cliente,localizado no datacenter. Um gateway privado virtual é o concentrador VPN situado no lado da Amazon
5
Amazon Virtual Private Cloud Guia do usuárioAcesso a serviços pelo AWS PrivateLink
de uma conexão do . Um gateway do cliente é um dispositivo físico ou de software situado no seu lado daconexão do .
Para obter mais informações, consulte O que é o ? no Guia do usuário do .
Acesso a serviços pelo AWS PrivateLinkO AWS PrivateLink é uma tecnologia altamente disponível e escalável que permite a você conectar deforma privada sua VPC aos serviços compatíveis da AWS, a serviços hospedados por outras contas daAWS serviços do VPC endpoint) e serviços compatíveis de parceiros do AWS Marketplace. Você nãoprecisa de um gateway de Internet, um dispositivo NAT, um endereço IP público, uma conexão do AWSDirect Connect ou uma conexão do para se comunicar com o serviço. O tráfego entre sua VPC e o serviçonão deixa a rede da Amazon.
Para usar o AWS PrivateLink, crie um VPC endpoint da interface para um serviço em sua VPC. Issocria uma interface de rede elástica na sua sub-rede com um endereço IP privado que serve comoponto de entrada para o tráfego destinado ao serviço. Para obter mais informações, consulte VPCEndpoints (p. 267).
6
Amazon Virtual Private Cloud Guia do usuárioConceitos básicos do Amazon VPC
Você pode criar seu próprio serviço habilitado pelo AWS PrivateLink (serviço de endpoint) e permitir queoutros clientes da AWS acessem seu serviço. Para obter mais informações, consulte Serviços do VPCendpoint (AWS PrivateLink) (p. 296).
Conceitos básicos do Amazon VPCPara obter uma introdução prática à Amazon VPC, conclua Conceitos básicos do Amazon VPC (p. 10).Esse exercício mostrará o passo a passo da criação de uma VPC não padrão com uma sub-rede pública ea execução de uma instância na sub-rede.
Havendo uma VPC padrão e desejando-se iniciar a execução das instâncias na VPC, sem ofuncionamento de qualquer configuração adicional na VPC, consulte Inicialização de uma instância do EC2na VPC padrão (p. 105).
Para saber mais sobre os cenários básicos para Amazon VPC, consulte Cenários e exemplos (p. 23).Configure a VPC e as sub-redes de outras formas, atendendo às suas necessidades.
A tabela a seguir lista os recursos relacionados que serão úteis à medida que você utilizar este serviço.
Recurso Descrição
Amazon Virtual Private CloudConnectivity Options
Fornece uma visão geral das opções de conectividade narede.
Amazon VPC forum Um fórum de discussão baseado na participação dacomunidade, para debater questões técnicas relacionadas aoAmazon VPC.
Recursos do desenvolvedor da AWS Um ponto de partida central, com o objetivo de localizardocumentação, exemplos de códigos, notas de release
7
Amazon Virtual Private Cloud Guia do usuárioComo acessar a Amazon VPC
Recurso Descriçãoe outras informações para ajudar você a criar aplicativosinovadores com a AWS.
Central de AWS Support A página inicial do AWS Support.
Entre em contato conosco Um ponto central de contato para dúvidas a respeito defaturamento, contas e eventos da AWS.
Como acessar a Amazon VPCA Amazon VPC fornece uma interface de usuário baseada na Web, o console da Amazon VPC. Casotenha se cadastrado em uma conta da AWS, você poderá acessar o console da Amazon VPC fazendologin no Console de gerenciamento da AWS e selecionando VPC.
Se preferir usar uma interface de linha de comando, temos as seguintes opções:
AWS Command Line Interface (AWS CLI)
Fornece comandos para um amplo conjunto de serviços da AWS e tem suporte para Windows,macOS e Linux/Unix. Para começar, consulte o Guia do usuário do AWS Command Line Interface.Para obter mais informações sobre comandos para Amazon VPC, consulte ec2.
AWS Tools para Windows PowerShell
Fornece comandos para um amplo conjunto de serviços da AWS para aqueles que usam script noambiente do PowerShell. Para começar, consulte o Guia do usuário do AWS Tools para WindowsPowerShell.
A Amazon VPC fornece uma API de consulta. Essas são solicitações HTTP ou HTTPS que usam verbosHTTP GET ou POST e um parâmetro de consulta chamado Action. Para obter mais informações,consulte Ações no Amazon EC2 API Reference.
Para criar aplicativos usando as APIs específicas da linguagem em vez de enviar uma solicitaçãovia HTTP ou HTTPS, a AWS fornece bibliotecas, código de exemplo, tutoriais e outros recursos paradesenvolvedores de software. Essas bibliotecas fornecem funções básicas que cuidam automaticamentede tarefas, como a assinatura criptografada das solicitações, novas tentativas de solicitações e tratamentodas respostas de erro. Para obter mais informações, consulte SDKs e ferramentas da AWS.
Definição de preço da Amazon VPCNão há custo adicional por usar Amazon VPC. Pague as taxas padrão para as instâncias e outros recursosAmazon EC2 que usar. Há cobranças pelo uso de uma conexão do e um gateway NAT. Para obter maisinformações, consulte Amazon VPC Pricing e Amazon EC2 Pricing.
Limites do Amazon VPCO número de provisão de componentes Amazon VPC é limitado. É possível solicitar o aumento de algunsdesses limites. Para obter mais informações, consulte Limites do Amazon VPC (p. 308).
8
Amazon Virtual Private Cloud Guia do usuárioConformidade do PCI DSS
Conformidade do PCI DSSAmazon VPC oferece suporte a processamento, armazenamento e transmissão de dados de cartão decrédito por um comerciante ou provedor de serviços, e foi validado como em conformidade com o DataSecurity Standard (DSS – Padrão de segurança de dados) da Payment Card Industry (PCI – Setor decartão de crédito). Para obter mais informações sobre PCI DSS, incluindo como solicitar uma cópia dopacote de conformidade com PCI da AWS, consulte Nível 1 do PCI DSS.
9
Amazon Virtual Private Cloud Guia do usuárioConceitos básicos do IPv4
Conceitos básicos do Amazon VPCOs tutoriais a seguir ajudam você a configurar rapidamente uma VPC não padrão. Se você precisa que osrecursos em sua VPC se comuniquem por IPv6, é possível configurar uma VPC com um bloco CIDR IPv6associado. Caso contrário, configure uma VPC com um bloco CIDR IPv4 associado.
Se você já tem uma VPC padrão, comece executando as instâncias nela, sem criar ou configuraruma nova VPC. Para obter mais informações, consulte Inicialização de uma instância do EC2 na VPCpadrão (p. 105).
Tutoriais• Conceitos básicos do IPv4 para Amazon VPC (p. 10)• Conceitos básicos do IPv6 para Amazon VPC (p. 16)
Conceitos básicos do IPv4 para Amazon VPCNeste exercício, você criará uma VPC com o bloco CIDR IPv4, uma sub-rede com um bloco CIDR IPv4 einiciará uma instância voltada para o público na sua sub-rede. Sua instância se comunicará com a Internete você a acessará do computador local usando SSH (se for uma instância do Linux) ou área de trabalhoremota (se for uma instância do Windows). No ambiente do mundo real, você pode usar este cenário paracriar um servidor da web voltado para o público; como, por exemplo, para hospedar um blog.
Note
Este exercício ajuda você a configurar sua VPC não padrão rapidamente. Se você já tiver umaVPC padrão e deseja executar instâncias nela (em vez de criar ou configurar uma nova VPC),consulte iniciar an EC2 Instance into Your Default VPC. Se quiser configurar uma VPC nãopadrão que seja compatível com IPv6, consulte Getting Started with IPv6 for Amazon VPC.
Para concluir este exercício, faça o seguinte:
• Crie uma VPC não padrão com uma única sub-rede pública. As sub-redes permitem que você agrupeinstâncias com base em suas necessidades operacionais e de segurança. Uma sub-rede pública é umasub-rede que possui acesso à Internet por um gateway da Internet.
• Crie um security group para sua instância que permita o tráfego somente por portas específicas.• Inicie uma instância do Amazon EC2 na sua sub-rede.• Associe um endereço IP elástico à sua instância. Isso permite que a instância acesse a Internet.
Antes de poder usar a Amazon VPC pela primeira vez, você deve cadastrar-se para uma conta da AmazonWeb Services (AWS). Ao se cadastrar, sua conta da AWS é automaticamente habilitada para todos osserviços da AWS, incluindo a Amazon VPC. Caso ainda não tenha criado uma conta da AWS, acessehttps://aws.amazon.com/ e, em seguida, selecione Create a Free Account (Criar uma conta gratuita).
Note
Este exercício pressupõe que a conta seja compatível somente com a plataforma EC2-VPC. Sesua conta também for compatível com a plataforma EC2-Classic, você poderá seguir as etapasdeste exercício; entretanto, não terá uma VPC padrão em sua conta para comparar com a VPCnão padrão. Para obter mais informações, consulte Plataformas compatíveis (p. 1).
Tarefas• Etapa 1: criar a VPC (p. 11)
10
Amazon Virtual Private Cloud Guia do usuárioEtapa 1: criar a VPC
• Etapa 2: criar um security group (p. 13)• Etapa 3: executar uma instância em uma VPC (p. 14)• Etapa 4: atribua um endereço Elastic IP à instância (p. 15)• Etapa 5: limpar (p. 16)
Etapa 1: criar a VPCNesta etapa, você usará o assistente de Amazon VPC do console da Amazon VPC para criar uma VPC. Oassistente realizará as seguintes etapas para você:
• Cria uma VPC com um bloco CIDR IPv4 de tamanho /16 (uma rede com 65.536 endereços IP privados).Para obter mais informações sobre notação CIDR e o tamanho de uma VPC, consulte Your VPC.
• Anexa um gateway da Internet à VPC. Para obter mais informações sobre Gateways da Internet,consulte Gateways da Internet.
• Cria uma sub- rede IPv4 de tamanho /24 (um intervalo de 256 endereços IP privados) na VPC.• Cria uma tabela de rotas personalizada e a associa à sua sub-rede, para que o tráfego possa fluir entre
a sub-rede e o gateway da Internet. Para obter mais informações sobre tabelas de rotas, consulte RouteTables.
O diagrama a seguir representa a arquitetura da sua VPC depois que esta etapa é concluída.
Note
Este exercício abrange o primeiro cenário no assistente de VPC. Para obter mais informaçõessobre outros cenários, consulte Scenarios for Amazon VPC.
Para criar uma VPC usando o assistente de Amazon VPC
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. Na barra de navegação, no canto superior direito, escolha a região em que deseja criar a VPC.
Certifique-se de que continuará a trabalhar na mesma região no resto do exercício, já que não podeiniciar uma instância em sua VPC de uma região diferente. Para obter mais informações, consulteRegiões e zonas de disponibilidade no Lightsail no Guia do usuário do Amazon EC2 para instânciasdo Linux.
3. No painel de navegação, escolha VPC dashboard (Painel da VPC). No painel, selecione Launch VPCWizard (Iniciar assistente da VPC).
Note
Não escolha Your VPCs (Suas VPCs) no painel de navegação; você não pode acessar oassistente da VPC usando o botão Create VPC (Criar VPC) nessa página.
4. Escolha a primeira opção, VPC com uma única sub-rede pública e clique em Selecionar.5. No painel de configuração, digite um nome para a VPC no campo VPC name; por exemplo, my-vpc
e digite um nome para sua sub-rede no campo Sub-rede name. Isso ajuda você a identificar a VPC ea sub-rede no console Amazon VPC depois que são criados. Para este exercício, deixe o resto dasdefinições de configuração na página e escolha Criar VPC.
(Opcional) Se preferir, modifique as definições de configuração conforme a seguir e escolha CreateVPC.
• O bloco CIDR IPv4 exibe o intervalo de endereço IPv4 que você usará para sua VPC(10.0.0.0/16) e o campo CIDR IPv4 da sub-rede pública exibirá o intervalo de endereço IPv4 quevocê usará para a sub-rede (10.0.0.0/24). Se você não quiser usar os intervalos CIDR padrão,
11
Amazon Virtual Private Cloud Guia do usuárioEtapa 1: criar a VPC
especifique seus próprios intervalos. Para obter mais informações, consulte VPC and Sub-redeSizing.
• A lista Zona de disponibilidade permite que você selecione a Zona de disponibilidade na qual criaráa sub-rede. Você pode manter No Preference (Sem preferência) para que a AWS escolha uma Zonade disponibilidade para você. Para obter mais informações, consulte Regions and Availability Zones.
• Na seção Service endpoints (Endpoints de serviços), você pode selecionar uma sub-rede na qualpode criar um VPC endpoint para Amazon S3 na mesma região. Para obter mais informações,consulte VPC Endpoints.
• A opção Enable DNS hostnames, quando definida como Sim, garante que instâncias iniciadas naVPC recebam um nome de host DNS. Para obter mais informações, consulte Using DNS with YourVPC.
• A opção Hardware tenancy permite que você selecione quais instâncias iniciadas na VPC sãoexecutadas em hardware compartilhado ou dedicado. A seleção de uma locação dedicada geracustos adicionais. Para obter mais informações sobre locação de hardware, consulte Instânciasdedicadas no Guia do usuário do Amazon EC2 para instâncias do Linux.
6. Uma janela de status mostra o trabalho em andamento. Quando o trabalho for concluído, escolha OKpara fechar a janela de status.
7. A página Your VPCs exibe sua VPC padrão e a VPC que você acabou de criar. A VPC que você crioué uma VPC não padrão, portanto a coluna Default VPC exibe Não.
Visualizar informações sobre a VPCDepois de criar a VPC, você pode ver informações sobre a sub-rede, o gateway da Internet e as tabelasde rotas. A VPC que você criou possui duas tabelas de rotas — uma tabela de rotas principal que todas asVPCs possuem por padrão e uma tabela de rotas personalizada criada pelo assistente. A tabela de rotaspersonalizada é associada à sua sub-rede, o que significa que as rotas nessa tabela determinam como otráfego flui para a sub-rede. Se você adicionar uma nova sub-rede à VPC, a tabela de rota principal seráusada como padrão.
Para visualizar informações sobre sua VPC
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Your VPCs. Anote o nome e o ID da VPC que você criou (veja nas
colunas Nome e VPC ID). Você usará essas informações para identificar os componentes que estãoassociados à sua VPC.
3. No painel de navegação, escolha Sub-redes. O console exibe a sub-rede que foi criada quando vocêcriou sua VPC. Você pode identificar a sub-rede pelo seu nome na coluna Nome ou pode usar asinformações da VPC que você obteve na etapa anterior e procurar na coluna VPC.
4. No painel de navegação, escolha Gateways da Internet. Você pode encontrar o Gateway da Internetque está anexado à sua VPC, procurando na coluna VPC, que exibe o ID e o nome (se aplicável) daVPC.
5. No painel de navegação, escolha Route Tables. Há duas tabelas de rotas associadas à VPC.Selecione a tabela de rotas personalizada (a coluna Main exibe Não) e escolha a tabela Rotas paraexibir as informações de rotas no painel de detalhes:
• A primeira linha na tabela é a rota local, que permite instâncias na VPC para comunicar. Essa rotaestá presente em todas as tabelas de rotas por padrão e não pode ser removida.
• A segunda linha mostra a rota que o assistente de Amazon VPC adicionou para permitir que otráfego destinado a um endereço IPv4 fora da VPC (0.0.0.0/0) flua da sub-rede para o Gatewayda Internet.
6. Selecione a tabela de rota principal. A tabela de rota principal tem uma rota local, mas não há outrasrotas.
12
Amazon Virtual Private Cloud Guia do usuárioEtapa 2: criar um security group
Etapa 2: criar um security groupUm security group atua como firewall virtual que controla o tráfego de suas instâncias associadas. Parausar um security group, adicione as regras de entrada para controlar o tráfego que entra na instância e asregras de saída para controlar o tráfego que sai da instância. Para associar um security group com umainstância, especifique o security group quando iniciar a instância. Se você adicionar ou remover regras dosecurity group, aplicaremos estas alterações à instância associada ao security group automaticamente.
Sua VPC é fornecida com um security group padrão. Qualquer instância que, ao iniciar, não for associadaa outro security group, será associada ao security group padrão. Neste exercício, você criará um novosecurity group, WebServerSG, e especificará esse security group quando iniciar uma instância na suaVPC.
Regras para o security group WebserverSGA tabela a seguir descreve as regras de entrada e de saída para o security group WebServerSG. Vocêmesmo adicionará as regras de entrada. A regra de saída é uma regra padrão que permite a saída detodas as comunicações para qualquer local — você não precisa adicionar essa regra.
Entrada
IP de origem Protocolo Intervalo de portas Comentários
0.0.0.0/0 TCP 80 Permite acesso HTTP de entrada dequalquer endereço IPv4.
0.0.0.0/0 TCP 443 Permite acesso HTTPS de entrada dequalquer endereço IPv4.
Intervalo deendereços IPv4públicos de suarede doméstica
TCP 22 Permite acesso SSH de entrada dasua rede doméstica para uma instânciaLinux/UNIX.
Intervalo deendereços IPv4públicos de suarede doméstica
TCP 3389 Permite acesso RDP de entrada dasua rede doméstica para uma instânciaWindows.
Saída
IP de destino Protocolo Intervalo de portas Comentários
0.0.0.0/0 Tudo Tudo A regra de saída padrão que permitetodas as comunicações IPv4 de saída.
Como criar o seu security group WebserverSGVocê pode criar seu security group usando o console Amazon VPC.
Para criar o security group WebServerSG e adicionar regras
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Security Groups (Grupos de segurança).3. Escolha Create Security Group.
13
Amazon Virtual Private Cloud Guia do usuárioEtapa 3: executar uma instância em uma VPC
4. No campo Group name, digite WebServerSG como nome do security group e forneça uma descrição.Você pode, opcionalmente, usar o campo Name tag para criar uma tag para o security group com umachave do Name e um valor que você especificar.
5. Selecione o ID de sua VPC no menu VPC e escolha Yes, Create.6. Selecione o security group WebServerSG que acabou de criar (você pode visualizar seu nome na
coluna Group Name).7. Na guia Inbound Rules, escolha Edit e adicione regras para tráfego de entrada da seguinte forma:
a. Selecione HTTP da lista Type (Tipo) e insira 0.0.0.0/0 no campo Source (Origem).b. Escolha Add another rule, selecione HTTPS da lista Tipo e insira 0.0.0.0/0 no campo Source.c. Escolha Add another rule. Se você estiver iniciando uma instância Linux, selecione SSH na lista
Tipo ou se estiver iniciando uma instância Windows, selecione RDP na lista Tipo. Insira o intervalode endereços IP públicos da sua rede no campo Source (Origem). Se não souber este intervalode endereços, você poderá usar 0.0.0.0/0 para este exercício.
Important
Ao usar o 0.0.0.0/0, você permite que todos os endereços IP acessem sua instânciausando o SSH ou o RDP. Isso é aceitável para um exercício rápido, mas não é seguropara ambientes de produção. Na produção, você autorizará apenas um endereço IPespecífico ou intervalo de endereços para acessar a instância.
d. Escolha Salvar.
Etapa 3: executar uma instância em uma VPCQuando iniciar uma instância do EC2 em uma VPC, especifique a sub-rede na qual iniciar a instância.Neste caso, você iniciará uma instância na sub-rede pública da VPC que criou. Você usará o assistente deexecução Amazon EC2 no console Amazon EC2 para iniciar a instância.
O diagrama a seguir representa a arquitetura da sua VPC depois que esta etapa é concluída.
Para executar uma instância do EC2 em uma VPC
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. Na barra de navegação na parte direita superior da tela, certifique-se de selecionar a mesma região
em que você criou sua VPC e security group.3. No painel, escolha Iniciar instância.4. Na primeira página do assistente, escolha a AMI que deseja usar. Para este exercício, recomendamos
que escolha uma AMI Amazon Linux ou uma AMI Windows.5. Na página Choose an Instance Type, você pode selecionar a configuração do hardware e o tamanho
da instância a ser executada. Por padrão, o assistente seleciona o primeiro tipo de instância disponívelcom base na AMI que você selecionou. Você pode deixar a seleção padrão e escolher Next: ConfigureInstance Details.
6. Na página Configure Instance Details, selecione a VPC que você criou na lista Rede e a sub-rede nalista Sub-rede. Deixe o resto das configurações padrão e percorra as páginas seguintes do assistenteaté chegar à página Add Tags.
7. Na página Add Tags, você pode marcar sua instância com uma tag; Name, por exemplo,Name=MyWebServer. Isso ajuda você a identificar sua instância no console Amazon EC2 depois detê-la iniciado. Escolha Next: Configure Security Group (Próximo: configurar grupo de segurança) aoconcluir.
8. Na página Configure Security Group (Configurar security group), o assistente automaticamente defineo security group x do assistente de lançamento para permitir que você se conecte à sua instância. Em
14
Amazon Virtual Private Cloud Guia do usuárioEtapa 4: atribua um endereço Elastic IP à instância
vez disso, escolha a opção Select an existing security group, selecione o grupo WebServerSG quecriou anteriormente e escolha Review and Launch.
9. Na página Review Instance Launch, verifique os detalhes da sua instância e escolha Launch.10. Na caixa de diálogo Select an existing key pair or create a new key pair (Selecionar um par de chaves
existente ou criar um novo par de chaves), você poderá escolher um par de chaves existente oupoderá criar um novo. Se criar um novo par de chaves, assegure-se de baixar e armazenar o arquivoem um local seguro. Você precisará do conteúdo da chave privada para conectar-se à sua instânciadepois que ela for executada.
Para executar uma instância, marque a caixa de seleção de confirmação e escolha Iniciar instâncias.11. Na página de confirmação, escolha View Instances para visualizar a instância na página Instâncias.
Selecione sua instância e visualize seus detalhes na guia Description. O campo Private IPs exibe oendereço IP privado atribuído à sua instância no intervalo de endereços IP da sua sub-rede.
Para obter mais informações sobre as opções disponíveis no assistente de execução do Amazon EC2consulte Executar uma instância no Guia do usuário do Amazon EC2 para instâncias do Linux.
Etapa 4: atribua um endereço Elastic IP à instânciaNa etapa anterior, você iniciou a instância em uma sub-rede pública — uma sub-rede que possui umarota para um Gateway da Internet. Entretanto, a instância na sub-rede também precisa de um endereçoIPv4 público para se comunicar com a Internet. Como padrão, uma instância em uma VPC não padrãonão recebe um endereço IPv4 público. Nesta etapa, você alocará um endereço IP elástico à sua conta e oassociará à sua instância. Para obter mais informações sobre endereços IP elásticos, consulte Elastic IPAddresses.
O diagrama a seguir representa a arquitetura da sua VPC depois que esta etapa é concluída.
Para alocar e atribuir um endereço Elastic IP
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Elastic IPs.3. Escolha Allocate new address (Alocar novo endereço) e, em seguida, Allocate, (Alocar).
Note
Se sua conta for compatível com o EC2-Classic, escolha primeiro VPC.4. Selecione o endereço IP elástico na lista, escolha Ações e Associate address.5. Para Resource type (Tipo de recurso), verifique se Instance (Instância) está selecionada. Escolha sua
instância na lista Instance (Instância). Escolha Associate (Associar) ao concluir.
A instância agora pode ser acessada pela Internet. Você pode se conectar à instância pelo endereço IPelástico usando SSH ou área de trabalho remota de sua rede doméstica. Para obter mais informaçõessobre como se conectar a uma instância Linux, consulte Conectar-se à instância do Linux no Guia dousuário do Amazon EC2 para instâncias do Linux. Para obter mais informações sobre como se conectara uma instância do Windows, consulte Conecte-se à sua instância do Windows usando o RDP no Guia dousuário do Amazon EC2 para instâncias do Windows.
Isso conclui o exercício; você pode escolher continuar usando a instância na sua VPC ou se não precisardela, encerre-a e libere seu endereço IP elástico para evitar novas cobranças. Você também pode excluirsua VPC — observe que a VPC e os componentes de VPC criados neste exercício não são cobrados(como sub-redes e tabelas de rotas).
15
Amazon Virtual Private Cloud Guia do usuárioEtapa 5: limpar
Etapa 5: limparAntes de excluir a VPC, é preciso finalizar as instâncias em execução na VPC. Se você excluir uma VPCusando o console de VPC, ele também excluirá recursos associados à VPC, como sub-redes, securitygroups, ACLs de rede, conjuntos de opções DHCP, tabelas de rotas e Gateways da Internet.
Para concluir a instância, libere o endereço IP elástico e exclua sua VPC
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, escolha Instances (Instâncias).3. Selecione a instância, escolha Ações, Instance State e Terminate.4. Na caixa de diálogo, expanda a seção Release attached Elastic IPs e marque a caixa de seleção
próxima ao endereço IP elástico. Escolha Yes, Terminate.5. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.6. No painel de navegação, escolha Your VPCs.7. Selecione a VPC, escolha Ações e Delete VPC.8. Quando a confirmação for solicitada, escolha Sim, excluir.
Conceitos básicos do IPv6 para Amazon VPCNeste exercício, você criará uma VPC com um bloco CIDR IPv6, uma sub-rede com um bloco CIDR IPv6e ativará uma instância voltada para o público na sua sub-rede. A instância se comunicará com a Internetvia IPv6 e você poderá acessá-la do computador local usando SSH (se for uma instância do Linux) ou daárea de trabalho remota (se for uma instância do Windows). No ambiente do mundo real, você pode usareste cenário para criar um servidor da web voltado para o público; como, por exemplo, para hospedar umblog.
Para concluir este exercício, faça o seguinte:
• Crie uma VPC não padrão com um bloco CIDR IPv6 e uma única sub-rede pública. As sub-redespermitem que você agrupe instâncias com base em suas necessidades operacionais e de segurança.Uma sub-rede pública é uma sub-rede que possui acesso à Internet por um gateway da Internet.
• Crie um security group para sua instância que permita o tráfego somente por portas específicas.• Execute uma instância do Amazon EC2 em sua sub-rede e associe um endereço IPv6 à sua instância
durante o lançamento. Um endereço IPv6 é globalmente exclusivo e permite que sua instância secomunique com a Internet.
Para obter mais informações sobre o endereçamento IPv4 e IPv6, consulte Endereçamento IP em suaVPC.
Antes de poder usar a Amazon VPC pela primeira vez, você deve cadastrar-se para uma conta da AmazonWeb Services (AWS). Ao se cadastrar, sua conta da AWS é automaticamente habilitada para todos osserviços da AWS, incluindo a Amazon VPC. Caso ainda não tenha criado uma conta da AWS, acessehttps://aws.amazon.com/ e, em seguida, selecione Create a Free Account (Criar uma conta gratuita).
Tarefas• Etapa 1: criar a VPC (p. 17)• Etapa 2: criar um security group (p. 19)• Etapa 3: Executar uma instância (p. 20)
16
Amazon Virtual Private Cloud Guia do usuárioEtapa 1: criar a VPC
Etapa 1: criar a VPCNesta etapa, você usará o assistente de Amazon VPC no console de Amazon VPC para criar uma VPC. Oassistente realizará as seguintes etapas para você:
• Cria uma VPC com um bloco CIDR IPv4 /16 e associa um bloco CIDR IPv6 /56 à VPC. Para obtermais informações, consulte Your VPC. O tamanho do bloco CIDR IPv6 é fixo (/ 56) e a variedade deendereços IPv6 é alocada automaticamente do grupo de endereços IPv6 da Amazon (não é permitidoque você mesmo faça a seleção).
• Anexa um gateway da Internet à VPC. Para obter mais informações sobre Gateways da Internet,consulte Gateways da Internet.
• Cria uma sub-rede com um bloco CIDR IPv4 /24 e um bloco CIDR IPv6 /64 na VPC. O tamanho do blocoCIDR IPv6 é fixo (/64).
• Cria uma tabela de rotas personalizada e a associa à sua sub-rede, para que o tráfego possa fluir entrea sub-rede e o gateway da Internet. Para obter mais informações sobre tabelas de rotas, consulte RouteTables.
O diagrama a seguir representa a arquitetura da sua VPC depois que esta etapa é concluída.
Note
Este exercício abrange o primeiro cenário no assistente de VPC. Para obter mais informaçõessobre outros cenários, consulte Scenarios for Amazon VPC.
Para criar uma VPC usando o assistente de Amazon VPC
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.
17
Amazon Virtual Private Cloud Guia do usuárioEtapa 1: criar a VPC
2. Na barra de navegação, no canto superior direito, escolha a região em que deseja criar a VPC.Certifique-se de que continuará a trabalhar na mesma região no resto do exercício, já que não podeiniciar uma instância em sua VPC de uma região diferente. Para obter mais informações, consulteRegiões e zonas de disponibilidade no Lightsail no Guia do usuário do Amazon EC2 para instânciasdo Linux.
3. No painel de navegação, selecione VPC dashboard (Painel da VPC) e Launch VPC Wizard (Iniciarassistente da VPC).
Note
Não escolha Your VPCs (Suas VPCs) no painel de navegação; você não pode acessar oassistente da VPC usando o botão Create VPC (Criar VPC) nessa página.
4. Escolha a primeira opção, VPC com uma única sub-rede pública e escolha Selecionar.5. Na página de configuração, insira um nome para a VPC no campo VPC name; por exemplo, my-vpc e
insira um nome para sua sub-rede no campo Sub-rede name. Isso ajuda você a identificar a VPC e asub-rede no console Amazon VPC depois que são criados.
6. No bloco CIDR IPv4 CIDR, você pode deixar a configuração padrão (10.0.0.0/16), ou especificarsua própria. Para obter mais informações, consulte Dimensionamento da VPC.
No bloco CIDR IPv6, escolha Amazon-provided IPv6 CIDR block.7. Em Public subnet's IPv4 CIDR, deixe a configuração padrão ou especifique a sua. Em Public subnet's
IPv6 CIDR, escolha Specify a custom IPv6 CIDR. Você pode deixar o valor do par hexadecimal padrãopara a sub-rede IPv6 (00).
8. Mantenha o restante das configurações padrão da página e escolha Create VPC.9. Uma janela de status mostra o trabalho em andamento. Quando o trabalho for concluído, escolha OK
para fechar a janela de status.10. A página Your VPCs exibe sua VPC padrão e a VPC que você acabou de criar.
Visualizar informações sobre a VPCDepois de criar a VPC, você pode visualizar informações sobre sub-rede, Gateway da Internet e tabelasde rotas. A VPC que você criou possui duas tabelas de rotas — uma tabela de rotas principal que todas asVPCs possuem por padrão e uma tabela de rotas personalizada criada pelo assistente. A tabela de rotaspersonalizada é associada à sua sub-rede, o que significa que as rotas nessa tabela determinam como otráfego flui para a sub-rede. Se você adicionar uma nova sub-rede à VPC, a tabela de rota principal seráusada como padrão.
Para visualizar informações sobre sua VPC
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Your VPCs. Anote o nome e o ID da VPC que você criou (veja nas
colunas Nome e VPC ID). Você usará essas informações para identificar os componentes que estãoassociados à sua VPC.
3. No painel de navegação, escolha Sub-redes. O console exibe a sub-rede que foi criada quando vocêcriou sua VPC. Você pode identificar a sub-rede pelo seu nome na coluna Nome ou pode usar asinformações da VPC que você obteve na etapa anterior e procurar na coluna VPC.
4. No painel de navegação, escolha Gateways da Internet. Você pode encontrar o Gateway da Internetque está anexado à sua VPC, procurando na coluna VPC, que exibe o ID e o nome (se aplicável) daVPC.
5. No painel de navegação, escolha Route Tables. Há duas tabelas de rotas associadas à VPC.Selecione a tabela de rotas personalizada (a coluna Main exibe Não) e escolha a tabela Rotas paraexibir as informações de rotas no painel de detalhes:
18
Amazon Virtual Private Cloud Guia do usuárioEtapa 2: criar um security group
• As duas primeiras linhas na tabela são as rotas locais, que permitem que instâncias dentro da VPCse comuniquem via IPv4 e IPv6. Não é possível remover essas rotas.
• A linha seguinte mostra a rota que o assistente de Amazon VPC adicionou para permitir que otráfego destinado a um endereço IPv4 fora da VPC (0.0.0.0/0) flua da sub-rede para o Gatewayda Internet.
• A linha seguinte mostra a rota que o assistente de &VPC; adicionou para permitir que o tráfegodestinado a um endereço IPv6 fora da VPC (::/0) flua da sub-rede para o Gateway de Internet.
6. Selecione a tabela de rota principal. A tabela de rota principal tem uma rota local, mas não há outrasrotas.
Etapa 2: criar um security groupUm security group atua como firewall virtual que controla o tráfego de suas instâncias associadas. Parausar um security group, adicione as regras de entrada para controlar o tráfego que entra na instância eas regras de saída para controlar o tráfego que sai da instância. Para associar um security group a umainstância, especifique o security group quando iniciar a instância.
Sua VPC é fornecida com um security group padrão. Qualquer instância que, ao iniciar, não for associadaa outro security group, será associada ao security group padrão. Neste exercício, você criará um novosecurity group WebServerSG que será especificado no início de uma instância na sua VPC.
Regras para o security group WebserverSGA tabela a seguir descreve as regras de entrada e de saída para o security group WebServerSG. Vocêmesmo adicionará as regras de entrada. A regra de saída é uma regra padrão que permite a saída detodas as comunicações para qualquer local — você não precisa adicionar essa regra.
Entrada
IP de origem Protocolo Intervalo de portas Comentários
::/0 TCP 80 Permite acesso HTTP de entrada dequalquer endereço IPv6.
::/0 TCP 443 Permite tráfego HTTPS de entrada dequalquer endereço IPv6.
Intervalo deendereços IPv6de sua rededoméstica
TCP 22 ou 3389 Permite acesso SSH de entrada (porta22) do intervalo de endereços IPv6 emsua rede doméstica para uma instânciaLinux/UNIX. Se for uma instância doWindows, é necessária uma regra quepermita acesso RDP (porta 3389).
Saída
IP de destino Protocolo Intervalo de portas Comentários
0.0.0.0/0 Tudo Tudo A regra de saída padrão que permitetodas as comunicações IPv4 de saída.Não é necessário modificar esta regrapara este exercício.
::/0 Tudo Tudo A regra de saída padrão que permitetodas as comunicações IPv6 de saída.
19
Amazon Virtual Private Cloud Guia do usuárioEtapa 3: Executar uma instância
Não é necessário modificar esta regrapara este exercício.
Note
Se quiser usar a instância do servidor web também para o tráfego IPv4, você deve adicionarregras que permitem o acesso via IPv4;. Neste caso, o tráfego HTTP e HTTPS de todos osendereços IPv4 (0.0.0.0/0) e acesso SSH / RDP do intervalo de endereços IPv4 da sua rededoméstica.
Como criar o seu security group WebserverSGVocê pode criar seu security group usando o console Amazon VPC.
Para criar o security group WebServerSG e adicionar regras
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Security groups, Criar security group.3. Em Group name, insira WebServerSG como o nome do security group e forneça uma descrição. Você
pode, opcionalmente, usar o campo Name tag para criar uma tag para o security group com umachave do Name e um valor que você especificar.
4. Selecione o ID de sua VPC no menu VPC e escolha Yes, Create.5. Selecione o security group WebServerSG que acabou de criar (você pode visualizar seu nome na
coluna Group Name).6. Na guia Inbound Rules, escolha Edit e adicione regras para tráfego de entrada da seguinte forma:
a. Em Type, escolha HTTP e insira ::/0 no campo Source.b. Escolha Add another rule. Em Type, escolha HTTPS e insira ::/0 no campo Source.c. Escolha Add another rule. Se estiver iniciando uma instância Linux, escolha SSH em Type ou,
se estiver iniciando uma instância Windows, escolha RDP. Insira o intervalo de endereços IPv6públicos da rede no campo Source. Se não souber este intervalo de endereços, você poderá usar::/0 para este exercício.
Important
Ao usar o ::/0, você permite que todos os endereços IPv6 acessem sua instânciausando o SSH ou o RDP. Isso é aceitável para um exercício rápido, mas não é seguropara ambientes de produção. Na produção, autorize apenas um endereço IP específicoou um intervalo de endereços para acessar a instância.
d. Escolha Salvar.
Etapa 3: Executar uma instânciaQuando iniciar uma instância do EC2 em uma VPC, especifique a sub-rede na qual iniciar a instância.Neste caso, você iniciará uma instância na sub-rede pública da VPC que criou. Use o assistente deexecução de Amazon EC2 no console de Amazon EC2 para executar sua instância.
Para garantir que a instância seja acessível pela Internet, atribua à instância um endereço IPv6 dointervalo de sub-rede durante a execução. Isso garante que a instância poderá se comunicar com aInternet via IPv6.
O diagrama a seguir representa a arquitetura da sua VPC depois que esta etapa é concluída.
20
Amazon Virtual Private Cloud Guia do usuárioEtapa 3: Executar uma instância
Para executar uma instância do EC2 em uma VPC
Antes de executar a instância do EC2 na VPC, configure a sub-rede da VPC para atribuir endereços IPv6automaticamente. Para obter mais informações, consulte the section called “Modificação do atributo deendereçamento IPv6 para sua sub-rede” (p. 113).
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. Na barra de navegação na parte direita superior da tela, certifique-se de selecionar a mesma região
em que você criou sua VPC e security group.3. No painel, escolha Launch instance (Iniciar instância).4. Na primeira página do assistente, escolha a AMI que deseja usar. Para este exercício, recomendamos
que escolha uma AMI Amazon Linux ou uma AMI Windows.5. Na página Choose an Instance Type, você pode selecionar a configuração do hardware e o tamanho
da instância a ser executada. Por padrão, o assistente seleciona o primeiro tipo de instância disponívelcom base na AMI que você selecionou. Você pode deixar a seleção padrão e escolher Next: ConfigureInstance Details.
6. Na página Configure Instance Details, selecione a VPC que você criou na lista Rede e a sub-rede nalista Sub-rede.
7. Em Auto-assign IPv6 IP, escolha Habilitar.8. Deixe o resto das configurações padrão e percorra as páginas seguintes do assistente até chegar à
página Add Tags.9. Na página Add Tags, você pode marcar sua instância com uma tag; Name, por exemplo,
Name=MyWebServer. Isso ajuda você a identificar sua instância no console Amazon EC2 depois de
21
Amazon Virtual Private Cloud Guia do usuárioEtapa 3: Executar uma instância
tê-la iniciado. Escolha Next: Configure Security Group (Próximo: configurar grupo de segurança) aoconcluir.
10. Na página Configure Security Group (Configurar security group), o assistente automaticamente defineo security group x do assistente de lançamento para permitir que você se conecte à sua instância. Emvez disso, escolha a opção Select an existing security group, selecione o grupo WebServerSG quecriou anteriormente e escolha Review and Launch.
11. Na página Review Instance Launch, verifique os detalhes da instância e escolha Launch.12. Na caixa de diálogo Select an existing key pair or create a new key pair (Selecionar um par de chaves
existente ou criar um novo par de chaves), você poderá escolher um par de chaves existente oupoderá criar um novo. Se criar um novo par de chaves, assegure-se de baixar e armazenar o arquivoem um local seguro. Você precisará do conteúdo da chave privada para conectar-se à sua instânciadepois que ela for executada.
Para executar uma instância, selecione a caixa de seleção de confirmação e escolha Iniciar instâncias.13. Na página de confirmação, escolha View Instances para visualizar a instância na página Instâncias.
Selecione sua instância e visualize seus detalhes na guia Description. O campo Private IPs exibe oendereço IPv4 privado atribuído à instância no intervalo de endereços IPv4 da sub-rede. O campoPrivate IPs exibe o endereço IPv6 privado atribuído à instância no intervalo de endereços IPv6 da sub-rede.
Para obter mais informações sobre as opções disponíveis no assistente de execução do Amazon EC2consulte Executar uma instância no Guia do usuário do Amazon EC2 para instâncias do Linux.
Você pode se conectar à instância pelo endereço IPv6 elástico usando SSH ou área de trabalho remotaa partir de sua rede doméstica. Seu computador local deve ter um endereço IPv6 e configurado para usarIPv6. Para obter mais informações sobre como se conectar a uma instância Linux, consulte Conectar-se à instância do Linux no Guia do usuário do Amazon EC2 para instâncias do Linux. Para obter maisinformações sobre como se conectar a uma instância do Windows, consulte Conecte-se à sua instância doWindows usando o RDP no Guia do usuário do Amazon EC2 para instâncias do Windows.
Note
Se você também deseja que a instância seja acessível a partir de um endereço IPv4 via Internet,SSH ou RDP, você deve associar um endereço IP Elástico (um endereço IPv4 público estático)à instância e ajustar as regras do security group para permitir acesso via IPv4. Para obter maisinformações, consulte Conceitos básicos do Amazon VPC (p. 10).
22
Amazon Virtual Private Cloud Guia do usuárioCenário 1: VPC com uma única sub-rede pública
Cenários e exemplosEsta seção oferece exemplos para a criação e configuração de uma VPC, incluindo cenários sobre comousar o assistente de VPC no console da Amazon VPC.
Cenário Uso
Cenário 1: VPC com uma únicasub-rede pública (p. 23)
Use o assistente de VPC para criar uma VPC para executar umaplicativo web público de camada única, como um blog ou um sitesimples.
Cenário 2: VPC com sub-redes pública e privada(NAT) (p. 31)
Use o assistente de VPC para criar uma VPC para executar umaplicativo web público e ao mesmo tempo manter servidores back-end não publicamente acessíveis na segunda sub-rede.
Cenário 3: VPC com sub-redespúblicas e privadas e acesso à (p. 44)
Use o assistente de VPC para criar uma VPC para estender seudatacenter para a nuvem e também acessar diretamente a Internetpor meio de sua VPC.
Cenário 4: VPC com apenasuma sub-rede privada e acesso à (p. 57)
Use o assistente de VPC para criar uma VPC para estender seudatacenter para a nuvem e usar a infraestrutura da Amazon semexpor sua rede à Internet.
Exemplo: criar uma VPC paraIPv4 e sub-redes usando a AWSCLI (p. 63)
Use a AWS CLI para criar uma VPC com uma sub-rede pública euma sub-rede privada.
Exemplo: criação de uma VPCpara IPv6 e de sub-redes usandoa AWS CLI (p. 68)
Use a AWS CLI para criar uma VPC com um bloco CIDR IPv6associado e uma sub-rede pública e uma sub-rede privada, cadauma com um bloco CIDR IPv6 associado.
the section called “Exemplo:Como compartilhar sub-redespúblicas e privadas” (p. 77)
Compartilhe sub-redes públicas e privadas com as contas.
Exemplo: serviços disponíveisem várias regiões usando o AWSPrivateLink e o emparelhamentode VPC entre regiões. (p. 78)
Saiba como usar uma combinação de emparelhamento entre regiõese um AWS PrivateLink para dar acesso a serviços privados para osconsumidores em diferentes regiões.
Cenário 1: VPC com uma única sub-rede públicaA configuração deste cenário inclui uma nuvem privada virtual (VPC) com uma única sub-rede pública eum gateway da Internet para permitir comunicação na Internet. Recomendamos esta configuração se vocêprecisar executar um aplicativo da web de única camada voltado para o público, como um blog ou um sitesimples.
Além disso, este cenário pode ser opcionalmente configurado para IPv6 — você pode usar o assistentede VPC para criar uma VPC e uma sub-rede com blocos CIDR IPv6 associados. As instâncias iniciadasem sub-redes públicas podem receber endereços IPv6 e se comunicar usando IPv6. Para obter maisinformações sobre endereçamento IPv4 e IPv6, consulte Endereçamento IP na sua VPC (p. 109).
Tópicos• Visão geral (p. 24)
23
Amazon Virtual Private Cloud Guia do usuárioVisão geral
• Roteamento (p. 26)• Segurança (p. 27)• Implementação do cenário 1 (p. 29)
Visão geralO diagrama a seguir mostra os principais componentes da configuração deste cenário.
Note
Se tiver concluído Conceitos básicos do Amazon VPC (p. 10), você já terá implementado essecenário usando o assistente da VPC no console da Amazon VPC.
A configuração deste cenário inclui o seguinte:
• Uma nuvem privada virtual (VPC) com um bloco CIDR IPv4 tamanho /16 (exemplo: 10.0.0.0/16). Nessecaso, são fornecidos 65.536 endereços IPv4.
• Uma sub-rede com bloco CIDR IPv4 tamanho /24 (exemplo: 10.0.0.0/24). Nesse caso, são fornecidos256 endereços IPv4.
• Um Internet Gateway. Desse modo a VPC é conectada à Internet e a outros serviços da AWS.• Uma instância com um endereço IPv4 privado em um intervalo de sub-rede (exemplo: 10.0.0.6), que
permite à instância se comunicar com outras instâncias na VPC e um endereço IPv4 elástico (exemplo:198.51.100.2), que é um endereço IPv4 público que permite à instância ser alcançada na Internet.
24
Amazon Virtual Private Cloud Guia do usuárioVisão geral
• Uma tabela de rotas personalizada associada à sub-rede. As entradas da tabela de rotas permitem queas instâncias na sub-rede usem o IPv4 para se comunicarem com outras instâncias na VPC e para secomunicarem diretamente na Internet. Uma sub-rede associada a uma tabela de rotas que possui umarota para um gateway da Internet é conhecida como sub-rede pública.
Para obter mais informações sobre sub-redes, consulte VPCs e sub-redes (p. 81). Para obter maisinformações sobre Gateways da Internet, consulte Gateways da internet (p. 219).
Visão geral de IPv6Opcionalmente, você pode ativar o IPv6 para este cenário. Além dos componentes listados anteriormente,a configuração inclui o seguinte:
• Um bloco CIDR IPv6 tamanho /56 associado à VPC (exemplo: 2001:db8:1234:1a00::/56). A Amazonatribui automaticamente o CIDR; você não pode escolher o intervalo.
• Um bloco CIDR IPv6 tamanho /64 associado a uma sub-rede pública (exemplo:2001:db8:1234:1a00::/64). Você pode escolher o intervalo para sua sub-rede com base no intervaloalocado à VPC. Você não pode escolher o tamanho do bloco CIDR IPv6 da sub-rede.
• Um endereço IPv6 atribuído a uma instância no intervalo da sub-rede (exemplo:2001:db8:1234:1a00::123).
• Entradas da tabela de rotas na tabela de rota personalizada que permitem às instâncias na VPC usaremIPv6 para se comunicarem entre si e diretamente na Internet.
25
Amazon Virtual Private Cloud Guia do usuárioRoteamento
RoteamentoSua VPC tem um roteador implícito (mostrado no diagrama de configuração acima). Neste cenário, oassistente de VPC cria uma tabela de rotas personalizada que encaminha todos os tráfegos destinados aum endereço fora da VPC para o gateway da Internet e associa esta tabela de rotas à sub-rede.
A tabela a seguir mostra a tabela de rotas para o exemplo no diagrama de configuração acima. A primeiraentrada é a padrão para um roteamento IPv4 local na VPC; essa entrada permite que as instâncias naVPC comuniquem-se entre si. A segunda entrada encaminha todos os outros tráfegos da sub-rede IPv4 aogateway da Internet (por exemplo, igw-1a2b3c4d).
Destino Destino
10.0.0.0/16 local
0.0.0.0/0 igw-id
Roteamento para o IPv6Se você associar um bloco CIDR IPv6 à sua VPC e à sub-rede, a tabela de rotas incluirá rotas distintaspara o tráfego IPv6. A tabela a seguir mostra a tabela de rotas personalizada para este cenário, se
26
Amazon Virtual Private Cloud Guia do usuárioSegurança
você escolher habilitar a comunicação IPv6 na sua VPC. A segunda entrada é a rota padrão adicionadaautomaticamente para roteamento local na VPC via IPv6. A quarta entrada roteia todos os outros tráfegosIPv6 da sub-rede para o Internet Gateway.
Destino Destino
10.0.0.0/16 local
2001:db8:1234:1a00::/56 local
0.0.0.0/0 igw-id
::/0 igw-id
SegurançaA AWS fornece dois recursos que você pode usar para aumentar a segurança do VPC: security groupse Network ACL. Os security groups controlam o tráfego de entrada e de saída de suas instâncias e asNetwork ACL controlam o tráfego de entrada e de saída de suas sub-redes. Na maioria dos casos, ossecurity groups podem atender as suas necessidades; contudo, você também pode usar as Network ACLse desejar uma camada adicional de segurança para o seu VPC. Para obter mais informações, consulteSegurança (p. 130).
Para este cenário, você usará um security group, mas não uma rede ACL. Se quiser usar uma networkACL, consulte Regras recomendadas para o cenário 1 (p. 154).
Sua VPC é fornecida com um security group padrão (p. 133). Uma instância executada na VPCserá automaticamente associada ao security group padrão se você não especificar um security groupdiferente durante a execução. Você pode adicionar regras ao security group padrão, mas talvez não sejamadequadas para outras instâncias iniciadas na VPC. Em vez disso, recomendamos que crie um securitygroup personalizado para o servidor da web.
Para este cenário, crie um security group chamado WebServerSG. Quando você cria um security group,ele possui apenas uma regra de saída que permite a todo o tráfego deixar as instâncias. Você devemodificar as regras para permitir o tráfego de entrada e para restringir o tráfego de saída, conformenecessário. Especifique este security group quando você iniciar instâncias na VPC.
A seguir, as regras de entrada e saída do tráfego IPv4 para o security group WebServerSG.
Entrada
Origem Protocolo Intervalo deportas
Comentários
0.0.0.0/0 TCP 80 Permite acesso HTTP de entradapara servidores web de qualquerendereço IPv4.
0.0.0.0/0 TCP 443 Permite acesso HTTPS de entradapara servidores web de qualquerendereço IPv4
Intervalo de endereço IPv4público da sua rede
TCP 22 (Instâncias Linux) Permite acessoSSH de entrada de sua rede porIPv4. Você pode obter o endereçoIPv4 público de seu computador
27
Amazon Virtual Private Cloud Guia do usuárioSegurança
local usando um serviço como ohttp://checkip.amazonaws.com ouo https://checkip.amazonaws.com.Se estiver conectado por meio deum ISP ou atrás de um firewall semum endereço IP estático, localize ointervalo de endereços IP usado porcomputadores cliente.
Intervalo de endereço IPv4público da sua rede
TCP 3389 (Instâncias Windows) Permite acessoRDP de entrada de sua rede porIPv4.
O ID do security group (sg-xxxxxxxx)
Tudo Tudo (Opcional) Permite tráfego deentrada de outras instânciasassociado a este security group.Esta regra é, automaticamente,adicionada ao security group padrãopara a VPC;. Para qualquer securitygroup personalizado que você criar,será preciso adicionar, manualmente,a regra que permite este tipo decomunicação.
Saída (Opcional)
Destino Protocolo Intervalo deportas
Comentários
0.0.0.0/0 Tudo Tudo Regra padrão para permitir todoacesso de saída a qualquerendereço IPv4. Se desejar que oservidor da web inicie o tráfego desaída, por exemplo, para adquiriratualizações de software, é possívelmanter a regra de saída padrão.Caso contrário, você não poderáremover essa regra.
Segurança para IPv6Se você associar um bloco CIDR IPv6 à sua VPC e à sub-rede, deverá adicionar regras distintas para seusecurity group, a fim de controlar o tráfego IPv6 de entrada e saída da instância do servidor da web. Nestecenário, o servidor da web será capaz de receber todo o tráfego da Internet por IPv6 e tráfego RDP ouSSH da sua rede local por IPv6.
A seguir encontram-se regras específicas do IPv6 ao security group WebServerSG (que são umcomplemento às regras listadas anteriormente).
Entrada
Origem Protocolo Intervalo deportas
Comentários
::/0 TCP 80 Permite acesso HTTP de entradapara servidores web de qualquerendereço IPv6.
28
Amazon Virtual Private Cloud Guia do usuárioImplementação do cenário 1
::/0 TCP 443 Permite acesso HTTPS de entradapara servidores web de qualquerendereço IPv6.
Intervalo de endereços IPv6 desua rede
TCP 22 (Instâncias Linux) Permite acessoSSH de entrada de sua rede porIPv6.
Intervalo de endereços IPv6 desua rede
TCP 3389 (Instâncias Windows) Permite acessoRDP de entrada de sua rede porIPv6
Saída (Opcional)
Destino Protocolo Intervalo deportas
Comentários
::/0 Tudo Tudo Regra padrão para permitir todoacesso de saída a qualquerendereço IPv6. Se desejar que oservidor da web inicie o tráfego desaída, por exemplo, para adquiriratualizações de software, é possívelmanter a regra de saída padrão.Caso contrário, você não poderáremover essa regra.
Implementação do cenário 1Para implementar o cenário 1, crie uma VPC usando o assistente de VPC, crie e configure o security groupWebServerSG e inicie uma instância na sua VPC.
Esses procedimentos incluem etapas opcionais para ativar e configurar a comunicação IPv6 para suaVPC. Você não precisa executar essas etapas se não desejar usar IPv6 em sua VPC.
Para criar uma VPC
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel, selecione Launch VPC Wizard (Iniciar assistente da VPC).
3. Escolha a primeira opção, VPC com uma única sub-rede pública e clique em Selecionar.4. (Opcional) Você pode nomear sua VPC e sub-rede para ajudá-lo a identificá-las posteriormente no
console. Você pode especificar seus próprios intervalos de bloco CIDR IPv4 para a VPC e sub-rede oupode manter os valores padrão (10.0.0.0/16 e 10.0.0.0/24, respectivamente).
5. (Opcional, somente IPv6) Em IPv6 CIDR block, escolha Amazon-provided IPv6 CIDR block. EmPublic subnet's IPv6 CIDR (IPv6 CIDR da sub-rede pública), escolha Specify a custom IPv6 CIDR(Especificar um IPv6 CIDR padrão) e especifique o valor do par hexadecimal para sua sub-rede oumantenha o valor padrão (00).
6. Mantenha o restante das configurações padrão e escolha Create VPC (Criar VPC).
Para criar o security group WebServerSG
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Security Groups (Grupos de segurança).
29
Amazon Virtual Private Cloud Guia do usuárioImplementação do cenário 1
3. Escolha Create Security Group.4. Forneça um nome e uma descrição para o security group. Neste tópico, o nome WebServerSG é
usado como um exemplo. Selecione o ID de sua VPC no menu VPC e escolha Yes, Create.5. Selecione o security group WebServerSG que você acabou de criar. O painel de detalhes inclui uma
guia de informações sobre o security group, além de guias para trabalhar com as regras de entrada ede saída do grupo.
6. Na tabela Inbound Rules, escolha Edit e faça o seguinte:
• Selecione HTTP da lista Type (Tipo) e insira 0.0.0.0/0 no campo Source (Origem).• Escolha Add another rule, selecione HTTPS da lista Tipo e insira 0.0.0.0/0 no campo Source.• Escolha Add another rule, selecione SSH (para Linux) ou RDP (para Windows) na lista Tipo. Insira
o intervalo de endereços IP públicos da sua rede no campo Source (Origem). (Se não souber esteintervalo de endereço, poderá usar 0.0.0.0/0 para testes, em produção, autorize somente umendereço IP específico ou intervalo de endereços para acessar sua instância.)
• (Opcional) Escolha Add another rule e selecione ALL traffic na lista Tipo. No campo Source, digite oID do security group WebServerSG.
• (Opcional, somente IPv6) Escolha Add another rule, selecione HTTP na lista Tipo e digite ::/0 nocampo Source.
• (Opcional, somente IPv6) Escolha Add another rule, selecione HTTPS na lista Tipo e digite ::/0 nocampo Source.
• (Opcional, somente IPv6) Escolha Add another rule, selecione SSH (para Linux) ou RDP (paraWindows) na lista Tipo. Insira o intervalo de endereço IPv6 da sua rede no campo Source. (Se nãosouber este intervalo de endereço, poderá usar ::/0 para testes, em produção, autorize somenteum endereço IPv6 específico ou intervalo de endereços para acessar sua instância.)
7. Escolha Salvar.8. (Opcional) Na guia Outbound Rules, escolha Edit. Localize a regra padrão que permite todo o tráfego
de saída, escolha Remover e Save.
Para iniciar uma instância na VPC
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel, escolha Launch Instance.3. Siga as orientações no assistente. Escolha uma AMI, um tipo de instância e Next: Configure Instance
Details.
Note
Se tiver intenção de usar sua instância para comunicação IPv6, deverá escolher um tipode instância compatível; por exemplo, T2. Para obter mais informações, consulte Tipos deinstâncias do Amazon EC2.
4. Na página Configure Instance Details, selecione a VPC que você criou na etapa 1 da lista Rede eespecifique uma sub-rede.
5. (Opcional) Por padrão, não se atribui um endereço IPv4 público a instâncias executadas em uma VPCnão padrão. Para se conectar à sua instância, atribua um endereço IPv4 público agora ou aloque umendereço IP elástico e atribua-o à sua instância depois que for iniciado. Para atribuir um endereçoIPv4 público, selecione Enable na lista Auto-assign Public IP.
Note
Você só pode usar o recurso de atribuição automática de IP público para uma única interfacede rede nova com o índice de dispositivo de eth0. Para obter mais informações, consulteAtribuição de um endereço de público IPv4 durante a inicialização de instância (p. 113).
6. (Opcional, somente IPv6) Você pode atribuir automaticamente um endereço IPv6 à sua instância nointervalo da sub-rede. Em Auto-assign IPv6 IP, escolha Habilitar.
30
Amazon Virtual Private Cloud Guia do usuárioCenário 2: VPC com sub-redes pública e privada (NAT)
7. Nas duas páginas seguintes do assistente, você pode configurar o armazenamento para sua instânciae adicionar tags. Na página Configure Security Group, selecione a opção Select an existing securitygroup e o security group WebServerSG que você criou na etapa 2. Escolha Review and Launch.
8. Revise as configurações que você escolheu. Faça qualquer alteração que precisar e escolha Launchpara escolher um par de chaves e iniciar sua instância.
9. Se você não atribuiu um endereço IPv4 público à sua instância na etapa 5, não será possívelconectar-se a ela por IPv4. Atribua um endereço Elastic IP à instância:
a. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.b. No painel de navegação, escolha Elastic IPs.c. Escolha Allocate new address.d. Escolha Allocate.
Note
Se sua conta for compatível com o EC2-Classic, escolha primeiro VPC.e. Selecione o endereço IP elástico na lista, escolha Ações e Associate address.f. Selecione a instância com a qual você deseja associar o endereço e escolha Associar.
Agora você pode conectar-se às suas instâncias na VPC. Para obter informações sobre como se conectara uma instância do Linux, consulte Conectar-se à sua instância do Linux no Guia do usuário do AmazonEC2 para instâncias do Linux. Para obter informações sobre como se conectar a uma instância doWindows, consulte Conectar-se à sua instância do Windows no Guia do usuário do Amazon EC2 parainstâncias do Windows.
Cenário 2: VPC com sub-redes pública e privada(NAT)
A configuração desse cenário inclui uma virtual private cloud (VPC) com uma sub-rede pública e umasub-rede privada. Recomendamos este cenário se você quiser executar um aplicativo web voltado para opúblico e ao mesmo tempo manter servidores back-end sem acesso público. Um exemplo comum é umsite de várias camadas, com servidores web em uma sub-rede pública e servidores de banco de dadosem uma sub-rede privada. Você pode configurar segurança e roteamento para que os servidores webcomuniquem-se com os servidores de banco de dados.
As instâncias na sub-rede pública podem enviar tráfego de saída diretamente para a Internet, ao passoque as instâncias na sub-rede privada não podem. Em vez disso, as instâncias da sub-rede privada podemacessar a Internet usando um gateway de conversão de endereços de rede (NAT) que resida na sub-redepública. Os servidores de banco de dados podem se conectar à Internet para atualizações de softwareusando gateway NAT, mas a Internet não pode estabelecer conexões com os servidores de banco dedados.
Note
Além disso, você pode usar o assistente de VPC para configurar uma VPC com uma instânciaNAT; porém, é recomendável usar um gateway NAT. Para obter mais informações, consulte NATGateways (p. 228).
Além disso, este cenário pode ser opcionalmente configurado para IPv6 — você pode usar o assistentede VPC para criar uma VPC e sub-redes com blocos CIDR IPv6 associados. as instâncias executadas emsub-redes podem receber endereços IPv6 e se comunicar usando IPv6. As instâncias na sub-rede privadapodem usar um Internet Gateway apenas de saída para se conectar à Internet por IPv6, mas a Internetnão pode estabelecer conexões com as instâncias privadas por IPv6. Para obter mais informações sobreendereçamento IPv4 e IPv6, consulte Endereçamento IP na sua VPC (p. 109).
31
Amazon Virtual Private Cloud Guia do usuárioVisão geral
Tópicos• Visão geral (p. 32)• Roteamento (p. 34)• Segurança (p. 36)• Implementação do cenário 2 (p. 39)• Implementação do cenário 2 com uma instância NAT (p. 42)
Visão geralO diagrama a seguir mostra os principais componentes da configuração deste cenário.
A configuração deste cenário inclui o seguinte:
• VPC com bloco CIDR IPv4 tamanho /16 (exemplo: 10.0.0.0/16). Nesse caso, são fornecidos 65.536endereços IPv4.
• Sub-rede pública com bloco CIDR IPv4 tamanho /24 (exemplo: 10.0.0.0/24). Nesse caso, são fornecidos256 endereços IPv4. Sub-rede pública é uma sub-rede associada a uma tabela de rotas que contémuma rota para um Internet Gateway.
• Sub-rede privada com bloco CIDR IPv4 tamanho /24 (exemplo: 10.0.1.0/24). Nesse caso, são fornecidos256 endereços IPv4.
• Um Internet Gateway. Desse modo a VPC é conectada à Internet e a outros serviços da AWS.• Instâncias com endereços IPv4 privados no intervalo da sub-rede (exemplos: 10.0.0.5, 10.0.1.5). Isso
permite que elas se comuniquem entre si e com outras instâncias na VPC.
32
Amazon Virtual Private Cloud Guia do usuárioVisão geral
• Instâncias na sub-rede pública com endereços IPv4 elásticos (exemplo: 198.51.100.1), os quais sãoendereços IPv4 públicos que permitem que elas sejam acessadas pela Internet. Instâncias que têmendereços IP públicos atribuídos na execução, em vez de endereços IP elásticos. As instâncias na sub-rede privada são servidores back-end que não precisam aceitar tráfego de entrada da Internet e porisso não têm endereços IP públicos; entretanto, elas podem enviar solicitações para a Internet usando ogateway NAT (consulte o próximo item).
• Gateway NAT com seu próprio endereço IPv4 elástico. As instâncias na sub-rede privada podem enviarsolicitações para a Internet por meio do gateway NAT sobre IPv4 (por exemplo, para atualizações desoftware).
• Uma tabela de rotas personalizada associada à sub-rede pública. Essa tabela de rotas contém umaentrada que permite que as instâncias da sub-rede comuniquem-se com outras instâncias na VPC porIPv4 e uma entrada que permite que as instâncias da sub-rede comuniquem-se diretamente com aInternet por IPv4.
• Tabela de rotas principal associada à sub-rede privada. Essa tabela de rotas contém uma entrada quepermite que as instâncias da sub-rede comuniquem-se com outras instâncias na VPC por IPv4 e umaentrada que permite que as instâncias da sub-rede comuniquem-se diretamente com a Internet por meiodo gateway NAT e por IPv4.
Para obter mais informações sobre sub-redes, consulte VPCs e sub-redes (p. 81). Para obter maisinformações sobre Internet Gateways, consulte Gateways da internet (p. 219). Para obter maisinformações sobre gateways NAT;, consulte NAT Gateways (p. 228).
Visão geral de IPv6Opcionalmente, você pode ativar o IPv6 para este cenário. Além dos componentes listados anteriormente,a configuração inclui o seguinte:
• Um bloco CIDR IPv6 tamanho /56 associado à VPC (exemplo: 2001:db8:1234:1a00::/56). A Amazonatribui automaticamente o CIDR; você não pode escolher o intervalo.
• Um bloco CIDR IPv6 tamanho /64 associado a uma sub-rede pública (exemplo:2001:db8:1234:1a00::/64). Você pode escolher o intervalo para sua sub-rede com base no intervaloalocado à VPC. Você não pode escolher o tamanho do bloco CIDR IPv6 da VPC.
• Bloco CIDR IPv6 tamanho /64 associado a uma sub-rede privada (exemplo: 2001:db8:1234:1a01::/64).Você pode escolher o intervalo para sua sub-rede com base no intervalo alocado à VPC. Você não podeescolher o tamanho do bloco CIDR IPv6 da sub-rede.
• Endereços IPv6 atribuídos às instâncias no intervalo da sub-rede (exemplo: 2001:db8:1234:1a00::1a).• Um Internet Gateway apenas de saída. Possibilita que as instâncias na sub-rede privada enviem
solicitações para a Internet por IPv6 (por exemplo, para atualizações de software). Será necessário usarum Internet Gateway apenas de saída se desejar que as instâncias na sub-rede privada estabeleçamcomunicação com a Internet por IPv6. Para obter mais informações, consulte Gateways da Internetsomente de saída (p. 225).
• Entradas na tabela de rotas personalizada que permitem que as instâncias na sub-rede pública usemIPv6 para se comunicarem entre si e diretamente na Internet.
• Entradas de rotas na tabela de rotas principal que permite que as instâncias na sub-rede privada usemIPv6 para se comunicar entre si e para se comunicar com a Internet por meio de Internet Gatewayapenas de saída.
33
Amazon Virtual Private Cloud Guia do usuárioRoteamento
RoteamentoNeste cenário, o assistente de VPC atualiza a tabela de rotas principal usada na sub-rede privada e criauma tabela de rotas personalizada e a associa à sub-rede pública.
Neste cenário, todos os tráfegos provenientes de cada sub-rede vinculada à AWS (por exemplo, aosendpoints Amazon EC2 ou Amazon S3) passam pelo Internet Gateway. Os servidores de banco de dadosna sub-rede privada não podem receber tráfego diretamente da Internet porque eles não têm endereçosIP elásticos. Entretanto, os servidores de banco de dados podem enviar e receber tráfego da Internet pormeio do dispositivo NAT na sub-rede pública.
Quaisquer outras sub-redes que você criar usarão a tabela de rotas principal por padrão, o que significaque elas são sub-redes privadas por padrão. Quando desejar tornar uma sub-rede pública, sempre épossível alterar a tabela de rotas principal com a qual está associada.
As tabelas a seguir descrevem as tabelas de rotas para este cenário.
Tabela de rotas principalA primeira entrada é a padrão para roteamento local na VPC; essa entrada permite que as instâncias naVPC comuniquem-se entre si. A segunda entrada envia todos os outros tráfegos da sub-rede ao gatewayNAT (por exemplo, nat-12345678901234567).
34
Amazon Virtual Private Cloud Guia do usuárioRoteamento
Destino Destino
10.0.0.0/16 local
0.0.0.0/0 nat-gateway-id
Tabela de rotas personalizadaA primeira entrada é a padrão para um roteamento local na VPC; essa entrada permite que as instânciasna VPC comuniquem-se entre si. A segunda entrada roteia todos os outros tráfegos da sub-rede à Internetpor meio do Internet Gateway (por exemplo, igw-1a2b3d4d).
Destino Destino
10.0.0.0/16 local
0.0.0.0/0 igw-id
Roteamento para o IPv6Se você associar um bloco CIDR IPv6 à sua VPC e às sub-redes, a tabela de rotas deverá incluir rotasdistintas para tráfego IPv6. As tabelas a seguir mostram a tabela de rotas personalizada para este cenário,se você escolher permitir comunicação IPv6 em sua VPC.
Tabela de rotas principal
A segunda entrada é a rota padrão adicionada automaticamente para roteamento local na VPC via IPv6. Aquarta entrada roteia todos os outros tráfegos IPv6 da sub-rede para o Internet Gateway apenas de saída.
Destino Destino
10.0.0.0/16 local
2001:db8:1234:1a00::/56 local
0.0.0.0/0 nat-gateway-id
::/0 egress-only-igw-id
Tabela de rotas personalizada
A segunda entrada é a rota padrão adicionada automaticamente para roteamento local na VPC via IPv6. Aquarta entrada roteia todos os outros tráfegos IPv6 da sub-rede para o Internet Gateway.
Destino Destino
10.0.0.0/16 local
2001:db8:1234:1a00::/56 local
0.0.0.0/0 igw-id
::/0 igw-id
35
Amazon Virtual Private Cloud Guia do usuárioSegurança
SegurançaA AWS fornece dois recursos que você pode usar para aumentar a segurança do VPC: security groupse Network ACL. Os security groups controlam o tráfego de entrada e de saída de suas instâncias e asNetwork ACL controlam o tráfego de entrada e de saída de suas sub-redes. Na maioria dos casos, ossecurity groups podem atender as suas necessidades; contudo, você também pode usar as Network ACLse desejar uma camada adicional de segurança para o seu VPC. Para obter mais informações, consulteSegurança (p. 130).
No cenário 2, você usará security groups, mas não Network ACLs. Se quiser usar uma Network ACL,consulte Regras recomendadas para o cenário 2 (p. 157).
Sua VPC é fornecida com um security group padrão (p. 133). Uma instância executada na VPC seráautomaticamente associada ao security group padrão se você não especificar um security group diferentedurante a execução. Para este cenário, é recomendável criar os security groups a seguir, em vez de usar osecurity group padrão:
• WebServerSG: especifique esse security group quando iniciar servidores web na sub-rede pública.• DBServerSG: especifique esse security group quando iniciar os servidores de banco de dados na sub-
rede privada.
As instâncias atribuídas a um security group podem estar em diferentes sub-redes. Entretanto, nestecenário, cada security group corresponde ao tipo de função que uma instância desempenha e cada funçãorequer que a instância esteja em uma sub-rede específica. Portanto, neste cenário, todas as instânciasatribuídas a um security group estão na mesma sub-rede.
A tabela a seguir descreve as regras recomendadas para o security group WebServerSG, que permitemque os servidores web recebam tráfego da Internet, bem como tráfego SSH e RDP de sua rede. Osservidores web podem também iniciar solicitações de leitura e gravação para os servidores de bancode dados na sub-rede privada e enviar tráfego para a Internet; por exemplo, para obter atualizações desoftware. Pelo fato de o servidor Web não iniciar nenhuma outra comunicação de saída, a regra de saídapadrão é removida.
Note
Essas recomendações incluem o acesso SSH e RDP e acesso do Microsoft SQL Server eMySQL. Na sua situação, talvez você precise apenas de regras para o Linux (SSH e MySQL) ouWindows (RDP e Microsoft SQL Server).
WebServerSG: regras recomendadas
Entrada
Origem Protocolo Intervalo deportas
Comentários
0.0.0.0/0 TCP 80 Permite acesso HTTP de entradapara servidores web de qualquerendereço IPv4.
0.0.0.0/0 TCP 443 Permite acesso HTTPS de entradapara servidores web de qualquerendereço IPv4.
Intervalo de endereços IPv4públicos de sua rede doméstica
TCP 22 Permite acesso SSH de entrada desua rede doméstica a instânciasLinux (por meio do InternetGateway). Você pode obter
36
Amazon Virtual Private Cloud Guia do usuárioSegurança
o endereço IPv4 público deseu computador local usandoum serviço como o http://checkip.amazonaws.com ou ohttps://checkip.amazonaws.com.Se estiver conectado por meio deum ISP ou atrás de um firewall semum endereço IP estático, localize ointervalo de endereços IP usado porcomputadores cliente.
Intervalo de endereços IPv4públicos de sua rede doméstica
TCP 3389 Permite acesso RDP de entradade sua rede doméstica a instânciasWindows (por meio do InternetGateway).
Saída
Destino Protocolo Intervalo deportas
Comentários
ID do security groupDBServerSG
TCP 1433 Permite acesso de saída doMicrosoft SQL Server aos servidoresde banco de dados atribuídos aosecurity group DBServerSG.
ID do security groupDBServerSG
TCP 3306 Permite acesso de saída doMySQL aos servidores de banco dedados atribuídos ao security groupDBServerSG.
0.0.0.0/0 TCP 80 Permite acesso HTTP de saída aqualquer endereço IPv4.
0.0.0.0/0 TCP 443 Permite acesso HTTPS de saída aqualquer endereço IPv4.
A tabela a seguir descreve as regras recomendadas para o security group DBServerSG, que permitemsolicitações de leitura e gravação ao banco de dados nos servidores web. Os servidores de banco dedados podem também iniciar tráfego destinado à Internet (a tabela de rotas envia o tráfego ao gatewayNAT, que o encaminha à Internet por meio do Internet Gateway).
DBServerSG: regras recomendadas
Entrada
Origem Protocolo Intervalo deportas
Comentários
ID do security groupWebServerSG
TCP 1433 Permite acesso de entrada aoMicrosoft SQL Server de servidoresweb associados ao security groupWebServerSG.
ID do security groupWebServerSG
TCP 3306 Permite acesso de entrada aoMySQL Server de servidores webassociados ao security groupWebServerSG.
37
Amazon Virtual Private Cloud Guia do usuárioSegurança
Saída
Destino Protocolo Intervalo deportas
Comentários
0.0.0.0/0 TCP 80 Permite acesso HTTP de saída àInternet por IPv4 (por exemplo, paraatualizações de software).
0.0.0.0/0 TCP 443 Permite acesso HTTPS de saída àInternet por IPv4 (por exemplo, paraatualizações de software).
(Opcional) O security group padrão para uma VPC tem regras que permite automaticamente que asinstâncias atribuídas comuniquem-se entre si. Para permitir esse tipo de comunicação a um security grouppersonalizado, é necessário adicionar as regras a seguir:
Entrada
Origem Protocolo Intervalo deportas
Comentários
ID do security group Tudo Tudo (Opcional) Permite tráfego deentrada de outras instânciasatribuídas para esse security group.
Saída
Destino Protocolo Intervalo deportas
Comentários
ID do security group Tudo Tudo Permite tráfego de saída a outrasinstâncias atribuídas para essesecurity group.
(Opcional) Se você executar um bastion host na sub-rede pública para ser usado como proxy para tráfegoSSH ou RDP da rede doméstica à sub-rede privada, adicione uma regra ao security group DBServerSGque permita que o tráfego de entrada SSH ou RDP da instância do bastion ou do seu security groupassociado.
Segurança para IPv6Se você associar um bloco CIDR IPv6 à sua VPC e às sub-redes, deverá adicionar regras distintas aosseus security groups WebServerSG e DBServerSG a fim de controlar o tráfego IPv6 de entrada e saídade suas instâncias. Neste cenário, os servidores web poderão receber todo o tráfego da Internet por IPv6e tráfego RDP ou SSH de sua rede local por IPv6. Além disso, eles poderão iniciar tráfego IPv6 de saídapara a Internet. Os servidores de banco de dados podem iniciar tráfego IPv6 de saída para a Internet.
A seguir encontram-se regras específicas do IPv6 ao security group WebServerSG (que são umcomplemento às regras listadas anteriormente).
Entrada
Origem Protocolo Intervalo deportas
Comentários
38
Amazon Virtual Private Cloud Guia do usuárioImplementação do cenário 2
::/0 TCP 80 Permite acesso HTTP de entradapara servidores web de qualquerendereço IPv6.
::/0 TCP 443 Permite acesso HTTPS de entradapara servidores web de qualquerendereço IPv6.
Intervalo de endereços IPv6 desua rede
TCP 22 (Instâncias Linux) Permite acessoSSH de entrada de sua rede porIPv6.
Intervalo de endereços IPv6 desua rede
TCP 3389 (Instâncias Windows) Permite acessoRDP de entrada de sua rede porIPv6
Saída
Destino Protocolo Intervalo deportas
Comentários
::/0 TCP HTTP Permite acesso HTTP de saída aqualquer endereço IPv6.
::/0 TCP HTTPS Permite acesso HTTPS de saída aqualquer endereço IPv6.
A seguir encontram-se regras específicas do IPv6 ao security group DBServerSG (que são umcomplemento às regras listadas anteriormente).
Saída
Destino Protocolo Intervalo deportas
Comentários
::/0 TCP 80 Permite acesso HTTP de saída aqualquer endereço IPv6.
::/0 TCP 443 Permite acesso HTTPS de saída aqualquer endereço IPv6.
Implementação do cenário 2Você pode usar o assistente de VPC para criar a VPC, sub-redes, gateway NAT e, opcionalmente, umInternet Gateway apenas de saída. Você precisa especificar um endereço IP elástico para seu gatewayNAT; se não tiver um, primeiro deverá alocar um à sua conta. Se desejar usar um endereço IP elásticoexistente, verifique se no momento ele não está associado a outra instância ou interface de rede. Ogateway NAT é criado automaticamente na sub-rede pública de sua VPC.
Esses procedimentos incluem etapas opcionais para ativar e configurar a comunicação IPv6 para suaVPC. Você não precisa executar essas etapas se não desejar usar IPv6 em sua VPC.
(Opcional) Para alocar um endereço IP elástico ao gateway NAT (IPv4)
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Elastic IPs.
39
Amazon Virtual Private Cloud Guia do usuárioImplementação do cenário 2
3. Escolha Allocate new address.4. Escolha Allocate.
Note
Se sua conta for compatível com o EC2-Classic, escolha primeiro VPC.
Para criar uma VPC
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel da VPC, selecione Launch VPC Wizard (Iniciar assistente da VPC).
3. Escolha a segunda opção, VPC with Public and Private Subnets (VPC com sub-redes públicas eprivadas), e em seguida Select (Selecionar).
4. (Opcional) Você pode nomear sua VPC e suas sub-redes para ajudá-lo a identificá-las posteriormenteno console. Você pode especificar seu próprio intervalo de bloco CIDR IPv4 para a VPC e as sub-redes ou manter os valores padrão.
5. (Opcional, somente IPv6) Em IPv6 CIDR block, escolha Amazon-provided IPv6 CIDR block. EmPublic subnet's IPv6 CIDR (IPv6 CIDR da sub-rede pública), escolha Specify a custom IPv6 CIDR(Especificar um IPv6 CIDR padrão) e especifique o valor do par hexadecimal para sua sub-rede oumantenha o valor padrão. Em Private subnet's IPv6 CIDR, escolha Specify a custom IPv6 CIDR.Especifique o valor do par hexadecimal para a sub-rede IPv6 ou mantenha o valor padrão.
6. Na seção Specify the details of your NAT gateway, especifique o ID de alocação do endereço IPelástico em sua conta.
7. Você pode manter o restante dos valores padrão na página e escolher Create VPC (Criar VPC).
Como os security groups WebServerSG e DBServerSG referem-se mutuamente, crie todos os securitygroups necessários a este cenário antes de adicionar regras a eles.
Para criar os security groups WebServerSG e DBServerSG
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Security groups, Criar security group.3. Forneça um nome e uma descrição para o security group. Neste tópico, o nome WebServerSG é
usado como um exemplo. Em VPC, selecione o ID da VPC que você criou e escolha Yes, Create.4. Escolha Create Security Group novamente.5. Forneça um nome e uma descrição para o security group. Neste tópico, o nome DBServerSG é usado
como um exemplo. Em VPC, selecione o ID de sua VPC e escolha Yes, Create.
Para adicionar regras ao security group WebserverSG
1. Selecione o security group WebServerSG que você criou. O painel de detalhes exibe informaçõessobre security group, bem como guias para trabalhar com as respectivas regras de entrada e saída.
2. Na guia Inbound Rules, escolha Edit e adicione regras para tráfego de entrada da seguinte forma:
a. Escolha Type, HTTP. Em Source, insira 0.0.0.0/0.b. Escolha Add another rule, Type, HTTPS. Em Source, insira 0.0.0.0/0.c. Escolha Add another rule, Type, SSH. Em Source, insira o intervalo de endereços IPv4 públicos
de sua rede.d. Escolha Add another rule, Type, RDP. Em Source, insira o intervalo de endereços IPv4 públicos
de sua rede.e. (Opcional, somente IPv6) Escolha Add another rule, Type, HTTP. Em Source, insira ::/0.
40
Amazon Virtual Private Cloud Guia do usuárioImplementação do cenário 2
f. (Opcional, somente IPv6) Escolha Add another rule, Type, HTTPS. Em Source, insira ::/0.g. (Opcional, somente IPv6) Escolha Add another rule, Type, SSH (para Linux) ou RDP (para
Windows). Em Source, insira o intervalo de endereços IPv6 de sua rede.h. Escolha Salvar.
3. Na guia Outbound Rules, escolha Edit e adicione regras para tráfego de saída da seguinte forma:
a. Localize a regra padrão que permite todos os tráfegos de saída e escolha Remove.b. Escolha Type, MS SQL. Em Destination, especifique o ID do security group DBServerSG.c. Escolha Add another rule, Type, MySQL. Em Destination, especifique o ID do security group
DBServerSG.d. Escolha Add another rule, Type, HTTPS. Em Destination, insira 0.0.0.0/0.e. Escolha Add another rule, Type, HTTP. Em Destination, insira 0.0.0.0/0.f. (Opcional, somente IPv6) Escolha Add another rule, Type, HTTPS. Em Destination, insira ::/0.g. (Opcional, somente IPv6) Escolha Add another rule, Type, HTTP. Em Destination, insira ::/0.h. Escolha Salvar.
Para adicionar regras recomendadas ao security group DBServerSG
1. Selecione o security group DBServerSG que você criou. O painel de detalhes exibe informações sobresecurity group, bem como guias para trabalhar com as respectivas regras de entrada e saída.
2. Na guia Inbound Rules, escolha Edit e adicione regras para tráfego de entrada da seguinte forma:
a. Escolha Type, MS SQL. Em Source, especifique o ID de seu security group WebServerSG.b. Escolha Add another rule, Type, MYSQL. Em Source, especifique o ID de seu security group
WebServerSG.c. Escolha Salvar.
3. Na guia Outbound Rules, escolha Edit e adicione regras para tráfego de saída da seguinte forma:
a. Localize a regra padrão que permite todos os tráfegos de saída e escolha Remove.b. Escolha Type, HTTP. Em Destination, insira 0.0.0.0/0.c. Escolha Add another rule, Type, HTTPS. Em Destination, insira 0.0.0.0/0.d. (Opcional, somente IPv6) Escolha Add another rule, Type, HTTP. Em Destination, insira ::/0.e. (Opcional, somente IPv6) Escolha Add another rule, Type, HTTPS. Em Destination, insira ::/0.f. Escolha Salvar.
Agora você pode executar instâncias em sua VPC.
Para executar uma instância (servidor web ou servidor de banco de dados)
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel, escolha Launch Instance.3. Selecione um AMI e um tipo de instância e escolha Next: Configure Instance Details.
Note
Se tiver intenção de usar sua instância para comunicação IPv6, deverá escolher um tipode instância compatível; por exemplo, T2. Para obter mais informações, consulte Tipos deinstâncias do Amazon EC2.
4. Na página Configure Instance Details, em Network, selecione a VPC que você criou anteriormentee selecione uma sub-rede. Por exemplo, inicie um servidor web na sub-rede pública e o servidor debanco de dados na sub-rede privada.
41
Amazon Virtual Private Cloud Guia do usuárioImplementação do cenário 2 com uma instância NAT
5. (Opcional) Por padrão, não se atribui um endereço IPv4 público a instâncias executadas em uma VPCnão padrão. Para se conectar à sua instância na sub-rede pública, atribua um endereço IPv4 públicoagora ou aloque um endereço IP elástico e atribua-o à sua instância depois que ela for executada.Agora, para atribuir um endereço IPv4 público, escolha Enable na lista Auto-assign Public IP. Vocênão precisa atribuir um endereço IP público a uma instância na sub-rede privada.
Note
Você só pode usar o recurso de atribuição automática de IPv4 público para umaúnica interface de rede nova com o índice de dispositivo de eth0. Para obter maisinformações, consulte Atribuição de um endereço de público IPv4 durante a inicialização deinstância (p. 113).
6. (Opcional, somente IPv6) Você pode atribuir automaticamente um endereço IPv6 à sua instância nointervalo da sub-rede. Em Auto-assign IPv6 IP, escolha Habilitar.
7. Nas duas páginas seguintes do assistente, você pode configurar o armazenamento para sua instânciae adicionar tags. Na página Configure Security Group, escolha a opção Select an existing securitygroup e selecione um dos security groups que você criou anteriormente (WebServerSG para umservidor web ou DBServerSG para um servidor de banco de dados). Escolha Review and Launch.
8. Revise as configurações que você escolheu. Faça qualquer alteração que precisar e escolha Launchpara escolher um par de chaves e executar sua instância.
Se você não atribuiu um endereço IPv4 público à sua instância na sub-rede pública na etapa 5, não serápossível se conectar a ela. Para conseguir acessar uma instância em sua sub-rede pública, você precisaatribuir a ela um endereço IP elástico.
Para alocar um endereço IP elástico e atribuí-lo a uma instância (IPv4)
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Elastic IPs.3. Escolha Allocate new address.4. Escolha Allocate.
Note
Se sua conta comportar o EC2-Classic, primeiro escolha VPC.5. Selecione o endereço IP elástico na lista e escolha Actions, Associate address.6. Selecione a interface de rede ou a instância. Em Private IP, selecione o endereço correspondente
para associar com o endereço IP elástico e escolha Associate.
Agora você pode conectar-se às suas instâncias na VPC. Para obter informações sobre como se conectara uma instância do Linux, consulte Conectar-se à sua instância do Linux no Guia do usuário do AmazonEC2 para instâncias do Linux. Para obter informações sobre como se conectar a uma instância doWindows, consulte Conectar-se à sua instância do Windows no Guia do usuário do Amazon EC2 parainstâncias do Windows.
Implementação do cenário 2 com uma instância NATVocê pode implementar o cenário 2 usando uma instância NAT, em vez de um gateway NAT. Para obtermais informações sobre instância NAT, consulte Instâncias NAT (p. 245)).
Você pode seguir os mesmos procedimentos anteriores; porém, na seção NAT do assistente de VPC,escolha Use a NAT instance instead e especifique os detalhes de sua instância NAT. Você solicitarátambém um security group para sua instância NAT (NATSG), que permite que a instância NAT recebatráfego vinculado à Internet das instâncias na sub-rede privada, bem como tráfego SSH de sua rede. Como
42
Amazon Virtual Private Cloud Guia do usuárioImplementação do cenário 2 com uma instância NAT
a instância NAT pode também enviar tráfego à Internet, as instâncias na sub-rede privada podem obteratualizações de software.
Assim que criar a VPC com a instância NAT, você precisa alterar o security group associado com ainstância NAT para o novo security group NATSG (por padrão, a instância NAT é executada usando osecurity group padrão).
NATSG: regras recomendadas
Entrada
Origem Protocolo Intervalo deportas
Comentários
10.0.1.0/24 TCP 80 Permite tráfego HTTP de entrada dosservidores de bancos de dados queestão na sub-rede privada.
10.0.1.0/24 TCP 443 Permite tráfego HTTPS de entradados servidores de bancos de dadosque estão na sub-rede privada.
Intervalo de endereços IPpúblicos de sua rede
TCP 22 Permite acesso SSH de entrada desua rede à instância NAT (por meiodo Internet Gateway).
Saída
Destino Protocolo Intervalo deportas
Comentários
0.0.0.0/0 TCP 80 Permite acesso HTTP de entradaà Internet (por meio do InternetGateway).
0.0.0.0/0 TCP 443 Permite acesso HTTPS de entradaà Internet (por meio do InternetGateway).
Para criar um security group NATSG
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Security Groups, Create Security Group.3. Especifique um nome e uma descrição para o security group. Neste tópico, o nome NATSG é usado
como um exemplo. Em VPC, selecione o ID de sua VPC e escolha Yes, Create.4. Selecione o security group NATSG que você criou. O painel de detalhes exibe informações sobre
security group, bem como guias para trabalhar com as respectivas regras de entrada e saída.5. Na guia Inbound Rules, escolha Edit e adicione regras para tráfego de entrada da seguinte forma:
a. Escolha Type, HTTP. Em Source, insira o intervalo de endereços IP para sua sub-rede privada.b. Escolha Add another rule, Type, HTTPS. Em Source, insira o intervalo de endereços IP para sua
sub-rede privada.c. Escolha Add another rule, Type, SSH. Em Source, insira o intervalo de endereços IP públicos de
sua rede.d. Escolha Salvar.
6. Na guia Outbound Rules, escolha Edit e adicione regras para tráfego de saída da seguinte forma:
43
Amazon Virtual Private Cloud Guia do usuárioCenário 3: VPC com sub-redespúblicas e privadas e acesso à
a. Localize a regra padrão que permite todos os tráfegos de saída e escolha Remove.b. Escolha Type, HTTP. Em Destination, insira 0.0.0.0/0.c. Escolha Add another rule, Type, HTTPS. Em Destination, insira 0.0.0.0/0.d. Escolha Salvar.
Quando assistente de VPC iniciou a instância NAT, ele usou o security group padrão para a VPC. Em vezdisso, você deve associar a instância NAT ao security group NATSG.
Para alterar o security group da instância NAT
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, selecione Network Interfaces.3. Selecione a interface de rede para a instância NAT na lista e escolha Actions, Change Security
Groups.4. Na caixa de diálogo Change Security Groups, em Security groups, selecione o security group NATSG
que você criou (consulte Segurança (p. 36)) e escolha Save.
Cenário 3: VPC com sub-redes públicas e privadase acesso à
A configuração deste cenário inclui uma virtual private cloud (VPC) com uma sub-rede pública e uma sub-rede privada e um gateway privado virtual para permitir comunicação com sua rede em um túnel VPNIPsec. Recomendamos este cenário se você quiser expandir sua rede para a nuvem e também acessardiretamente a Internet em sua VPC. Este cenário permite que você execute um aplicativo multicamadascom um front-end da web dimensionável em uma sub-rede pública e armazene seus dados em uma sub-rede privada conectada à sua rede por meio de uma conexão do de IPsec.
Além disso, este cenário pode ser opcionalmente configurado para IPv6 — você pode usar o assistente deVPC para criar uma VPC e sub-redes com blocos CIDR IPv6 associados. As instâncias executadas nassub-redes podem receber endereços IPv6. No momento, não oferecemos suporte a comunicação via IPv6por meio de uma conexão do ; entretanto, as instâncias na VPC podem se comunicar entre si via IPv6 eas instâncias na sub-rede pública podem se comunicar na Internet via IPv6. Para obter mais informaçõessobre endereçamento IPv4 e IPv6, consulte Endereçamento IP na sua VPC (p. 109).
Tópicos• Visão geral (p. 44)• Roteamento (p. 47)• Segurança (p. 49)• Implementação do cenário 3 (p. 53)
Visão geralO diagrama a seguir mostra os principais componentes da configuração deste cenário.
44
Amazon Virtual Private Cloud Guia do usuárioVisão geral
Important
Para este cenário, o Guia de administrador de rede do Amazon VPC descreve o que oadministrador da rede precisa fazer para configurar o gateway de cliente do Amazon VPC no ladode sua conexão do .
A configuração deste cenário inclui o seguinte:
• Uma virtual private cloud (VPC) com CIDR IPv4 tamanho /16 (exemplo: 10.0.0.0/16). Nesse caso, sãofornecidos 65.536 endereços IPv4.
• Sub-rede pública com CIDR IPv4 tamanho /24 (exemplo: 10.0.0.0/24). Nesse caso, são fornecidos 256endereços IPv4. Sub-rede pública é uma sub-rede associada a uma tabela de rotas que contém umarota para um Internet Gateway.
• Sub-rede somente VPN com CIDR IPv4 tamanho /24 (exemplo: 10.0.1.0/24). Nesse caso, sãofornecidos 256 endereços IPv4.
• Um Internet Gateway. Desse modo a VPC é conectada à Internet e a outros produtos da AWS.• Uma conexão do entre sua VPC e sua rede. A conexão do compreende um gateway privado virtual
localizado na conexão do do lado da Amazon e um gateway de cliente localizado na conexão do de seulado.
• As instâncias com endereços IPv4 privados no intervalo da sub-rede (exemplos: 10.0.0.5 e 10.0.1.5).Isso permite que as instâncias se comuniquem entre si e com outras instâncias na VPC.
45
Amazon Virtual Private Cloud Guia do usuárioVisão geral
• Instâncias na sub-rede pública com endereços IP elásticos (exemplo: 198.51.100.1), os quais sãoendereços IPv4 públicos que permitem que elas sejam acessadas pela Internet. Instâncias que têmendereços IPv4 públicos atribuídos na execução, em vez de endereços IP elásticos. As instânciasna sub-rede somente VPN são servidores back-end que não precisam aceitar tráfego de entrada daInternet, mas podem enviar e receber tráfego de sua rede.
• Uma tabela de rotas personalizada associada à sub-rede pública. Essa tabela de rotas contém umaentrada que permite que as instâncias da sub-rede comuniquem-se com outras instâncias na VPC euma entrada que permite que as instâncias da sub-rede comuniquem-se diretamente com a Internet.
• Tabela de rotas principal associada à sub-rede somente VPN. A tabela de rotas contém uma entradaque permite que as instâncias da sub-rede comuniquem-se com outras instâncias na VPC e umaentrada que permite que as instâncias da sub-rede comuniquem-se diretamente com sua rede.
Para obter mais informações sobre sub-redes, consulte VPCs e sub-redes (p. 81) e EndereçamentoIP na sua VPC (p. 109). Para obter mais informações sobre gateways da Internet, consulte Gatewaysda internet (p. 219). Para obter mais informações sobre a conexão do , consulte O que é ? no Guia dousuário da . Para obter mais informações sobre como configurar um gateway de cliente, consulte Guia deadministrador de rede do Amazon VPC.
Visão geral de IPv6Opcionalmente, você pode ativar o IPv6 para este cenário. Além dos componentes listados anteriormente,a configuração inclui o seguinte:
• Um bloco CIDR IPv6 de tamanho /56 associado à VPC (exemplo: 2001:db8:1234:1a00::/56). AWS atribuiautomaticamente o CIDR; você mesmo não pode escolher o intervalo.
• Um bloco CIDR IPv6 tamanho /64 associado a uma sub-rede pública (exemplo:2001:db8:1234:1a00::/64). Você pode escolher o intervalo para sua sub-rede com base no intervaloalocado à VPC. Você não pode escolher o tamanho do CIDR IPv6.
• Um bloco CIDR IPv6 tamanho /64 associado a uma sub-rede somente VPN (exemplo:2001:db8:1234:1a01::/64). Você pode escolher o intervalo para sua sub-rede com base no intervaloalocado à VPC. Você não pode escolher o tamanho do CIDR IPv6.
• Endereços IPv6 atribuídos às instâncias no intervalo da sub-rede (exemplo: 2001:db8:1234:1a00::1a).• Entradas na tabela de rotas personalizada que permitem que as instâncias na sub-rede pública usem
IPv6 para se comunicarem entre si e diretamente na Internet.• Uma entrada da tabela de rotas principal que permite que as instâncias na sub-rede somente VPN usem
IPv6 para se comunicarem entre si.
46
Amazon Virtual Private Cloud Guia do usuárioRoteamento
RoteamentoSua VPC tem um router implícito (mostrado no diagrama de configuração deste cenário). Neste cenário, oassistente de VPC atualiza a tabela de rotas principal usada na sub-rede somente VPN e cria uma tabelade rotas personalizada e a associa à sub-rede pública.
As instâncias em sua sub-rede somente VPN não podem acessar a Internet diretamente; qualquer tráfegovinculado à Internet deve primeiro atravessar o gateway privado virtual até sua rede, onde o tráfego ficasujeito ao seu firewall e às políticas de segurança corporativas. Se as instâncias enviarem qualquer tráfegovinculado à AWS (por exemplo, solicitações para as APIs de Amazon S3 ou Amazon EC2), as solicitaçõesdeverão passar pelo gateway privado virtual até sua rede e depois sair para a Internet, antes de chegar àAWS. N doo momento, não oferecemos suporte ao IPv6 em conexões do .
47
Amazon Virtual Private Cloud Guia do usuárioRoteamento
Tip
E o tráfego que vem de sua rede e vai para uma instância na sub-rede pública por um endereçoIP elástico passa pela Internet, e não por um gateway privado virtual. Em vez disso, você poderiaconfigurar uma rota e regras de security group que permitam que o tráfego venha de sua rede porum gateway privado virtual em direção à sub-rede pública.
A conexão do é configurada como uma conexão do com roteamento estático ou com roteamento dinâmico(que usa BGP). Se você selecionar o roteamento estático, será solicitado a inserir manualmente o prefixoIP de sua rede ao criar a conexão do . Se você selecionar o roteamento dinâmico, o prefixo IP seráanunciado automaticamente para o gateway privado virtual da VPC que usa BGP.
As tabelas a seguir descrevem as tabelas de rotas para este cenário.
Tabela de rotas principalA primeira entrada é a padrão para roteamento local na VPC; essa entrada permite que as instâncias naVPC comuniquem-se entre si por IPv4. A segunda entrada faz o roteamento de todos os tráfegos IPv4 desub-rede provenientes da sub-rede privada e direcionados para sua rede por meio do gateway privadovirtual (por exemplo, vgw-1a2b3c4d).
Destino Destino
10.0.0.0/16 local
0.0.0.0/0 vgw-id
Tabela de rotas personalizadaA primeira entrada é a padrão para roteamento local na VPC; essa entrada permite que as instâncias naVPC comuniquem-se entre si. A segunda entrada faz o roteamento de todos os tráfegos IPv4 de sub-rede provenientes da sub-rede pública e direcionados para a Internet por meio do Internet Gateway (porexemplo, igw-1a2b3c4d).
Destino Destino
10.0.0.0/16 local
0.0.0.0/0 igw-id
Roteamento alternativoAlternativamente, se você desejar que as instâncias na sub-rede privada acessem a Internet, poderá criarum gateway de conversão de endereços de rede (NAT) ou uma instância na sub-rede pública e configuraro roteamento para que o tráfego vinculado à Internet e direcionado à sub-rede vá para o dispositivo NAT.Isso possibilita que as instâncias na sub-rede somente VPN enviem solicitações pelo Internet Gateway (porexemplo, para atualizações de software).
Para obter mais informações sobre configuração manual de um dispositivo NAT, consulte NAT (p. 228).Para obter mais informações sobre como usar o assistente de VPC para configurar um dispositivo NAT,consulte Cenário 2: VPC com sub-redes pública e privada (NAT) (p. 31).
Para permitir que o tráfego vinculado à Internet, proveniente da sub-rede privada, vá para o dispositivoNAT, é necessário atualizar a tabela de rotas principal tal como se segue.
48
Amazon Virtual Private Cloud Guia do usuárioSegurança
A primeira entrada é a padrão para roteamento local na VPC. A entrada da segunda linha destina-se aoroteamento do tráfego de sub-rede vinculado à rede do cliente (nesse caso, presume-se que o endereçoIP da rede local seja 172.16.0.0/12) para o gateway privado virtual. A terceira entrada envia todos osoutros tráfegos da sub-rede ao gateway NAT.
Destino Destino
10.0.0.0/16 local
172.16.0.0/12 vgw-id
0.0.0.0/0 nat-gateway-id
Roteamento para o IPv6Se você associar um bloco CIDR IPv6 à sua VPC e às sub-redes, a tabela de rotas deverá incluir rotasdistintas para tráfego IPv6. As tabelas a seguir mostram a tabela de rotas personalizada para este cenário,se você escolher permitir comunicação IPv6 em sua VPC.
Tabela de rotas principal
A segunda entrada é a rota padrão adicionada automaticamente para roteamento local na VPC via IPv6.
Destino Destino
10.0.0.0/16 local
2001:db8:1234:1a00::/56 local
0.0.0.0/0 vgw-id
Tabela de rotas personalizada
A segunda entrada é a rota padrão adicionada automaticamente para roteamento local na VPC via IPv6. Aquarta entrada roteia todos os outros tráfegos IPv6 da sub-rede para o Internet Gateway.
Destino Destino
10.0.0.0/16 local
2001:db8:1234:1a00::/56 local
0.0.0.0/0 igw-id
::/0 igw-id
SegurançaA AWS fornece dois recursos que você pode usar para aumentar a segurança do VPC: security groupse Network ACL. Os security groups controlam o tráfego de entrada e de saída de suas instâncias e asNetwork ACL controlam o tráfego de entrada e de saída de suas sub-redes. Na maioria dos casos, ossecurity groups podem atender as suas necessidades; contudo, você também pode usar as Network ACL
49
Amazon Virtual Private Cloud Guia do usuárioSegurança
se desejar uma camada adicional de segurança para o seu VPC. Para obter mais informações, consulteSegurança (p. 130).
No cenário 3, você usará security groups, mas não Network ACLs. Se quiser usar uma Network ACL,consulte Regras recomendadas para o cenário 3 (p. 165).
Sua VPC é fornecida com um security group padrão (p. 133). Uma instância executada na VPC seráautomaticamente associada ao security group padrão se você não especificar um security group diferentedurante a execução. Para este cenário, é recomendável criar os security groups a seguir, em vez de usar osecurity group padrão:
• WebServerSG: especifique esse security group quando iniciar servidores web na sub-rede pública.• DBServerSG: especifique esse security group quando iniciar servidores de banco de dados na sub-rede
somente VPN.
As instâncias atribuídas a um security group podem estar em diferentes sub-redes. Entretanto, nestecenário, cada security group corresponde ao tipo de função que uma instância desempenha e cada funçãorequer que a instância esteja em uma sub-rede específica. Portanto, neste cenário, todas as instânciasatribuídas a um security group estão na mesma sub-rede.
A tabela a seguir descreve as regras recomendadas para o security group WebServerSG, que permitemque os servidores web recebam tráfego da Internet, bem como tráfego SSH e RDP de sua rede. Osservidores web podem também iniciar solicitações de leitura e gravação para os servidores de banco dedados na sub-rede somente VPN e enviar tráfego para a Internet; por exemplo, para obter atualizações desoftware. Pelo fato de o servidor Web não iniciar nenhuma outra comunicação de saída, a regra de saídapadrão é removida.
Note
O grupo inclui acesso SSH e RDP e acesso do Microsoft SQL Server e MySQL. Na sua situação,talvez você precise apenas de regras para o Linux (SSH e MySQL) ou Windows (RDP e MicrosoftSQL Server).
WebServerSG: regras recomendadas
Entrada
Origem Protocolo Intervalo deportas
Comentários
0.0.0.0/0 TCP 80 Permite acesso HTTP de entradapara servidores web de qualquerendereço IPv4.
0.0.0.0/0 TCP 443 Permite acesso HTTPS de entradapara servidores web de qualquerendereço IPv4.
Intervalo de endereços IPpúblicos de sua rede
TCP 22 Permite acesso SSH de entrada desua rede a instâncias Linux (por meiodo Internet Gateway).
Intervalo de endereços IPpúblicos de sua rede
TCP 3389 Permite acesso RDP de entrada desua rede a instâncias Windows (pormeio do Internet Gateway).
Saída
ID do security groupDBServerSG
TCP 1433 Permite acesso de saída doMicrosoft SQL Server aos servidores
50
Amazon Virtual Private Cloud Guia do usuárioSegurança
de banco de dados atribuídos aoDBServerSG.
ID do security groupDBServerSG
TCP 3306 Permite acesso de saída do MySQLaos servidores de banco de dadosatribuídos ao DBServerSG.
0.0.0.0/0 TCP 80 Permite acesso HTTP de saída àInternet.
0.0.0.0/0 TCP 443 Permite acesso HTTPS de saída àInternet.
A tabela a seguir descreve as regras recomendadas para o security group DBServerSG, que permitem queo Microsoft SQL Server e MySQL leiam e gravem solicitações dos servidores web, bem como tráfego SSHe RDP de sua rede. Os servidores de banco de dados podem também iniciar tráfego vinculado à Internet(sua tabela de rotas envia esse tráfego pelo gateway privado virtual).
DBServerSG: regras recomendadas
Entrada
Origem Protocolo Intervalo deportas
Comentários
ID do security groupWebServerSG
TCP 1433 Permite acesso de entrada aoMicrosoft SQL Server de servidoresweb associados ao security groupWebServerSG.
ID do security groupWebServerSG
TCP 3306 Permite acesso de entrada aoMySQL Server de servidores webassociados ao security groupWebServerSG.
Intervalo de endereços IPv4 desua rede
TCP 22 Permite tráfego SSH de entrada desua rede para instâncias Linux (pormeio do gateway privado virtual).
Intervalo de endereços IPv4 desua rede
TCP 3389 Permite tráfego RDP de entrada desua rede para instâncias Windows(por meio do gateway privadovirtual).
Saída
Destino Protocolo Intervalo deportas
Comentários
0.0.0.0/0 TCP 80 Permite acesso HTTP IPv4 desaída à Internet (por exemplo, paraatualizações de software) por meiodo gateway privado virtual.
0.0.0.0/0 TCP 443 Permite acesso HTTPS IPv4 desaída à Internet (por exemplo, paraatualizações de software) por meiodo gateway privado virtual.
51
Amazon Virtual Private Cloud Guia do usuárioSegurança
(Opcional) O security group padrão para uma VPC tem regras que permite automaticamente que asinstâncias atribuídas comuniquem-se entre si. Para permitir esse tipo de comunicação a um security grouppersonalizado, é necessário adicionar as regras a seguir:
Entrada
Origem Protocolo Intervalo deportas
Comentários
ID do security group Tudo Tudo (Opcional) Permite tráfego deentrada de outras instânciasatribuídas para esse security group.
Saída
Destino Protocolo Intervalo deportas
Comentários
ID do security group Tudo Tudo Permite tráfego de saída a outrasinstâncias atribuídas para essesecurity group.
Segurança para IPv6Se você associar um bloco CIDR IPv6 à sua VPC e às sub-redes, deverá adicionar regras distintas aosseus security groups WebServerSG e DBServerSG a fim de controlar o tráfego IPv6 de entrada e saídade suas instâncias. Neste cenário, os servidores web poderão receber todo o tráfego da Internet por IPv6e tráfego RDP ou SSH de sua rede local por IPv6. Além disso, eles poderão iniciar tráfego IPv6 de saídapara a Internet. Os servidores de banco de dados não podem iniciar tráfego IPv6 de saída para a Internet.Por isso, eles não precisam de nenhuma outra regra de security group.
A seguir encontram-se regras específicas do IPv6 ao security group WebServerSG (que são umcomplemento às regras listadas anteriormente).
Entrada
Origem Protocolo Intervalo deportas
Comentários
::/0 TCP 80 Permite acesso HTTP de entradapara servidores web de qualquerendereço IPv6.
::/0 TCP 443 Permite acesso HTTPS de entradapara servidores web de qualquerendereço IPv6.
Intervalo de endereços IPv6 desua rede
TCP 22 (Instâncias Linux) Permite acessoSSH de entrada de sua rede porIPv6.
Intervalo de endereços IPv6 desua rede
TCP 3389 (Instâncias Windows) Permite acessoRDP de entrada de sua rede porIPv6
Saída
52
Amazon Virtual Private Cloud Guia do usuárioImplementação do cenário 3
Destino Protocolo Intervalo deportas
Comentários
::/0 TCP HTTP Permite acesso HTTP de saída aqualquer endereço IPv6.
::/0 TCP HTTPS Permite acesso HTTPS de saída aqualquer endereço IPv6.
Implementação do cenário 3Para implementar o cenário 3, obtenha informações sobre seu gateway de cliente e crie a VPC usando oassistente de VPC. O assistente de VPC cria uma conexão do para você com um gateway de cliente e umgateway privado virtual.
Esses procedimentos incluem etapas opcionais para ativar e configurar a comunicação IPv6 para suaVPC. Você não precisa executar essas etapas se não desejar usar IPv6 em sua VPC.
Para preparar o gateway do cliente
1. Determine que dispositivo você usará como gateway de cliente. Para obter mais informações sobreos dispositivos que já testamos, consulte Perguntas frequentes sobre a Amazon Virtual PrivateCloud. Para obter mais informações sobre os requisitos para o gateway de cliente, consulte Guia deadministrador de rede do Amazon VPC.
2. Obtenha o endereço IP roteável na Internet para a interface externa do gateway do cliente. Oendereço deve ser estático e pode estar subjacente a um dispositivo que esteja executandoconversão de endereços de rede (NAT).
3. Se você desejar criar uma conexão do com roteamento estático, obtenha a lista de intervalos de IPinternos (na notação CIDR) que devem ser anunciados na conexão do para o gateway privado virtual.Para obter mais informações, consulte Tabelas de rotas e prioridade de rotas da VPN no Guia dousuário da .
Para criar sua uma VPC usando o assistente
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel, selecione Launch VPC Wizard (Iniciar assistente da VPC).
3. Escolha a terceira opção, VPC with Public and Private Subnets and Hardware VPN Access (VPC comsub-redes públicas e privadas e acesso a VPN de hardware), e em seguida Select (Selecionar).
4. Na página VPC with Public and Private Subnets and Hardware VPN Access (VPC com sub-redespúblicas e privadas e acesso a VPN de hardware), faça o seguinte:
a. (Opcional) Altere os intervalos de bloco CIDR IPv4 para a VPC e a sub-rede conforme anecessidade ou mantenha os valores padrão.
b. (Opcional) Defina sua VPC e suas sub-redes. Isso ajuda a identificá-las posteriormente noconsole.
c. (Opcional, somente IPv6) Em IPv6 CIDR block, escolha Amazon-provided IPv6 CIDR block. EmPublic subnet's IPv6 CIDR (IPv6 CIDR da sub-rede pública), escolha Specify a custom IPv6 CIDR(Especificar um IPv6 CIDR padrão) e especifique o valor do par hexadecimal para sua sub-redeou mantenha o valor padrão. Em Private subnet's IPv6 CIDR, escolha Specify a custom IPv6CIDR. Especifique o valor do par hexadecimal para a sub-rede IPv6 ou mantenha o valor padrão.
d. Escolha Next.5. Na página Configure your VPN (Configurar sua VPN), faça o seguinte:
53
Amazon Virtual Private Cloud Guia do usuárioImplementação do cenário 3
a. Em Customer Gateway IP (IP do gateway do cliente), especifique o endereço IP público doroteador de sua VPN.
b. (Opcional) Nomeie o gateway do cliente e a conexão do .c. Em Routing Type (Tipo de roteamento), selecione uma das opções de roteamento. Para obter
mais informações, consulte Opções de roteamento da no Guia do usuário da .
• Se o router de sua VPN for compatível com o protocolo de gateway de borda (BGP), selecioneDynamic (requires BGP).
• Se o router de sua VPN não for compatível com BGP, escolha Static. Em IP Prefix (Prefixo doIP), adicione cada um dos intervalos de IP para sua rede na notação CIDR.
d. Escolha Create VPC6. Quando o assistente estiver concluído, selecione Connections (Conexões do ) no painel de
navegação. Selecione a conexão do que o assistente criou e escolha Download Configuration (Fazerdownload da configuração). Na caixa de diálogo, selecione o fornecedor do gateway do cliente, aplataforma e a versão do software e escolha Yes, Download.
7. Salve o arquivo de texto que contém a configuração da VPN e transfira-o para o administrador de redecom este guia: Guia de administrador de rede do Amazon VPC. A VPN não funcionará enquanto oadministrador da rede não configurar o gateway do cliente.
Crie os security groups WebServerSG e DBServerSG. Como esses security groups referem-semutuamente, você deve criá-los antes de adicionar regras a eles.
Para criar os security groups WebServerSG e DBServerSG
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Grupos de segurança.3. Escolha Create Security Group.4. Forneça um nome e uma descrição para o security group. Neste tópico, o nome WebServerSG é
usado como um exemplo. Selecione o ID de sua VPC na lista VPC e escolha Yes, Create (Sim, criar).5. Escolha Create Security Group novamente.6. Forneça um nome e uma descrição para o security group. Neste tópico, o nome DBServerSG é usado
como um exemplo. Selecione o ID de sua VPC na lista VPC e escolha Yes, Create (Sim, criar).
Para adicionar regras ao security group WebserverSG
1. Selecione o security group WebServerSG que você criou. O painel de detalhes exibe informaçõessobre security group, bem como guias para trabalhar com as respectivas regras de entrada e saída.
2. Na guia Inbound Rules, escolha Edit e adicione regras para tráfego de entrada da seguinte forma:
a. Selecione HTTP em Type (Tipo) e digite 0.0.0.0/0 em Source (Origem).b. Escolha Add another rule (Adicionar outra regra), selecione HTTPS em Type (Tipo) e digite
0.0.0.0/0 em Source (Origem).c. Escolha Add another rule (Adicionar outra regra) e selecione SSH em Type (Tipo). Digite o
intervalo de endereços IP público de sua rede em Source (Origem).d. Escolha Add another rule (Adicionar outra regra) e selecione RDP em Type (Tipo). Digite o
intervalo de endereços IP público de sua rede em Source (Origem).e. (Opcional, somente IPv6) Escolha Add another rule, Type, HTTP. Em Origem, digite ::/0.f. (Opcional, somente IPv6) Escolha Add another rule, Type, HTTPS. Em Origem, digite ::/0.g. (Opcional, somente IPv6) Escolha Add another rule, Type, SSH (para Linux) ou RDP (para
Windows). Em Source (Origem) digite o intervalo de endereços IPv6 de sua rede.
54
Amazon Virtual Private Cloud Guia do usuárioImplementação do cenário 3
h. Escolha Salvar.3. Na guia Outbound Rules, escolha Edit e adicione regras para tráfego de saída da seguinte forma:
a. Localize a regra padrão que permite todos os tráfegos de saída e escolha Remove.b. Selecione MS SQL em Type (Tipo). Em Destination (Destino), digite o ID do security group
DBServerSG.c. Escolha Add another rule (Adicionar outra regra) e selecione MySQL em Type (Tipo). Em
Destination, especifique o ID do security group DBServerSG.d. Escolha Add another rule (Adicionar outra regra) e selecione HTTPS em Type (Tipo). Em
Destination, digite 0.0.0.0/0.e. Escolha Add another rule (Adicionar outra regra) e selecione HTTP em Type (Tipo). Em
Destination, digite 0.0.0.0/0.f. Escolha Salvar.
Para adicionar regras recomendadas ao security group DBServerSG
1. Selecione o security group DBServerSG que você criou. O painel de detalhes exibe informações sobresecurity group, bem como guias para trabalhar com as respectivas regras de entrada e saída.
2. Na guia Inbound Rules, escolha Edit e adicione regras para tráfego de entrada da seguinte forma:
a. Selecione SSH em Type (Tipo) e digite o intervalo de endereços IP de sua rede em Source(Origem).
b. Escolha Add another rule, selecione RDP em Type e digite o intervalo de endereços IP de suarede em Source (Origem).
c. Escolha Add another rule (Adicionar outra regra) e selecione MS SQL em Type (Tipo). Digite o IDde seu security group WebServerSG em Source (Origem).
d. Escolha Add another rule (Adicionar outra regra) e selecione MYSQL em Type (Tipo). Digite o IDde seu security group WebServerSG em Source (Origem).
e. Escolha Salvar.3. Na guia Outbound Rules, escolha Edit e adicione regras para tráfego de saída da seguinte forma:
a. Localize a regra padrão que permite todos os tráfegos de saída e escolha Remove.b. Selecione HTTP em Type (Tipo). Em Destination, digite 0.0.0.0/0.c. Escolha Add another rule (Adicionar outra regra) e selecione HTTPS em Type (Tipo). Em
Destination, digite 0.0.0.0/0.d. Escolha Salvar.
Assim que o administrador da rede configurar o gateway do cliente, você poderá executar instâncias emsua VPC.
Para executar uma instância (servidor web ou servidor de banco de dados)
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. Escolha Launch Instance no painel.3. Siga as orientações no assistente. Escolha uma AMI, um tipo de instância e Next: Configure Instance
Details.
Note
Se tiver intenção de usar sua instância para comunicação IPv6, deverá escolher um tipode instância compatível; por exemplo, T2. Para obter mais informações, consulte Tipos deinstâncias do Amazon EC2.
55
Amazon Virtual Private Cloud Guia do usuárioImplementação do cenário 3
4. Na página Configure Instance Details (Configurar detalhes de instância), selecione a VPC que vocêcriou anteriormente em Network (Rede) e depois uma sub-rede. Por exemplo, inicie um servidor webna sub-rede pública e o servidor de banco de dados na sub-rede privada.
5. (Opcional) Por padrão, não se atribui um endereço IPv4 público a instâncias executadas em uma VPCnão padrão. Para se conectar à sua instância na sub-rede pública, atribua um endereço IPv4 públicoagora ou aloque um endereço IP elástico e atribua-o à sua instância depois que ela for executada.Para atribuir um endereço IP público, selecione Enable (Habilitar) em Auto-assign Public IP (Atribuir IPpúblico automaticamente). Você não precisa atribuir um endereço IP público a uma instância na sub-rede privada.
Note
Você só pode usar o recurso de atribuição automática de endereço IP público comuma única interface de rede nova com o índice de dispositivo eth0. Para obter maisinformações, consulte Atribuição de um endereço de público IPv4 durante a inicialização deinstância (p. 113).
6. (Opcional, somente IPv6) Você pode atribuir automaticamente um endereço IPv6 à sua instância nointervalo da sub-rede. Em Auto-assign IPv6 IP, escolha Habilitar.
7. Nas duas páginas seguintes do assistente, você pode configurar o armazenamento para sua instânciae adicionar tags. Na página Configure Security Group, selecione a opção Select an existing securitygroup e um dos security groups que você criou anteriormente (WebServerSG para uma instância doservidor web ou DBServerSG para uma instância do servidor de banco de dados). Escolha Reviewand Launch.
8. Revise as configurações que você escolheu. Faça qualquer alteração necessária e escolha Launch(Executar) para escolher um par de chaves e executar sua instância.
Para as instâncias em execução na sub-rede somente VPN, você pode testar a conectividade executandoping em sua rede. Para obter mais informações, consulte Como testar a conexão do .
Se você não atribuiu um endereço IPv4 público à sua instância na sub-rede pública na etapa 5, não serápossível se conectar a ela. Para conseguir acessar uma instância em sua sub-rede pública, você precisaatribuir a ela um endereço IP elástico.
Para alocar um endereço IP elástico e atribuí-lo a uma instância usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Elastic IPs.3. Escolha Allocate new address.4. Escolha Allocate.
Note
Se sua conta comportar o EC2-Classic, primeiro escolha VPC.5. Selecione o endereço IP elástico na lista e escolha Actions, Associate address.6. Selecione a interface de rede ou a instância. Selecione o endereço para associar com o endereço IP
elástico no Private IP (IP privado) correspondente e escolha Associate (Associar).
No cenário 3, você precisa de um servidor de DNS que permita que sua sub-rede pública comunique-se com servidores na Internet e de outro servidor de DNS que permite que sua sub-rede somente VPNcomunique-se com servidores em sua rede.
Sua VPC dispõe automaticamente de um conjunto de opções de DHCP com domain-name-servers=AmazonProvidedDNS. Esse é um servidor de DNS que a Amazon fornece para permitir quequalquer sub-rede pública em sua VPC comunique-se com a Internet por um Internet Gateway. Você deveprovidenciar seu próprio servidor de DNS e adicioná-lo à lista de servidores de DNS que sua VPC usa. Os
56
Amazon Virtual Private Cloud Guia do usuárioCenário 4: VPC com apenas uma
sub-rede privada e acesso à
conjuntos de opções de DHCP não são modificáveis. Por isso, você deve criar um conjunto de opções deDHCP que inclua seu servidor de DNS e o servidor de DNS da Amazon e atualizar a VPC para que useesse novo conjunto de opções de DHCP.
Para atualizar as opções de DHCP
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha DHCP Options Sets.3. Escolha Create DHCP Options set.4. Na caixa de diálogo Create DHCP options set (Criar conjuntos de opções DHCP), em Domain name
servers (Servidores de nome de domínio), especifique o endereço do servidor de DNS da Amazon(AmazonProvidedDNS) e o endereço de seu servidor de DNS (por exemplo, 192.0.2.1), separadopor vírgula, e escolha Yes, Create (Sim, criar).
5. No painel de navegação, escolha Your VPCs.6. Selecione a VPC e escolha Actions, Edit DHCP Options Set.7. Selecione o ID do novo conjunto de opções em DHCP options set (Conjunto de opções DHCP) e
escolha Save (Salvar).8. (Opcional) A VPC passa a usar esse novo conjunto de opções de DHCP e, portanto, tem acesso a
ambos os servidores de DNS. Se desejar, poderá excluir o conjunto de opções original que a VPCusou.
Agora você pode conectar-se às suas instâncias na VPC. Para obter informações sobre como se conectara uma instância do Linux, consulte Conectar-se à sua instância do Linux no Guia do usuário do AmazonEC2 para instâncias do Linux. Para obter informações sobre como se conectar a uma instância doWindows, consulte Conectar-se à sua instância do Windows no Guia do usuário do Amazon EC2 parainstâncias do Windows.
Cenário 4: VPC com apenas uma sub-rede privadae acesso à
A configuração deste cenário inclui uma virtual private cloud (VPC) com uma única sub-rede privada e umgateway privado virtual para permitir comunicação com sua rede em um túnel VPN IPsec. Não há nenhumInternet Gateway para permitir comunicação na Internet. Recomendamos este cenário se você quiserexpandir sua rede para a nuvem usando a infraestrutura da Amazon sem expor sua rede à Internet.
Além disso, este cenário pode ser opcionalmente configurado para IPv6 — você pode usar o assistente deVPC para criar uma VPC e uma sub-rede com blocos CIDR IPv6 associados. As instâncias executadas nasub-rede podem receber endereços IPv6. Atualmente, não oferecemos suporte à comunicação por IPv6em uma conexão do ; porém, as instâncias na VPC podem se comunicar entre si via IPv6. Para obter maisinformações sobre endereçamento IPv4 e IPv6, consulte Endereçamento IP na sua VPC (p. 109).
Tópicos• Visão geral (p. 57)• Roteamento (p. 59)• Segurança (p. 60)• Implementação do cenário 4 (p. 61)
Visão geralO diagrama a seguir mostra os principais componentes da configuração deste cenário.
57
Amazon Virtual Private Cloud Guia do usuárioVisão geral
Important
Para esse cenário, o Guia de administrador de rede do Amazon VPC descreve o que oadministrador da rede precisa fazer para configurar o gateway do cliente de Amazon VPC no seulado da conexão do .
A configuração deste cenário inclui o seguinte:
• Uma virtual private cloud (VPC) com CIDR tamanho /16 (exemplo: 10.0.0.0/16). Nesse caso, sãofornecidos 65.536 endereços IP privados.
• Sub-rede somente VPN com CIDR tamanho /24 (exemplo: 10.0.0.0/24). Nesse caso, são fornecidos 256endereços IP privados.
• Uma conexão do entre sua VPC e sua rede. A conexão do compreende um gateway privado virtuallocalizado na conexão do do lado da Amazon e um gateway de cliente localizado na conexão do de seulado.
• As instâncias com endereços IP privados no intervalo da sub-rede (exemplos: 10.0.0.5, 10.0.0.6 e10.0.0.7). Isso permite que as instâncias se comuniquem entre si e com outras instâncias na VPC.
• A tabela de rotas principal contém uma rota que permite que as instâncias na sub-rede se comuniquemcom outras instâncias na VPC. A propagação da rota está habilitada, portanto, uma rota que permite queas instâncias na sub-rede se comuniquem diretamente com sua rede aparece como uma rota propagadana tabela de rotas principal.
Para obter mais informações sobre sub-redes, consulte VPCs e sub-redes (p. 81) e Endereçamento IPna sua VPC (p. 109). Para obter mais informações sobre a conexão do , consulte O que é ? no Guia dousuário da . Para obter mais informações sobre como configurar um gateway de cliente, consulte Guia deadministrador de rede do Amazon VPC.
Visão geral de IPv6Opcionalmente, você pode ativar o IPv6 para este cenário. Além dos componentes listados anteriormente,a configuração inclui o seguinte:
• Um bloco CIDR IPv6 de tamanho /56 associado à VPC (exemplo: 2001:db8:1234:1a00::/56). AWS atribuiautomaticamente o CIDR; você mesmo não pode escolher o intervalo.
58
Amazon Virtual Private Cloud Guia do usuárioRoteamento
• Um bloco CIDR IPv6 tamanho /64 associado a uma sub-rede somente VPN (exemplo:2001:db8:1234:1a00::/64). Você pode escolher o intervalo para sua sub-rede com base no intervaloalocado à VPC. Você não pode escolher o tamanho do CIDR IPv6.
• Endereços IPv6 atribuídos às instâncias no intervalo da sub-rede (exemplo: 2001:db8:1234:1a00::1a).• Uma entrada da tabela de rotas principal que permite que as instâncias na sub-rede privada usem IPv6
para se comunicarem entre si.
RoteamentoSua VPC tem um router implícito (mostrado no diagrama de configuração deste cenário). Neste cenário, oassistente de VPC cria uma tabela de rotas que roteia todos os tráfegos destinados para um endereço forada VPC para a conexão do e associa a tabela de rotas à sub-rede.
A seguir é apresentada a tabela de rotas para esse cenário. A primeira entrada é a padrão para umroteamento local na VPC; essa entrada permite que as instâncias na VPC comuniquem-se entre si. Asegunda entrada roteia todos os outros tráfegos da sub-rede ao gateway privado virtual (por exemplo,vgw-1a2b3c4d).
Destino Destino
10.0.0.0/16 local
0.0.0.0/0 vgw-id
A conexão do é configurada como uma conexão do com roteamento estático ou com roteamento dinâmico(que usa BGP). Se você selecionar o roteamento estático, será solicitado a inserir manualmente oprefixo IP de sua rede ao criar a conexão do . Se você selecionar roteamento dinâmico, o prefixo IP seráanunciado automaticamente para sua VPC por meio do BGP.
As instâncias em sua VPC não podem acessar a Internet diretamente; qualquer tráfego vinculado àInternet deve primeiro atravessar o gateway privado virtual até sua rede, onde o tráfego fica sujeito ao seufirewall e às políticas de segurança corporativas. Se as instâncias enviarem qualquer tráfego vinculado àAWS (por exemplo, solicitações para Amazon S3 ou Amazon EC2), as solicitações deverão passar pelogateway privado virtual até sua rede e depois para a Internet, antes de chegar à AWS. N doo momento,não oferecemos suporte ao IPv6 em conexões do .
59
Amazon Virtual Private Cloud Guia do usuárioSegurança
Roteamento para o IPv6Se você associar um bloco CIDR IPv6 à sua VPC e às sub-redes, a tabela de rotas incluirá rotas distintaspara o tráfego IPv6. A seguir é apresentada a tabela de rotas personalizada para esse cenário. A segundaentrada é a rota padrão adicionada automaticamente para roteamento local na VPC via IPv6.
Destino Destino
10.0.0.0/16 local
2001:db8:1234:1a00::/56 local
0.0.0.0/0 vgw-id
SegurançaA AWS fornece dois recursos que você pode usar para aumentar a segurança do VPC: security groupse Network ACL. Os security groups controlam o tráfego de entrada e de saída de suas instâncias e asNetwork ACL controlam o tráfego de entrada e de saída de suas sub-redes. Na maioria dos casos, ossecurity groups podem atender as suas necessidades; contudo, você também pode usar as Network ACLse desejar uma camada adicional de segurança para o seu VPC. Para obter mais informações, consulteSegurança (p. 130).
No cenário 4, você usará o security group padrão para sua VPC, mas não para uma Network ACL. Sequiser usar uma Network ACL, consulte Regras recomendadas para o cenário 4 (p. 171).
Sua VPC vem com um security group padrão cujas configurações iniciais negam todos os tráfegos deentrada, permitem todos os tráfegos de saída e permitem todos os tráfegos entre as instâncias atribuídasao security group. Para esse cenário, é recomendável adicionar regras de entrada ao security grouppadrão para permitir trafego SSH (Linux) e tráfego Remote Desktop (Windows) de sua rede.
Important
O security group padrão automaticamente permite que as instâncias atribuídas comuniquem-se entre si. Portanto, você não precisa adicionar uma regra para isso. Se você usar um securitygroup diferente, deverá adicionar uma regra que dê essa permissão.
A tabela a seguir descreve as regras de entrada que você deve adicionar ao security group padrão de suaVPC.
Security Group padrão: regras recomendadas
Entrada
Origem Protocolo Intervalo deportas
Comentários
Intervalo de endereços IPv4privados de sua rede
TCP 22 (Instâncias Linux) Permite tráfegoSSH de entrada de sua rede.
Intervalo de endereços IPv4privados de sua rede
TCP 3389 (Instâncias Windows) Permite tráfegoRDP de entrada de sua rede.
Segurança para IPv6Se você associar um bloco CIDR IPv6 à sua VPC e às sub-redes, deverá adicionar regras distintas ao seusecurity group a fim de controlar o tráfego IPv6 de entrada e saída de suas instâncias. Nesse cenário, os
60
Amazon Virtual Private Cloud Guia do usuárioImplementação do cenário 4
servidores de banco de dados não podem ser acessados por meio da conexão do usando IPv6; por isso,não há necessidade de nenhuma regra adicional de grupo de segurança.
Implementação do cenário 4Para implementar o cenário 4, obtenha informações sobre seu gateway de cliente e crie uma VPC usandoo assistente. O assistente de VPC cria uma conexão do para você com um gateway do cliente e umgateway privado virtual.
Para preparar o gateway do cliente
1. Determine que dispositivo você usará como gateway de cliente. Para obter informações sobre osdispositivos que já testamos, consulte Perguntas frequentes sobre a Amazon Virtual Private Cloud.Para obter mais informações sobre os requisitos para o gateway de cliente, consulte o Guia deadministrador de rede do Amazon VPC.
2. Obtenha o endereço IP roteável na Internet para a interface externa do gateway do cliente. Oendereço deve ser estático e pode estar subjacente a um dispositivo que esteja executandoconversão de endereços de rede (NAT).
3. Se você desejar criar uma conexão do com roteamento estático, obtenha a lista de intervalos de IPinternos (na notação CIDR) que devem ser anunciados na conexão do para o gateway privado virtual.Para obter mais informações, consulte Opções de roteamento da no Guia do usuário da .
Use o assistente de VPC para criar sua VPC e uma conexão do .
Para criar sua uma VPC usando o assistente
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel, selecione Launch VPC Wizard (Iniciar assistente da VPC).
3. Escolha a quarta opção, VPC with a Private Subnet Only and Hardware VPN Access (VPC somentecom sub-rede privada e acesso a VPN de hardware), e Select (Selecionar).
4. Na página VPC with a Private Subnet Only and Hardware VPN Access (VPC somente com sub-redeprivada e acesso a VPN de hardware), faça o seguinte:
a. (Opcional) Altere os intervalos de bloco CIDR IPv4 para a VPC e sub-rede conforme anecessidade ou mantenha os valores padrão.
b. (Opcional) Defina sua VPC e sub-rede. Isso ajuda a identificá-las posteriormente no console.c. (Opcional, somente IPv6) Em IPv6 CIDR block, escolha Amazon-provided IPv6 CIDR block. Em
Private subnet's IPv6 CIDR, escolha Specify a custom IPv6 CIDR. Especifique o valor do parhexadecimal para a sub-rede IPv6 ou mantenha o valor padrão (00).
d. Escolha Next.5. Na página Configure your VPN (Configurar sua VPN), faça o seguinte:
a. Em Customer Gateway IP (IP do gateway do cliente), especifique o endereço IP público doroteador de sua VPN.
b. (Opcional) Nomeie o gateway do cliente e a conexão do .c. Em Routing Type (Tipo de roteamento), selecione uma das opções de roteamento. Para obter
mais informações, consulte Opções de roteamento da no Guia do usuário da .
• Se o router de sua VPN for compatível com o protocolo de gateway de borda (BGP), selecioneDynamic (requires BGP).
• Se o router de sua VPN não for compatível com BGP, escolha Static. Em IP Prefix (Prefixo doIP), adicione cada um dos intervalos de IP para sua rede, na notação CIDR.
61
Amazon Virtual Private Cloud Guia do usuárioImplementação do cenário 4
d. Escolha Criar VPC.6. Quando o assistente estiver concluído, selecione Connections (Conexões do ) no painel de
navegação. Selecione a conexão do que o assistente criou e escolha Download Configuration (Fazerdownload da configuração). Na caixa de diálogo, selecione o fornecedor do gateway do cliente, aplataforma e a versão do software e escolha Yes, Download.
7. Salve o arquivo de texto que contém a configuração da VPN e transfira-o para o administrador de redecom este guia: Guia de administrador de rede do Amazon VPC. A VPN não funcionará enquanto oadministrador da rede não configurar o gateway do cliente.
Para este cenário, você precisa atualizar o security group padrão com novas regras de entrada quepermitam acesso SSH e Remote Desktop (RDP) em sua rede. Se não desejar que as instâncias iniciemcomunicações de saída, é possível também remover a regra de saída padrão.
Para atualizar as regras do security group padrão
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. Escolha Security Groups no painel de navegação e selecione o security padrão para a VPC. O
painel de detalhes exibe informações sobre security group, bem como guias para trabalhar com asrespectivas regras de entrada e saída.
3. Na guia Inbound Rules, escolha Edit e adicione regras para tráfego de entrada da seguinte forma:
a. Selecione SSH em Type (Tipo) e digite o intervalo de endereços IP privados de sua rede emSource (Origem) (por exemplo, 172.0.0.0/8).
b. Escolha Add another rule (Adicionar outra regra), selecione RDP em Type (Tipo) e digite ointervalo de endereços IP privados de sua rede em Source (Origem).
c. Escolha Salvar.4. (Opcional) Na guia Outbound Rules, escolha Edit, localize a regra que permite todos os tráfegos de
saída, escolha Remove e escolha Save.
Assim que o administrador da rede configurar o gateway do cliente, você poderá executar instânciasem sua VPC. Se já estiver familiarizado com a execução de instâncias fora de uma VPC, você já temconhecimento da maior parte do que é necessário para executar uma instância em uma VPC.
Inicie uma instância
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. Escolha Launch Instance no painel.3. Siga as orientações no assistente. Escolha uma AMI, um tipo de instância e Next: Configure Instance
Details.
Note
Se tiver intenção de usar sua instância para comunicação IPv6, deverá escolher um tipode instância compatível; por exemplo, T2. Para obter mais informações, consulte Tipos deinstâncias do Amazon EC2.
4. Na página Configure Instance Details, selecione a VPC que você criou anteriormente na lista Networke selecione a sub-rede. Escolha Next: Add Storage.
5. Nas duas páginas seguintes do assistente, você pode configurar o armazenamento para sua instânciae adicionar tags. Na página Configure Security Group, selecione a opção Select an existing securitygroup e depois o security group padrão. Escolha Review and Launch.
6. Revise as configurações que você escolheu. Faça qualquer alteração que precisar e escolha Launchpara escolher um par de chaves e executar sua instância.
62
Amazon Virtual Private Cloud Guia do usuárioExemplo: criar uma VPC para IPv4
e sub-redes usando a AWS CLI
No cenário 4, você precisa de um servidor de DNS que permita que sua sub-rede somente VPNcomunique-se com os servidores em sua rede. Você precisa criar um novo conjunto de opções de DHCPque inclua seu servidor de DNS e depois configurar a VPC para usar esse conjunto de opções.
Note
Sua VPC dispõe automaticamente de um conjunto de opções de DHCP com domain-name-servers=AmazonProvidedDNS. Esse é um servidor de DNS que a Amazon fornece para permitirque qualquer sub-rede pública em sua VPC comunique-se com a Internet por um InternetGateway. O cenário 4 não tem nenhuma sub-rede pública. Por isso, você não precisa desseconjunto de opções de DHCP.
Para atualizar as opções de DHCP
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha DHCP Options Sets.3. Escolha Create DHCP Options Set.4. Na caixa de diálogo Create DHCP Options Set, na caixa Domain name servers, insira o endereço de
seu servidor de DNS e escolha Yes, Create. Nesse exemplo, seu servidor de DNS é 192.0.2.1.5. No painel de navegação, escolha Your VPCs.6. Selecione a VPC e escolha Edit na guia Summary.7. Selecione o ID do novo conjunto de opções na lista DHCP options set e escolha Save.8. (Opcional) A VPC passa a usar esse novo conjunto de opções de DHCP e, portanto, usa seu servidor
de DNS. Se desejar, poderá excluir o conjunto de opções original que a VPC usou.
Agora, você pode usar SSH ou RDP para se conectar à sua instância na VPC. Para obter informaçõessobre como se conectar a uma instância do Linux, consulte Conectar-se à sua instância do Linux no Guiado usuário do Amazon EC2 para instâncias do Linux. Para obter informações sobre como se conectara uma instância do Windows, consulte Conectar-se à sua instância do Windows no Guia do usuário doAmazon EC2 para instâncias do Windows.
Exemplo: criar uma VPC para IPv4 e sub-redesusando a AWS CLI
O exemplo a seguir usa comandos da AWS CLI para criar uma VPC não padrão com um bloco CIDR IPv4e uma sub-rede pública e uma sub-rede privada na VPC. Depois que criar a VPC e as sub-redes, vocêpode executar uma instância na sub-rede pública e conectar-se a ela. Para começar, você deve primeiroinstalar e configurar a AWS CLI. Para obter mais informações, consulte Configurar com a AWS CommandLine Interface.
Tarefas• Etapa 1: criar uma VPC e sub-redes (p. 63)• Etapa 2: torne pública a sua sub-rede (p. 64)• Etapa 3: executar uma instância em sua sub-rede (p. 66)• Etapa 4: Limpeza (p. 67)
Etapa 1: criar uma VPC e sub-redesA primeira etapa é criar uma VPC e duas sub-redes. Esse exemplo usa o bloco CIDR 10.0.0.0/16para a VPC, mas você pode escolher um bloco CIDR diferente. Para obter mais informações, consulteDimensionamento de VPC e sub-rede (p. 84).
63
Amazon Virtual Private Cloud Guia do usuárioEtapa 2: torne pública a sua sub-rede
Para criar uma VPC e sub-redes usando a AWS CLI
1. Crie uma VPC com um bloco CIDR 10.0.0.0/16.
aws ec2 create-vpc --cidr-block 10.0.0.0/16
Na saída retornada, anote o ID da VPC.
{ "Vpc": { "VpcId": "vpc-2f09a348", ... }}
2. Usando o ID da VPC da etapa anterior, crie uma sub-rede com um bloco CIDR 10.0.1.0/24.
aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.1.0/24
3. Crie uma segunda sub-rede na VPC com um bloco CIDR 10.0.0.0/24.
aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.0.0/24
Etapa 2: torne pública a sua sub-redeAssim que criar a VPC e as sub-redes, poderá tornar uma das sub-redes uma sub-rede pública, anexandoum gateway da Internet à sua VPC, criando uma tabela de rotas personalizada e configurando oroteamento da sub-rede para o Gateway da Internet.
Para tornar sua sub-rede uma sub-rede pública
1. Crie um Internet Gateway.
aws ec2 create-internet-gateway
Na saída retornada, anote o ID do Internet Gateway.
{ "InternetGateway": { ... "InternetGatewayId": "igw-1ff7a07b", ... }}
2. Usando o ID da etapa anterior, anexe o Internet Gateway à sua VPC.
aws ec2 attach-internet-gateway --vpc-id vpc-2f09a348 --internet-gateway-id igw-1ff7a07b
3. Crie uma tabela de rotas personalizada para sua VPC.
aws ec2 create-route-table --vpc-id vpc-2f09a348
Na saída retornada, anote o ID da tabela de rotas.
64
Amazon Virtual Private Cloud Guia do usuárioEtapa 2: torne pública a sua sub-rede
{ "RouteTable": { ... "RouteTableId": "rtb-c1c8faa6", ... }}
4. Crie uma rota na tabela de rotas que direcione todo o tráfego (0.0.0.0/0) para o Gateway daInternet.
aws ec2 create-route --route-table-id rtb-c1c8faa6 --destination-cidr-block 0.0.0.0/0 --gateway-id igw-1ff7a07b
5. Para confirmar se a rota foi criada e está ativa, você pode descrever a tabela de rotas e visualizar osresultados.
aws ec2 describe-route-tables --route-table-id rtb-c1c8faa6
{ "RouteTables": [ { "Associations": [], "RouteTableId": "rtb-c1c8faa6", "VpcId": "vpc-2f09a348", "PropagatingVgws": [], "Tags": [], "Routes": [ { "GatewayId": "local", "DestinationCidrBlock": "10.0.0.0/16", "State": "active", "Origin": "CreateRouteTable" }, { "GatewayId": "igw-1ff7a07b", "DestinationCidrBlock": "0.0.0.0/0", "State": "active", "Origin": "CreateRoute" } ] } ]}
6. No momento, a tabela de rotas não está associada a nenhuma sub-rede. É preciso associá-la a umasub-rede em sua VPC para que o tráfego dessa sub-rede seja roteado para o Gateway da Internet.Primeiro, use o comando describe-subnets para obter seus IDs de sub-rede. Você pode usar aopção --filter para retornar as sub-redes apenas para sua nova VPC e a opção --query pararetornar somente os IDs de sub-rede e seus respectivos blocos CIDR.
aws ec2 describe-subnets --filters "Name=vpc-id,Values=vpc-2f09a348" --query 'Subnets[*].{ID:SubnetId,CIDR:CidrBlock}'
[ { "CIDR": "10.0.1.0/24", "ID": "subnet-b46032ec" },
65
Amazon Virtual Private Cloud Guia do usuárioEtapa 3: executar uma instância em sua sub-rede
{ "CIDR": "10.0.0.0/24", "ID": "subnet-a46032fc" }]
7. Você pode escolher com qual sub-rede deseja associar a tabela de rotas personalizada; por exemplo,subnet-b46032ec. Essa sub-rede será sua sub-rede pública.
aws ec2 associate-route-table --subnet-id subnet-b46032ec --route-table-id rtb-c1c8faa6
8. Você pode, opcionalmente, modificar o comportamento do endereçamento IP público da sua sub-redepara que uma instância executada na sub-rede receba, automaticamente, um endereço IP público.Caso contrário, associe um endereço IP elástico à sua instância depois que for executada, para quefique acessível na Internet.
aws ec2 modify-subnet-attribute --subnet-id subnet-b46032ec --map-public-ip-on-launch
Etapa 3: executar uma instância em sua sub-redePara testar se sua sub-rede é pública e se as instâncias na sub-rede são acessíveis pela Internet, executeuma instância em sua sub-rede pública e conecte-se a ela. Primeiro, você precisa criar um security grouppara ser associado com sua instância e um par de chaves com o qual você se conectará à sua instância.Para obter mais informações sobre security groups, consulte Security groups para sua VPC (p. 131).Para obter mais informações sobre pares de chaves, consulte Pares de chaves do Amazon EC2 no Guiado usuário do Amazon EC2 para instâncias do Linux.
Para executar e conectar-se a uma instância em sua sub-rede pública
1. Crie um par de chaves e use a opção --query e a opção de texto --output para canalizar suachave privada diretamente em um arquivo com a extensão .pem.
aws ec2 create-key-pair --key-name MyKeyPair --query 'KeyMaterial' --output text > MyKeyPair.pem
Neste exemplo, você executa uma instância Amazon Linux. Se você usar um cliente SSH em umsistema operacional Linux ou Mac OS X para se conectar à sua instância, use o seguinte comandopara definir as permissões do arquivo de chave privada, de maneira que apenas você possa lê-lo.
chmod 400 MyKeyPair.pem
2. Crie um security group na sua VPC e adicione uma regra que permita o acesso SSH de qualquerlugar.
aws ec2 create-security-group --group-name SSHAccess --description "Security group for SSH access" --vpc-id vpc-2f09a348
{ "GroupId": "sg-e1fb8c9a"}
aws ec2 authorize-security-group-ingress --group-id sg-e1fb8c9a --protocol tcp --port 22 --cidr 0.0.0.0/0
66
Amazon Virtual Private Cloud Guia do usuárioEtapa 4: Limpeza
Note
Se usar 0.0.0.0/0, permitirá que todos os endereços IPv4 acessem sua instância usandoSSH. Isso é aceitável para esse breve exercício. Porém, na produção, autorize somente umendereço IP específico ou um intervalo de endereços.
3. Execute uma instância em sua sub-rede pública, usando o security group e o par de chaves que vocêcriou. Examine o resultado e anote o ID de sua instância.
aws ec2 run-instances --image-id ami-a4827dc9 --count 1 --instance-type t2.micro --key-name MyKeyPair --security-group-ids sg-e1fb8c9a --subnet-id subnet-b46032ec
Note
Nesse exemplo, a AMI é uma AMI Amazon Linux na região Leste dos EUA (Norte daVirgínia). Se estiver em uma região diferente, precisará do ID de uma AMI adequado à suaregião. Para obter mais informações, consulte Localizar AMI do Linux no Guia do usuário doAmazon EC2 para instâncias do Linux.
4. Sua instância precisa estar no estado running para você se conectar a ela. Descreva sua instância,confirme o estado dela e tome nota do respectivo endereço IP público.
aws ec2 describe-instances --instance-id i-0146854b7443af453
{ "Reservations": [ { ... "Instances": [ { ... "State": { "Code": 16, "Name": "running" }, ... "PublicIpAddress": "52.87.168.235", ... } ] } ]}
5. Quando sua instância estiver no estado de execução, você poderá conectar-se a ela usando umcliente SSH em um computador Linux ou Mac OS X por meio do seguinte comando:
ssh -i "MyKeyPair.pem" [email protected]
Se você estiver se conectando de um computador Windows, use as instruções a seguir: Connecting toYour Linux Instance from Windows Using PuTTY.
Etapa 4: LimpezaDepois de verificar se está conectado à sua instância, você poderá encerrá-la se não for mais necessária.Para isso, use o comando terminate-instances. Par excluir os outros recursos que você criou nesteexemplo, use os comandos a seguir na ordem em que são listados:
67
Amazon Virtual Private Cloud Guia do usuárioExemplo: criação de uma VPC para
IPv6 e de sub-redes usando a AWS CLI
1. Exclua seu security group:
aws ec2 delete-security-group --group-id sg-e1fb8c9a
2. Exclua suas sub-redes:
aws ec2 delete-subnet --subnet-id subnet-b46032ec
aws ec2 delete-subnet --subnet-id subnet-a46032fc
3. Exclua sua tabela de rotas personalizada:
aws ec2 delete-route-table --route-table-id rtb-c1c8faa6
4. Exclua o Internet Gateway da VPC:
aws ec2 detach-internet-gateway --internet-gateway-id igw-1ff7a07b --vpc-id vpc-2f09a348
5. Exclua seu Internet Gateway:
aws ec2 delete-internet-gateway --internet-gateway-id igw-1ff7a07b
6. Exclua sua VPC:
aws ec2 delete-vpc --vpc-id vpc-2f09a348
Exemplo: criação de uma VPC para IPv6 e de sub-redes usando a AWS CLI
O exemplo a seguir usa comandos da AWS CLI para criar uma VPC não padrão com um bloco CIDR IPv6,uma sub-rede pública e uma sub-rede privada com apenas acesso de saída à Internet. Depois que criara VPC e as sub-redes, você pode executar uma instância na sub-rede pública e conectar-se a ela. Vocêpode executar uma instância em sua sub-rede privada e verificar se ela consegue se conectar à Internet.Para começar, você deve primeiro instalar e configurar a AWS CLI. Para obter mais informações, consulteConfigurar com a AWS Command Line Interface.
Tarefas• Etapa 1: criar uma VPC e sub-redes (p. 68)• Etapa 2: configurar um sub-rede pública (p. 69)• Etapa 3: configurar uma sub-rede privada apenas de saída (p. 72)• Etapa 4: modificar o comportamento do endereçamento IPv6 das sub-redes (p. 72)• Etapa 5: executar uma instância em sua sub-rede pública (p. 73)• Etapa 6: executar uma instância em sua sub-rede privada (p. 74)• Etapa 7: Limpeza (p. 76)
Etapa 1: criar uma VPC e sub-redesA primeira etapa é criar uma VPC e duas sub-redes. Esse exemplo usa o bloco CIDR IPv4 10.0.0.0/16para a VPC, mas você pode escolher um bloco CIDR diferente. Para obter mais informações, consulteDimensionamento de VPC e sub-rede (p. 84).
68
Amazon Virtual Private Cloud Guia do usuárioEtapa 2: configurar um sub-rede pública
Para criar uma VPC e sub-redes usando a AWS CLI
1. Crie uma VPC com um bloco CIDR 10.0.0.0/16 e associe um bloco CIDR IPv6 à VPC.
aws ec2 create-vpc --cidr-block 10.0.0.0/16 --amazon-provided-ipv6-cidr-block
Na saída retornada, anote o ID da VPC.
{ "Vpc": { "VpcId": "vpc-2f09a348", ...}
2. Descreve sua VPC para obter o bloco CIDR IPv6 associado à VPC.
aws ec2 describe-vpcs --vpc-id vpc-2f09a348
{ "Vpcs": [ { ... "Ipv6CidrBlockAssociationSet": [ { "Ipv6CidrBlock": "2001:db8:1234:1a00::/56", "AssociationId": "vpc-cidr-assoc-17a5407e", "Ipv6CidrBlockState": { "State": "ASSOCIATED" } } ], ...}
3. Crie uma sub-rede com um bloco CIDR IPv4 10.0.0.0/24 e um bloco CIDR IPv62001:db8:1234:1a00::/64 (dos intervalos que foram retornados na etapa anterior).
aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.0.0/24 --ipv6-cidr-block 2001:db8:1234:1a00::/64
4. Crie uma segunda sub-rede em sua VPC com um bloco CIDR IPv4 10.0.1.0/24 e um bloco CIDRIPv6 2001:db8:1234:1a01::/64.
aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.1.0/24 --ipv6-cidr-block 2001:db8:1234:1a01::/64
Etapa 2: configurar um sub-rede públicaAssim que criar a VPC e as sub-redes, poderá tornar uma das sub-redes uma sub-rede pública anexandoum Internet Gateway à sua VPC, criando uma tabela de rotas personalizada e configurando o roteamentoda sub-rede para o Internet Gateway. Nesse exemplo, uma tabela de rotas é criada e faz o roteamento detodos os tráfegos IPv4 e IPv6 para um Internet Gateway.
Para tornar sua sub-rede uma sub-rede pública
1. Crie um Internet Gateway.
69
Amazon Virtual Private Cloud Guia do usuárioEtapa 2: configurar um sub-rede pública
aws ec2 create-internet-gateway
Na saída retornada, anote o ID do Internet Gateway.
{ "InternetGateway": { ... "InternetGatewayId": "igw-1ff7a07b", ... }}
2. Usando o ID da etapa anterior, anexe o Internet Gateway à sua VPC.
aws ec2 attach-internet-gateway --vpc-id vpc-2f09a348 --internet-gateway-id igw-1ff7a07b
3. Crie uma tabela de rotas personalizada para sua VPC.
aws ec2 create-route-table --vpc-id vpc-2f09a348
Na saída retornada, anote o ID da tabela de rotas.
{ "RouteTable": { ... "RouteTableId": "rtb-c1c8faa6", ... }}
4. Crie uma rota na tabela que direcione todo tráfego IPv6 (::/0) para o Internet Gateway.
aws ec2 create-route --route-table-id rtb-c1c8faa6 --destination-ipv6-cidr-block ::/0 --gateway-id igw-1ff7a07b
Note
Se tiver intenção de usar sua sub-rede público para tráfego IPv4 também, precisará adicionaroutra rota para o tráfego 0.0.0.0/0, direcionada para o Internet Gateway.
5. Para confirmar se a rota foi criada e está ativa, você pode descrever a tabela de rotas e visualizar osresultados.
aws ec2 describe-route-tables --route-table-id rtb-c1c8faa6
{ "RouteTables": [ { "Associations": [], "RouteTableId": "rtb-c1c8faa6", "VpcId": "vpc-2f09a348", "PropagatingVgws": [], "Tags": [], "Routes": [ { "GatewayId": "local",
70
Amazon Virtual Private Cloud Guia do usuárioEtapa 2: configurar um sub-rede pública
"DestinationCidrBlock": "10.0.0.0/16", "State": "active", "Origin": "CreateRouteTable" }, { "GatewayId": "local", "Origin": "CreateRouteTable", "State": "active", "DestinationIpv6CidrBlock": "2001:db8:1234:1a00::/56" }, { "GatewayId": "igw-1ff7a07b", "Origin": "CreateRoute", "State": "active", "DestinationIpv6CidrBlock": "::/0" } ] } ]}
6. No momento, a tabela de rotas não está associada a nenhuma sub-rede. Associe a tabela a uma sub-rede em sua VPC para que o tráfego dessa sub-rede seja roteado para o Internet Gateway. Primeiro,descreva suas sub-redes para obter as IDs. Você pode usar a opção --filter para retornar as sub-redes apenas para sua nova VPC e a opção --query para retornar somente as IDs de sub-rede e osrespectivos blocos CIDR IPv4 e IPv6.
aws ec2 describe-subnets --filters "Name=vpc-id,Values=vpc-2f09a348" --query 'Subnets[*].{ID:SubnetId,IPv4CIDR:CidrBlock,IPv6CIDR:Ipv6CidrBlockAssociationSet[*].Ipv6CidrBlock}'
[ { "IPv6CIDR": [ "2001:db8:1234:1a00::/64" ], "ID": "subnet-b46032ec", "IPv4CIDR": "10.0.0.0/24" }, { "IPv6CIDR": [ "2001:db8:1234:1a01::/64" ], "ID": "subnet-a46032fc", "IPv4CIDR": "10.0.1.0/24" }]
7. Você pode escolher com qual sub-rede deseja associar a tabela de rotas personalizada; por exemplo,subnet-b46032ec. Essa sub-rede será sua sub-rede pública.
aws ec2 associate-route-table --subnet-id subnet-b46032ec --route-table-id rtb-c1c8faa6
71
Amazon Virtual Private Cloud Guia do usuárioEtapa 3: configurar uma sub-rede privada apenas de saída
Etapa 3: configurar uma sub-rede privada apenas desaídaVocê pode configurar a segunda sub-rede em sua VPC para ser uma sub-rede privada IPv6 apenas desaída. as instâncias que são executadas nessa sub-rede podem acessar a Internet por IPv6 (por exemplo,para obter atualizações de software) por meio de um Internet Gateway apenas de saída, mas os hosts naInternet não podem acessar suas instâncias.
Para tornar sua sub-rede uma sub-rede privada apenas de saída
1. Crie um Internet Gateway apenas de saída para sua VPC. Na saída retornada, anote o ID do gateway.
aws ec2 create-egress-only-internet-gateway --vpc-id vpc-2f09a348
{ "EgressOnlyInternetGateway": { "EgressOnlyInternetGatewayId": "eigw-015e0e244e24dfe8a", "Attachments": [ { "State": "attached", "VpcId": "vpc-2f09a348" } ] }}
2. Crie uma tabela de rotas personalizada para sua VPC. Na saída retornada, anote o ID da tabela derotas.
aws ec2 create-route-table --vpc-id vpc-2f09a348
3. Crie uma rota na tabela que direcione todo tráfego IPv6 (::/0) para o Internet Gateway apenas desaída.
aws ec2 create-route --route-table-id rtb-abc123ab --destination-ipv6-cidr-block ::/0 --egress-only-internet-gateway-id eigw-015e0e244e24dfe8a
4. Associe a tabela de rotas à segunda sub-rede em sua VPC (você descreveu as sub-redes na seçãoanterior). Essa sub-rede será sua sub-rede privada com acesso IPv6 apenas de saída à Internet.
aws ec2 associate-route-table --subnet-id subnet-a46032fc --route-table-id rtb-abc123ab
Etapa 4: modificar o comportamento doendereçamento IPv6 das sub-redesVocê pode modificar o comportamento do endereçamento IP de suas sub-redes para que as instânciasexecutadas recebam endereços IPv6 automaticamente. Quando você executar uma instância na sub-rede,um único endereço IPv6 do intervalo da sub-rede será atribuído à interface de rede primárias (eth0) dainstância.
aws ec2 modify-subnet-attribute --subnet-id subnet-b46032ec --assign-ipv6-address-on-creation
72
Amazon Virtual Private Cloud Guia do usuárioEtapa 5: executar uma instância em sua sub-rede pública
aws ec2 modify-subnet-attribute --subnet-id subnet-a46032fc --assign-ipv6-address-on-creation
Etapa 5: executar uma instância em sua sub-redepúblicaPara testar se sua sub-rede pública é pública e se suas instâncias na sub-rede são acessíveis pelaInternet, execute uma instância em sua sub-rede pública e conecte-se a ela. Primeiro, você precisacriar um security group para ser associado com sua instância e um par de chaves com o qual você seconectará à sua instância. Para obter mais informações sobre security groups, consulte Security groupspara sua VPC (p. 131). Para obter mais informações sobre pares de chaves, consulte Pares de chavesdo Amazon EC2 no Guia do usuário do Amazon EC2 para instâncias do Linux.
Para executar e conectar-se a uma instância em sua sub-rede pública
1. Crie um par de chaves e use a opção --query e a opção de texto --output para canalizar suachave privada diretamente em um arquivo com a extensão .pem.
aws ec2 create-key-pair --key-name MyKeyPair --query 'KeyMaterial' --output text > MyKeyPair.pem
Nesse exemplo, execute uma instância Amazon Linux. Se você usar um cliente SSH em um sistemaoperacional Linux ou OS X para se conectar à sua instância, use o seguinte comando para definir aspermissões do arquivo de chave privada, de maneira que apenas você possa lê-lo.
chmod 400 MyKeyPair.pem
2. Crie um security group para sua VPC e adicione uma regra que permita que acesso SSH de qualquerendereço IPv6.
aws ec2 create-security-group --group-name SSHAccess --description "Security group for SSH access" --vpc-id vpc-2f09a348
{ "GroupId": "sg-e1fb8c9a"}
aws ec2 authorize-security-group-ingress --group-id sg-e1fb8c9a --ip-permissions '[{"IpProtocol": "tcp", "FromPort": 22, "ToPort": 22, "Ipv6Ranges": [{"CidrIpv6": "::/0"}]}]'
Note
Se usar ::/0, permitirá que todos os endereços IPv6 acessem sua instância usando SSH.Isso é aceitável para esse breve exercício. Porém, na produção, autorize somente umendereço IP específico ou um intervalo de endereços a acessar sua instância.
3. Execute uma instância em sua sub-rede pública, usando o security group e o par de chaves que vocêcriou. Examine o resultado e anote o ID de sua instância.
aws ec2 run-instances --image-id ami-a4827dc9 --count 1 --instance-type t2.micro --key-name MyKeyPair --security-group-ids sg-e1fb8c9a --subnet-id subnet-b46032ec
73
Amazon Virtual Private Cloud Guia do usuárioEtapa 6: executar uma instância em sua sub-rede privada
Note
Nesse exemplo, a AMI é uma AMI Amazon Linux na região Leste dos EUA (Norte daVirgínia). Se estiver em uma região diferentes, precisará do ID de uma AMI adequada à suaregião. Para obter mais informações, consulte Localizar AMI do Linux no Guia do usuário doAmazon EC2 para instâncias do Linux.
4. Sua instância precisa estar no estado running para você se conectar a ela. Descreve sua instância,confirme o estado dela e tome nota do respectivo endereço IPv6.
aws ec2 describe-instances --instance-id i-0146854b7443af453
{ "Reservations": [ { ... "Instances": [ { ... "State": { "Code": 16, "Name": "running" }, ... "NetworkInterfaces": { "Ipv6Addresses": { "Ipv6Address": "2001:db8:1234:1a00::123" } ... } ] } ]}
5. Quando sua instância se encontra no estado de execução, você pode conectar-se a ela usando umcliente SSH em um computador Linux ou OS X por meio do comando a seguir. Seu computador localprecisa estar configurado para um endereço IPv6.
ssh -i "MyKeyPair.pem" ec2-user@2001:db8:1234:1a00::123
Se você estiver se conectando um computador Windows, use as instruções a seguir: Conectar àinstância Linux no Windows utilizando PuTTY.
Etapa 6: executar uma instância em sua sub-redeprivadaPara testar se as instâncias em sua sub-rede privada apenas de saída conseguem acessar a Internet,execute uma instância em sua sub-rede privada e conecte-se a ela usando uma instância bastion em suasub-rede pública (você pode usar a instância que executou na seção anterior). Primeiro, você precisa criarum security group para a instância. O security group precisa ter uma regra que permita que sua instânciabastion conecte-se usando SSH e uma regra que permita que o comando ping6 (tráfego ICMPv6)verifique se a instância não pode ser acessada pela Internet.
1. Crie um security group em sua VPC e adicione uma regra que permita acesso SSH de entrada doendereço IPv6 da instância em sua sub-rede pública e uma regra que permita todo o tráfego ICMPv6:
74
Amazon Virtual Private Cloud Guia do usuárioEtapa 6: executar uma instância em sua sub-rede privada
aws ec2 create-security-group --group-name SSHAccessRestricted --description "Security group for SSH access from bastion" --vpc-id vpc-2f09a348
{ "GroupId": "sg-aabb1122"}
aws ec2 authorize-security-group-ingress --group-id sg-aabb1122 --ip-permissions '[{"IpProtocol": "tcp", "FromPort": 22, "ToPort": 22, "Ipv6Ranges": [{"CidrIpv6": "2001:db8:1234:1a00::123/128"}]}]'
aws ec2 authorize-security-group-ingress --group-id sg-aabb1122 --ip-permissions '[{"IpProtocol": "58", "FromPort": -1, "ToPort": -1, "Ipv6Ranges": [{"CidrIpv6": "::/0"}]}]'
2. Execute uma instância em sua sub-rede privada, usando o security group que você criou e o mesmopar de chaves usado para executar a instância na sub-rede pública.
aws ec2 run-instances --image-id ami-a4827dc9 --count 1 --instance-type t2.micro --key-name MyKeyPair --security-group-ids sg-aabb1122 --subnet-id subnet-a46032fc
Use o comando describe-instances para verificar se sua instância está em execução e paraobter o respectivo endereço IPv6.
3. Configure o encaminhamento de agente SSH em seu computador local e conecte-se à sua instânciana sub-rede pública. Para o Linux, use os comandos a seguir:
ssh-add MyKeyPair.pem
ssh -A ec2-user@2001:db8:1234:1a00::123
Para o OS X, use os comandos a seguir:
ssh-add -K MyKeyPair.pem
ssh -A ec2-user@2001:db8:1234:1a00::123
Para o Windows, use as instruções a seguir: Para configurar o encaminhamento de agente SSHpara Windows (PuTTY) (p. 234). Conecte-se à instância na sub-rede pública usando o respectivoendereço IPv6.
4. Em sua instância na sub-rede pública (a instância bastion), conecte-se à sua instância na sub-redeprivada usando o respectivo endereço IPv6:
ssh ec2-user@2001:db8:1234:1a01::456
5. Em sua instância privada, teste se consegue se conectar à Internet executando o comando ping6para um site habilitado para ICMP; por exemplo:
ping6 -n ietf.org
PING ietf.org(2001:1900:3001:11::2c) 56 data bytes
75
Amazon Virtual Private Cloud Guia do usuárioEtapa 7: Limpeza
64 bytes from 2001:1900:3001:11::2c: icmp_seq=1 ttl=46 time=73.9 ms64 bytes from 2001:1900:3001:11::2c: icmp_seq=2 ttl=46 time=73.8 ms64 bytes from 2001:1900:3001:11::2c: icmp_seq=3 ttl=46 time=73.9 ms...
6. Para testar se os hosts na Internet não conseguem acessar sua instância na sub-rede privada, use ocomando ping6 em um computador habilitado para IPv6. Você deve obter uma resposta de tempolimite. Se você obtiver uma resposta válida, isso significa que sua instância pode ser acessada pelaInternet — verifique a tabela de rotas associada à sua sub-rede privada e confirme se ela não contémuma rota que direciona o tráfego IPv6 para um Internet Gateway.
ping6 2001:db8:1234:1a01::456
Etapa 7: LimpezaAssim que verificar se você consegue conectar-se à sua instância na sub-rede pública e se sua instânciana sub-rede pública consegue acessar a Internet, poderá encerrar as instâncias se não precisar maisdelas. Para isso, use o comando terminate-instances. Par excluir os outros recursos que você criou nesteexemplo, use os comandos a seguir na ordem em que são listados:
1. Exclua seus security groups:
aws ec2 delete-security-group --group-id sg-e1fb8c9a
aws ec2 delete-security-group --group-id sg-aabb1122
2. Exclua suas sub-redes:
aws ec2 delete-subnet --subnet-id subnet-b46032ec
aws ec2 delete-subnet --subnet-id subnet-a46032fc
3. Exclua suas tabelas de rotas personalizadas:
aws ec2 delete-route-table --route-table-id rtb-c1c8faa6
aws ec2 delete-route-table --route-table-id rtb-abc123ab
4. Exclua o Internet Gateway da VPC:
aws ec2 detach-internet-gateway --internet-gateway-id igw-1ff7a07b --vpc-id vpc-2f09a348
5. Exclua seu Internet Gateway:
aws ec2 delete-internet-gateway --internet-gateway-id igw-1ff7a07b
6. Exclua seu Internet Gateway apenas de saída:
aws ec2 delete-egress-only-internet-gateway --egress-only-internet-gateway-id eigw-015e0e244e24dfe8a
7. Exclua sua VPC:
76
Amazon Virtual Private Cloud Guia do usuárioExemplo: Como compartilhar sub-redes públicas e privadas
aws ec2 delete-vpc --vpc-id vpc-2f09a348
Exemplo: Como compartilhar sub-redes públicas eprivadas
Considere um cenário em que você deseje que uma conta seja responsável pela infraestrutura, incluindosub-redes, tabelas de rotas, gateway e intervalos de CIDR, e que outras contas na mesma AWSOrganization usem as sub-redes. O proprietário da VPC (conta A) cria uma infraestrutura de roteamento,incluindo VPCs, sub-redes, tabelas de rotas, gateways e ACLs de rede. As contas B e C desejam criaraplicativos de interação com o público. A conta D deseja criar aplicativos privados que não precisamestar conectados à Internet e que residam em sub-redes privadas. A conta A pode usar o AWS ResourceAccess Manager para criar um compartilhamento de recurso para as sub-redes e, depois, compartilhá-las.A conta A compartilha as sub-redes públicas e privadas com as contas B e C e as sub-redes privadas coma conta D. As contas B, C e D podem criar recursos nas sub-redes. Cada conta pode ver somente as sub-redes compartilhadas com ela, por exemplo, a conta D só pode ver sub-redes privadas. Cada uma dascontas pode controlar seus próprios recursos, incluindo instâncias e grupos de segurança.
A conta A gerencia a infraestrutura de IP, incluindo as tabelas de rotas para as sub-redes públicas eprivadas. Não é necessária nenhuma configuração adicional para sub-redes compartilhadas. Portanto, astabelas de rotas são as mesmas das sub-redes não compartilhadas.
A conta A (ID 111111111111) compartilha as sub-redes privadas com a conta D (ID 444444444444). Aconta D vê as seguintes sub-redes e a coluna Owner (Proprietário) exibe dois indicadores de que as sub-redes são compartilhadas.
• O ID da conta A é o proprietário da VPC (111111111111) e é diferente do ID da conta D(444444444444).
• A palavra "shared" (Compartilhada) aparece ao lado do ID da conta proprietária.
77
Amazon Virtual Private Cloud Guia do usuárioExemplo: serviços disponíveis em váriasregiões usando o AWS PrivateLink e oemparelhamento de VPC entre regiões.
Exemplo: serviços disponíveis em várias regiõesusando o AWS PrivateLink e o emparelhamento deVPC entre regiões.
O provedor do AWS PrivateLink configura instâncias para executar serviços em sua VPC, usando Loadbalancer de rede como front-end. Consumidores situados na mesma região que o provedor do serviço têmacesso privado aos serviços por meio de um VPC endpoint do AWS PrivateLink. O emparelhamento deVPC entre regiões permite que os recursos executados em diferentes regiões se comuniquem de formaprivada. O AWS PrivateLink e o emparelhamento de VPC entre regiões transportam o tráfego pela rede daAmazon. É possível usar uma combinação de emparelhamento entre regiões e um AWS PrivateLink paradar acesso a serviços privados para os consumidores em diferentes regiões.
A configuração pode ser concluída tanto pelo consumidor quanto pelo provedor do serviço. Para obtermais informações, veja os exemplos a seguir:
Exemplos• Exemplo: o provedor do serviço configura um serviço para operar em várias regiões (p. 78)• Exemplo: o consumidor do serviço configura o acesso em várias regiões (p. 79)
Exemplo: o provedor do serviço configura um serviçopara operar em várias regiõesConsidere o seguinte exemplo, no qual um serviço é executado em instâncias da VPC do provedor 1 naregião A (por exemplo, us-east-1). Os recursos da VPC do consumidor 1 presentes na mesma regiãopodem acessar o serviço diretamente pelo VPC endpoint do AWS PrivateLink na VPC do consumidor 1.
78
Amazon Virtual Private Cloud Guia do usuárioExemplo: o consumidor do serviço
configura o acesso em várias regiões
Para permitir que os recursos da VPC do consumidor 2 na região B (por exemplo, eu-west-1) acessem oserviço de maneira privada, o provedor do serviço deve realizar as seguintes etapas:
1. Criar uma VPC de provedor 2 na região B.2. Configurar o emparelhamento entre regiões entre as VPCs de provedor 1 e 2 para que o tráfego seja
roteado entre as duas VPCs.3. Criar um Network Load Balancer 2 na VPC do provedor 2.4. Configurar grupos de destino no Network Load Balancer 2 que apontem para os endereços IP das
instâncias de serviço no VPC 1.5. Ajustar os grupos de segurança associados às instâncias de serviço na VPC de provedor 1, para que
elas permitam o tráfego do Network Load Balancer 2.6. Criar uma configuração de serviço VPC endpoint na VPC de provedor 2 e associá-la ao Network Load
Balancer 2.
Depois de concluir a configuração, o consumidor pode criar um serviço de VPC endpoint na VPC deconsumidor 2 para acessar o serviço de maneira privada.
A conta do consumidor será cobrada por hora e pelo processamento de dados do VPC endpoint. A contado provedor será cobrada pela transferência de dados do emparelhamento entre regiões, pelo NetworkLoad Balancer e pelas instâncias de serviço.
Exemplo: o consumidor do serviço configura o acessoem várias regiõesConsidere o seguinte exemplo, no qual um serviço é executado em instâncias da VPC do provedorna região A (por exemplo, us-east-1). Os recursos da VPC de consumidor 3 podem acessar o serviçodiretamente pelo VPC endpoint do AWS PrivateLink na VPC de consumidor 3.
Para permitir que os recursos da VPC do consumidor 1 na região B (por exemplo, eu-west-1) acessem oserviço de maneira privada, o consumidor do serviço deve realizar as seguintes etapas:
1. Criar uma VPC de consumidor 2 na região A.2. Criar um VPC endpoint que abranja uma ou mais sub-redes na VPC de consumidor 2.3. Ajustar os grupos de segurança associados ao serviço de VPC endpoint na VPC de consumidor 2,
para que eles permitam o tráfego proveniente das instâncias da VPC de consumidor 1. Ajustar os
79
Amazon Virtual Private Cloud Guia do usuárioExemplo: o consumidor do serviço
configura o acesso em várias regiões
grupos de segurança associados às instâncias da VPC de consumidor 1, para que eles permitam otráfego para o serviço de VPC endpoint na VPC de consumidor 2.
4. Configurar o emparelhamento entre regiões entre os as VPCs de consumidor 1 e 2 para que o tráfegoseja roteado entre as duas VPCs.
Depois de concluir a configuração, a VPC de consumidor 1 na região B pode acessar o serviço de maneiraprivada.
A conta do consumidor será cobrada pela transferência de dados no emparelhamento entre regiões epelas horas e pelo processamento de dados no VPC endpoint. O provedor será cobrado pelo NetworkLoad Balancer e pelas instâncias de serviço.
80
Amazon Virtual Private Cloud Guia do usuárioVPC e conceitos básicos de sub-rede
VPCs e sub-redesPara começar com Amazon Virtual Private Cloud (Amazon VPC), você cria uma VPC e sub-redes. Paraobter uma visão geral da Amazon VPC, consulte O que é Amazon VPC? (p. 1).
Tópicos• VPC e conceitos básicos de sub-rede (p. 81)• Dimensionamento de VPC e sub-rede (p. 84)• Roteamento de sub-rede (p. 89)• Segurança de sub-rede (p. 90)• Conexões com sua rede local e outras VPCs (p. 90)• Como trabalhar com VPCs e sub-redes (p. 91)• Como trabalhar com VPCs compartilhadas (p. 97)
VPC e conceitos básicos de sub-redeUma virtual private cloud (VPC) é uma rede virtual dedicada a sua conta da AWS Ela é isolada de maneiralógica das outras redes virtuais na Nuvem AWS. Inicie os recursos da AWS, como as instâncias doAmazon EC2 na VPC.
Quando você cria uma VPC, é necessário especificar um intervalo de endereços IPv4 para a VPC sob aforma de um bloco CIDR (Roteamento entre Domínios sem Classificação); por exemplo, 10.0.0.0/16.Este é o bloco CIDR principal da VPC. Para obter mais informações sobre notação CIDR, consulte RFC4632.
O diagrama a seguir mostra uma nova VPC com um bloco CIDR IPv4 e a tabela de rotas principal.
81
Amazon Virtual Private Cloud Guia do usuárioVPC e conceitos básicos de sub-rede
Uma VPC abrange todas as zonas de disponibilidade na região. Depois de criar uma VPC, você podeadicionar uma ou mais sub-redes em cada zona de disponibilidade. Ao criar uma sub-rede, você especificao bloco CIDR para a sub-rede, que é um subconjunto do bloco CIDR da VPC. Cada sub-rede deveresidir inteiramente dentro de uma zona de disponibilidade e não pode abranger áreas. As zonas dedisponibilidade são locais distintos que são projetados para serem isolados de falhas em outras zonas dedisponibilidade. Ao iniciar as instâncias em Zonas de disponibilidade separadas, você pode proteger seusaplicativos de falha de um único local. Nós atribuímos um ID exclusivo a cada sub-rede.
Você também pode atribuir opcionalmente um bloco CIDR IPv6 a sua VPC e atribuir blocos CIDR IPv6 àssuas sub-redes.
82
Amazon Virtual Private Cloud Guia do usuárioVPC e conceitos básicos de sub-rede
O diagrama a seguir mostra uma VPC que foi configurada com sub-redes em várias zonas dedisponibilidade. 1A, 1B, 2A e 3A são instâncias na sua VPC. Um bloco CIDR IPv6 está associada à VPCe um bloco CIDR IPv6 está associado à sub-rede 1. Um gateway da internet permite comunicação atravésda Internet, e uma conexão de rede privada virtual (VPN) permite comunicação com a rede corporativa.
Se o tráfego de uma sub-rede for roteado para um gateway da internet, a sub-rede será conhecida comouma sub-rede pública. Neste diagrama, a sub-rede 1 é uma sub-rede pública. Se você desejar que ainstância em uma sub-rede pública se comunique com a internet por meio do IPv4, ela deve ter umendereço IPv4 público ou um endereço IP elástico (IPv4). Para obter mais informações sobre endereçosIPv4 públicos, consulte Endereços IPv4 públicos (p. 111). Se você desejar que a instância na sub-redepública se comunique com a internet por meio do IPv6, ela deverá ter um endereço IPv6.
Se uma sub-rede não tiver uma rota para o gateway da internet, a sub-rede será conhecida como umasub-rede privada. Neste diagrama, a sub-rede 2 é uma sub-rede privada.
Se uma sub-rede não tiver uma rota para o gateway da Internet, mas tiver seu tráfego roteado para umgateway privado virtual de uma conexão do , a sub-rede será conhecida como uma sub-rede somente
83
Amazon Virtual Private Cloud Guia do usuárioDimensionamento de VPC e sub-rede
VPN. Neste diagrama, a sub-rede 3 é uma sub-rede somente VPN. Atualmente, não oferecemos suportepara tráfego IPv6 na conexão do .
Para obter mais informações, consulte Cenários e exemplos (p. 23), Gateways da internet (p. 219) e Oque é o ? no Guia do usuário do .
Note
Independentemente do tipo de sub-rede, o intervalo de endereços IPv4 interno da sub-rede ésempre privado — não anunciamos o bloco de endereços para a internet.
Você tem um limite no número de VPCs e sub-redes que pode criar em sua conta. Para obter maisinformações, consulte Limites do Amazon VPC (p. 308).
Dimensionamento de VPC e sub-redeA Amazon VPC suporta endereçamento IPv4 e IPv6 e tem diferentes limites de tamanho para cada blocoCIDR. Por padrão, todos as VPCs e as sub-redes devem ter blocos CIDR IPv4 — você não pode alterareste comportamento. Opcionalmente, você pode associar um bloco CIDR IPv6 à VPC.
Para obter mais informações sobre endereçamento IP, consulte Endereçamento IP na sua VPC (p. 109).
Tópicos• Dimensionamento da VPC e sub-rede para IPv4 (p. 84)• Adicionar blocos CIDR IPv4 a uma VPC (p. 85)• Dimensionamento da VPC e sub-rede para IPv6 (p. 89)
Dimensionamento da VPC e sub-rede para IPv4Ao criar uma VPC, você deve especificar um bloco CIDR IPv4 para a VPC. O tamanho permitido parao bloco é entre uma máscara de rede /16 (65.536 endereços IP) e uma máscara de rede /28 (16endereços IP). Depois de criar a VPC, você pode associar blocos CIDR secundários à VPC. Para obtermais informações, consulte Adicionar blocos CIDR IPv4 a uma VPC (p. 85).
Quando você cria uma VPC, recomendamos que você especifique um bloco CIDR (de /16 ou menor) apartir dos intervalos de endereço IPv4 privados conforme especificado em RFC 1918:
• 10.0.0.0 - 10.255.255.255 (prefixo 10/8)• 172.16.0.0 - 172.31.255.255 (prefixo 172.16/12)• 192.168.0.0 - 192.168.255.255 (prefixo 192.168/16)
Você pode criar uma VPC com um bloco CIDR roteável publicamente que fica fora dos intervalos deendereços IPv4 privados especificados no RFC 1918. No entanto, para os fins desta documentação, nosreferimos a endereços IP privados como os endereços IPv4 que estão dentro do intervalo CIDR da suaVPC.
Note
Se estiver criando uma VPC para uso com outro serviço da AWS, verifique a documentaçãodo serviço para verificar se há requisitos específicos para o intervalo de endereços IP ou oscomponentes da rede.
84
Amazon Virtual Private Cloud Guia do usuárioAdicionar blocos CIDR IPv4 a uma VPC
O bloco CIDR de uma sub-rede pode ser igual ao bloco CIDR para a VPC (para uma única sub-redena VPC) ou um subconjunto do bloco CIDR para a VPC (para várias sub-redes). O tamanho do blocopermitido é entre uma máscara de rede /28 e máscara de rede /16. Se você criar mais de uma sub-redeem uma VPC, os blocos CIDR das sub-redes não podem se sobrepor.
Por exemplo, se você criar uma VPC com o bloco CIDR 10.0.0.0/24, ela suporta 256 endereços IP.Você pode quebrar esse bloco CIDR em duas sub-redes, cada um suportando 128 endereços IP. Umasub-rede usa o bloco CIDR 10.0.0.0/25 (para endereços 10.0.0.0 - 10.0.0.127) e o outro usa obloco CIDR 10.0.0.128/25 (para endereços 10.0.0.128 - 10.0.0.255).
Existem muitas ferramentas disponíveis para ajudá-lo a calcular blocos CIDR de sub-rede; por exemplo,consulte http://www.subnet-calculator.com/cidr.php. Além disso, seu grupo de engenharia de rede podeajudá-lo a determinar os blocos CIDR para especificar suas sub-redes.
Os primeiros quatro endereços IP e o último endereço IP em cada bloco CIDR de sub-rede não estãodisponíveis para você usar e não podem ser atribuídos a uma instância. Por exemplo, em uma sub-redecom bloco CIDR 10.0.0.0/24, os seguintes cinco endereços IP são reservados:
• 10.0.0.0: Endereço de rede.• 10.0.0.1: Reservado pela AWS para o roteador da VPC.• 10.0.0.2: Reservado pela AWS. O endereço IP do servidor DNS é sempre a base do intervalo da rede
VPC mais dois; no entanto, também reservamos a base de cada intervalo de sub-rede mais dois. ParaVPCs com vários blocos CIDR, o endereço IP de servidor DNS está localizado no CIDR principal. Paraobter mais informações, consulte Servidor DNS da Amazon (p. 256).
• 10.0.0.3: Reservado pela AWS para uso futuro.• 10.0.0.255: Endereço de transmissão de rede. Nós não oferecemos suporte para transmissão em
uma VPC, portanto, nós reservamos este endereço.
Adicionar blocos CIDR IPv4 a uma VPCVocê pode associar blocos CIDR IPv4 secundários à VPC. Quando você associa um bloco CIDR à VPC,uma rota é adicionada automaticamente às tabelas de rotas da VPC para habilitar o roteamento na VPC (odestino é o bloco CIDR e o alvo é local).
No exemplo a seguir, a VPC à esquerda tem um único bloco CIDR (10.0.0.0/16) e duas sub-redes. AVPC à direita representa a arquitetura da mesma VPC depois de você adicionar um segundo bloco CIDR(10.2.0.0/16) e criar uma nova sub-rede no intervalo do segundo CIDR.
85
Amazon Virtual Private Cloud Guia do usuárioAdicionar blocos CIDR IPv4 a uma VPC
Para adicionar um bloco CIDR à VPC, as seguintes regras devem ser aplicadas:
• O tamanho do bloco permitido é entre uma máscara de rede /28 e máscara de rede /16.• O bloco CIDR não deve sobrepor nenhum bloco CIDR existente que esteja associado à VPC.• Há restrições nos intervalos de endereços IPv4 que você pode usar. Para obter mais informações,
consulte Restrições de associação de bloco CIDR IPv4 (p. 87).• Você não pode aumentar ou diminuir o tamanho de um bloco CIDR existente.• Você tem um limite no número de blocos CIDR que você pode associar a uma VPC e no número de
rotas que você pode adicionar a uma tabela de rotas. Não será possível associar um bloco CIDR seos limites forem excedidos por causa disso. Para obter mais informações, consulte Limites do AmazonVPC (p. 308).
• O bloco CIDR não deve ser igual ou maior que o intervalo de CIDRs de uma rota em nenhuma dastabelas de rotas da VPC. Por exemplo, se você tiver um rota com um destino de 10.0.0.0/24 paraum gateway privado virtual, você não poderá associar um bloco CIDR do mesmo intervalo ou maior. Noentanto, você pode associar um bloco CIDR de 10.0.0.0/25 ou menor.
• Se tiver habilitado a VPC para o ClassicLink, você poderá associar blocos CIDR nos intervalos10.1.0.0/16 e 10.0.0.0/16, mas não poderá associar nenhum outro bloco CIDR no intervalo10.0.0.0/8.
• As seguintes regras se aplicam quando você adiciona blocos CIDR IPv4 a uma VPC que faz parte deuma conexão de emparelhamento de VPC:• Se a conexão de emparelhamento de VPC for active, você poderá adicionar blocos CIDR a uma
VPC desde que eles não sobreponham um bloco CIDR da VPC par.• Se a conexão de emparelhamento de VPC for pending-acceptance, o proprietário da VPC
solicitante não poderá adicionar nenhum bloco CIDR à VPC, independentemente de ele sobreporo bloco CIDR da VPC receptora. O proprietário da VPC receptora deve aceitar a conexão de
86
Amazon Virtual Private Cloud Guia do usuárioAdicionar blocos CIDR IPv4 a uma VPC
emparelhamento, ou o proprietário da VPC solicitante deve excluir a solicitação da conexão deemparelhamento de VPC, adicionar o bloco CIDR e, em seguida, solicitar uma nova conexão deemparelhamento de VPC.
• Se a conexão de emparelhamento de VPC for pending-acceptance, o proprietário da VPCsolicitante poderá adicionar blocos CIDR à VPC. Se um bloco CIDR secundário for sobreposto por umbloco CIDR da VPC solicitante, a solicitação da conexão de emparelhamento de VPC falhará e nãopoderá ser aceita.
• Se você estiver usando o AWS Direct Connect para se conectar a várias VPCs por um gateway doDirect Connect, as VPCs associadas ao gateway do Direct Connect não deverão ter blocos CIDRsobrepostos. Se você adicionar um bloco CIDR a uma das VPCs associadas ao gateway do DirectConnect, verifique se o novo bloco CIDR não se sobrepõe ao bloco CIDR existente de nenhuma outraVPC associada. Para obter mais informações, consulte Gateways do Direct Connect no Guia do usuáriodo AWS Direct Connect.
• Ao adicionar ou remover um bloco CIDR, ele pode passar por vários estados: associating |associated | disassociating | disassociated | failing | failed. O bloco CIDR está prontopara uso quando está no estado associated.
A tabela a seguir fornece uma visão geral das associações de bloco CIDR permitidas e restritas quedependem do intervalo de endereços IPv4 no qual o bloco CIDR principal da VPC reside.
Restrições de associação de bloco CIDR IPv4
Intervalo de endereços IP no qualo bloco CIDR principal da VPCreside
Associações de bloco CIDRrestritas
Associações de bloco CIDRpermitidas
10.0.0.0/8 Blocos CIDR de outros intervalosRFC 1918* (172.16.0.0/12 e192.168.0.0/16).
Se o CIDR principal estiver nointervalo 10.0.0.0/15, você nãopoderá adicionar um bloco CIDRno intervalo 10.0.0.0/16.
Um bloco CIDR no intervalo198.19.0.0/16.
Qualquer outro CIDR no intervalo10.0.0.0/8 que não seja restrito.
Qualquer bloco CIDR IPv4publicamente roteável (não RFC1918) ou um bloco CIDR da faixa100.64.0.0/10.
172.16.0.0/12 Blocos CIDR de outros intervalosRFC 1918* (10.0.0.0/8 e192.168.0.0/16).
Um bloco CIDR no intervalo172.31.0.0/16.
Um bloco CIDR no intervalo198.19.0.0/16.
Qualquer outro CIDR no intervalo172.16.0.0/12 que não sejarestrito.
Qualquer bloco CIDR IPv4publicamente roteável (não RFC1918) ou um bloco CIDR da faixa100.64.0.0/10.
192.168.0.0/16 Blocos CIDR de outros intervalosRFC 1918* (172.16.0.0/12 e10.0.0.0/8).
Um bloco CIDR no intervalo198.19.0.0/16.
Qualquer outro CIDR no intervalo192.168.0.0/16.
Qualquer bloco CIDR IPv4publicamente roteável (não RFC1918) ou um bloco CIDR da faixa100.64.0.0/10.
198.19.0.0/16 Blocos CIDR nos intervalos RFC1918*.
Qualquer bloco CIDR IPv4publicamente roteável (não RFC
87
Amazon Virtual Private Cloud Guia do usuárioAdicionar blocos CIDR IPv4 a uma VPC
Intervalo de endereços IP no qualo bloco CIDR principal da VPCreside
Associações de bloco CIDRrestritas
Associações de bloco CIDRpermitidas
1918) ou um bloco CIDR da faixa100.64.0.0/10.
Bloco CIDR publicamenteroteável (não RFC 1918)ou um bloco CIDR da faixa100.64.0.0/10.
Blocos CIDR nos intervalos RFC1918*.
Um bloco CIDR no intervalo198.19.0.0/16.
Qualquer outro bloco CIDR IPv4publicamente roteável (não RFC1918) ou um bloco CIDR da faixa100.64.0.0/10.
Os intervalos *RFC 1918 são os intervalos de endereços IPv4 privados especificados na RFC 1918.
Você pode desassociar um bloco CIDR que associou à VPC. No entanto, você não pode desassociar obloco CIDR com o qual você criou a VPC originalmente (o bloco CIDR principal). Para visualizar o CIDRprincipal da VPC no console da Amazon VPC, escolha Your VPCs, selecione a VPC e anote a primeiraentrada em CIDR blocks (Blocos CIDR). Como alternativa, você pode usar o comando describe-vpcs:
aws ec2 describe-vpcs --vpc-id vpc-1a2b3c4d
Na saída retornada, o CIDR principal é retornado no elemento CidrBlock de nível superior (o penúltimoelemento na saída do exemplo a seguir).
{ "Vpcs": [ { "VpcId": "vpc-1a2b3c4d", "InstanceTenancy": "default", "Tags": [ { "Value": "MyVPC", "Key": "Name" } ], "CidrBlockAssociations": [ { "AssociationId": "vpc-cidr-assoc-3781aa5e", "CidrBlock": "10.0.0.0/16", "CidrBlockState": { "State": "associated" } }, { "AssociationId": "vpc-cidr-assoc-0280ab6b", "CidrBlock": "10.2.0.0/16", "CidrBlockState": { "State": "associated" } } ], "State": "available", "DhcpOptionsId": "dopt-e0fe0e88", "CidrBlock": "10.0.0.0/16", "IsDefault": false } ]}
88
Amazon Virtual Private Cloud Guia do usuárioDimensionamento da VPC e sub-rede para IPv6
Dimensionamento da VPC e sub-rede para IPv6Você pode associar um único bloco CIDR IPv6 com uma VPC existente em sua conta ou ao criar umanova VPC. O bloco CIDR usa um comprimento de prefixo fixo de /56. Você não pode escolher o intervalode endereços ou o tamanho de bloco CIDR IPv6. Nós atribuímos o bloco a sua VPC do grupo da Amazonde endereços IPv6.
Se você associou um bloco CIDR IPv6 a sua VPC, é possível associar um bloco CIDR IPv6 a uma sub-rede existente na sua VPC ou ao criar uma nova sub-rede. O bloco CIDR IPv6 de uma sub-rede usa umcomprimento de prefixo fixo de /64.
Por exemplo, você cria uma VPC e especifica que deseja associar um bloco CIDR IPv6 a VPC. A Amazonatribui o seguinte bloco CIDR IPv6 a sua VPC: 2001:db8:1234:1a00::/56. Você pode criar uma sub-rede e associar um bloco CIDR IPv6 deste intervalo; por exemplo, 2001:db8:1234:1a00::/64.
Você pode desassociar um bloco CIDR IPv6 de uma sub-rede e você pode desassociar um bloco CIDRIPv6 de uma VPC. Depois de ter desassociado um bloco CIDR IPv6 de uma VPC, você não poderáesperar receber o mesmo CIDR se você associar um bloco CIDR IPv6 com sua VPC novamente maistarde.
Os primeiros quatro endereços IPv6 e o último endereço IPv6 em cada bloco CIDR de sub-rede não estãodisponíveis para você usar e não podem ser atribuídos a uma instância. Por exemplo, em uma sub-redecom bloco CIDR 2001:db8:1234:1a00/64, os seguintes cinco endereços IP são reservados:
• 2001:db8:1234:1a00::
• 2001:db8:1234:1a00::1
• 2001:db8:1234:1a00::2
• 2001:db8:1234:1a00::3
• 2001:db8:1234:1a00:ffff:ffff:ffff:ffff
Roteamento de sub-redeCada sub-rede deve estar associada a uma tabela de rotas, que especifica as rotas permitidas para otráfego de saída deixando a sub-rede. Cada sub-rede que você cria é automaticamente associada à tabelade rotas principal da VPC. Você pode alterar a associação e o conteúdo da tabela de rotas principal. Paraobter mais informações, consulte Tabelas de rotas (p. 206).
No diagrama anterior, a tabela de rotas associada à sub-rede 1 roteia todo o tráfego IPv4 (0.0.0.0/0)e o tráfego IPv6 (::/0) para um gateway da internet (por exemplo, igw-1a2b3c4d). Como a instância1A possui um endereço IP elástico IPv4, e a instância 1B possui um endereço IPv6, eles podem seracessados pela internet por meio de IPv4 e de IPv6, respectivamente.
Note
(Somente IPv4) O endereço IPv4 elástico ou o endereço IPv4 público que está associado àinstância é acessado pelo gateway da internet da VPC. O tráfego que atravessa uma conexão doentre sua instância e outra rede atravessa um gateway privado virtual, não o gateway da Internete, portanto, não acessa o endereço IPv4 elástico ou o endereço IPv4 público.
A instância 2A não pode acessar a internet, mas pode acessar outras instâncias na VPC. Você podepermitir que uma instância na VPC inicie conexões de saída para a internet por meio do IPv4, mas eviteconexões de entrada não solicitadas da internet usando um gateway de conversão de endereço derede (NAT) ou uma instância. Como você pode alocar um número limitado de endereços IP elásticos,recomendamos que você use um dispositivo NAT caso tenha mais instâncias que exigem um endereçoIP público estático. Para obter mais informações, consulte NAT (p. 228). Para iniciar a comunicação
89
Amazon Virtual Private Cloud Guia do usuárioSegurança de sub-rede
somente de saída com a Internet por meio do IPv6, você pode usar um gateway da internet somente desaída. Para obter mais informações, consulte Gateways da Internet somente de saída (p. 225).
A tabela de rotas associada à sub-rede 3 roteia todo o tráfego IPv4 (0.0.0.0/0) para um gateway privadovirtual (por exemplo, vgw-1a2b3c4d). A instância 3A pode se comunicar com computadores na redecorporativa pela conexão do .
Segurança de sub-redeA AWS fornece dois recursos que você pode usar para aumentar a segurança do VPC: security groupse Network ACL. Os security groups controlam o tráfego de entrada e de saída de suas instâncias e asNetwork ACL controlam o tráfego de entrada e de saída de suas sub-redes. Na maioria dos casos, ossecurity groups podem atender as suas necessidades; contudo, você também pode usar as Network ACLse desejar uma camada adicional de segurança para o seu VPC. Para obter mais informações, consulteSegurança (p. 130).
Por design, cada sub-rede deve estar associada a um Network ACL. Toda sub-rede que você criaestá automaticamente associada ao Network ACL padrão da VPC. Você pode alterar a associação e oconteúdo do Network ACL padrão. Para obter mais informações, consulte Network ACLs (p. 139).
Você pode criar um registro de fluxo em sua VPC ou sub-rede para capturar o tráfego que entra e saidas interfaces de rede em sua VPC ou sub-rede. Você também pode criar um registro de fluxo em umainterface de rede individual. Os registros de fluxo são publicados para o CloudWatch Logs. Para obter maisinformações, consulte VPC Flow Logs (p. 188).
Conexões com sua rede local e outras VPCsVocê pode opcionalmente configurar uma conexão entre sua VPC e sua rede corporativa ou doméstica.Se você tiver um prefixo de endereço IPv4 em sua VPC que se sobrepõe a um dos prefixos de suas redes,qualquer tráfego para o prefixo da rede é descartado. Por exemplo, digamos que você tem o seguinte:
• Uma VPC com bloco CIDR 10.0.0.0/16• Uma sub-rede nesta VPC com bloco CIDR 10.0.1.0/24• Instâncias em execução nesta sub-rede com endereços IP 10.0.1.4 e 10.0.1.5• Redes de host no local usando blocos CIDR 10.0.37.0/24 e 10.1.38.0/24
Quando estas instâncias na VPC tentam conversar com hosts no espaço de endereço 10.0.37.0/24, otráfego é descartado porque 10.0.37.0/24 faz parte do prefixo maior atribuído a VPC (10.0.0.0/16).As instâncias podem conversar com hosts 10.1.38.0/24 no espaço porque este bloco não faz parte de10.0.0.0/16.
Você também pode criar uma conexão de emparelhamento de VPC entre suas VPCs ou com uma VPC emoutra conta da AWS. Uma conexão de emparelhamento de VPC permite rotear o tráfego entre as VPCsusando endereços IP privados. No entanto, você não pode criar uma conexão de emparelhamento de VPCentre VPCs que possuem blocos CIDR sobrepostos. Para obter mais informações, consulte Amazon VPCPeering Guide.
Recomendamos, portanto, que você crie uma VPC com um intervalo CIDR suficientemente grande para ocrescimento futuro esperado, mas não um que se sobrepõe a sub-redes atuais ou futuras esperadas emqualquer lugar em sua rede corporativa ou doméstica ou que se sobrepõe as VPCs atuais ou futuras.
Atualmente, não oferecemos suporte a conexões do por IPv6.
90
Amazon Virtual Private Cloud Guia do usuárioComo trabalhar com VPCs e sub-redes
Como trabalhar com VPCs e sub-redesOs seguintes procedimentos são para criar manualmente uma VPC e sub-redes. Você também deveadicionar manualmente gateways e tabelas de roteamento. Alternativamente, você pode usar o assistenteda Amazon VPC para criar uma VPC e suas sub-redes, gateways e tabelas de roteamento em uma etapa.Para obter mais informações, consulte Cenários e exemplos (p. 23).
Tarefas• Criar uma VPC (p. 91)• Criar uma sub-rede na VPC (p. 92)• Associar um bloco CIDR IPv4 secundário à VPC (p. 93)• Como associar um bloco CIDR IPv6 a sua VPC (p. 93)• Associar um bloco CIDR IPv6 à sua sub-rede (p. 94)• Inicialização de uma instância em sua sub-rede (p. 94)• Exclusão de suas sub-redes (p. 95)• Desassociar um bloco CIDR IPv4 da VPC (p. 95)• Como desassociar um bloco CIDR IPv6 da sua VPC ou sub-rede (p. 96)• Exclusão de sua VPC (p. 97)
Criar uma VPCVocê pode criar uma VPC vazia usando o console da Amazon VPC.
Para criar uma VPC usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Suas VPCs, Criar VPC.3. Especifique os seguintes detalhes da VPC conforme necessário e selecione Criar VPC.
• Tag do nome: Opcionalmente, forneça um nome para a sua VPC. Ao fazer isso, é criada uma tagcom a chave Name e o valor especificado.
• Bloco CIDR IPv4: Especifique um bloco CIDR IPv4 para sua VPC. Recomendamos quevocê especifique um bloco CIDR a partir dos intervalos de endereços IP privados (nãoroteados publicamente) conforme especificado em RFC 1918; por exemplo, 10.0.0.0/16 ou192.168.0.0/16.
Note
Você pode especificar um intervalo de endereços IPv4 roteáveis publicamente. Noentanto, atualmente, não oferecemos suporte para acesso direto à internet a partir deblocos CIDR roteáveis publicamente em uma VPC. As instâncias do Windows não podeminicializar corretamente se forem executadas em uma VPC com intervalos de 224.0.0.0 a255.255.255.255 (intervalos de endereço IP de classe D e classe E).
• Bloco CIDR IPv6: Opcionalmente, associe um bloco CIDR IPv6 a sua VPC selecionando BlocoCIDR IPv6 fornecido pela Amazon.
• Tenancy (Locação): Selecionar uma opção de locação. Locação dedicada garante que suasinstâncias sejam executadas em um hardware com locação única. Para obter mais informações,consulte Instâncias dedicadas, no Guia do usuário do Amazon EC2 para instâncias do Linux.
Como alternativa, você pode usar uma ferramenta de linha de comando.
91
Amazon Virtual Private Cloud Guia do usuárioCriar uma sub-rede na VPC
Para criar uma VPC usando uma ferramenta de linha de comando
• create-vpc (AWS CLI)• New-EC2Vpc (AWS Tools para Windows PowerShell)
Para descrever uma VPC usando uma ferramenta de linha de comando
• describe-vpcs (AWS CLI)• Get-EC2Vpc (AWS Tools para Windows PowerShell)
Para obter mais informações sobre endereços IP, consulte Endereçamento IP na sua VPC (p. 109).
Depois de criar uma VPC, você pode criar sub-redes. Para obter mais informações, consulte Criar umasub-rede na VPC (p. 92).
Criar uma sub-rede na VPCPara adicionar uma nova sub-rede à VPC, você deve especificar um bloco CIDR IPv4 para a sub-rede nointervalo da VPC. Você pode especificar a zona de disponibilidade na qual você deseja que a sub-rederesida. Você pode ter várias sub-redes em uma mesma zona de disponibilidade.
Você poderá, opcionalmente, especificar um bloco CIDR IPv6 para sua sub-rede se um bloco CIDR IPv6estiver associado a sua VPC.
Para adicionar uma sub-rede à VPC usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Sub-redes, Create Subnet.3. Especifique os detalhes da sub-rede conforme necessário e selecione Create Subnet.
• Tag de nome: Opcionalmente, forneça um nome para sua sub-rede. Ao fazer isso, é criada uma tagcom a chave Name e o valor especificado.
• VPC: Escolha a VPC na qual você está criando a sub-rede.• Zona de disponibilidade: Opcionalmente, escolha uma zona de disponibilidade na qual sua sub-
rede residirá ou deixe o padrão Sem preferência para permitir que a AWS escolha uma zona dedisponibilidade para você.
• Bloco CIDR IPv4: Especifique um bloco CIDR IPv4 para sua sub-rede, por exemplo, 10.0.1.0/24.Para obter mais informações, consulte Dimensionamento da VPC e sub-rede para IPv4 (p. 84).
• Bloco CIDR IPv6: (Opcional) Se você associou um bloco CIDR IPv6 a sua VPC, selecioneEspecificar um CIDR IPv6 personalizado. Especifique o valor do par hexadecimal para a sub-redeou mantenha o valor padrão.
4. (Opcional) Se necessário, repita as etapas acima para criar mais sub-redes na sua VPC.
Como alternativa, você pode usar uma ferramenta de linha de comando.
Para adicionar uma sub-rede usando uma ferramenta de linha de comando
• create-subnet (AWS CLI)• New-EC2Subnet (AWS Tools para Windows PowerShell)
Para descrever uma sub-rede usando uma ferramenta de linha de comando
• describe-subnets (AWS CLI)
92
Amazon Virtual Private Cloud Guia do usuárioAssociar um bloco CIDR IPv4 secundário à VPC
• Get-EC2Subnet (AWS Tools para Windows PowerShell)
Depois de criar uma sub-rede, você pode fazer o seguinte:
• Configure seu roteamento. Para tornar a sub-rede em uma sub-rede pública, primeiro você deveassociar um gateway da internet à VPC. Para obter mais informações, consulte Criação e anexaçãode um gateway de Internet (p. 222). Em seguida, você pode criar uma tabela de rotas personalizadae adicionar uma rota ao gateway da internet. Para obter mais informações, consulte Criando umatabela de rotas personalizada (p. 222). Para obter outras opções de roteamento, consulte Tabelas derotas (p. 206).
• Modifique as configurações da sub-rede para especificar que todas as instâncias iniciadas nessa sub-rede recebem um endereço IPv4 público, um endereço IPv6 ou ambos. Para obter mais informações,consulte Comportamento de endereçamento de IP para sua sub-rede (p. 112).
• Crie ou modifique seus security groups conforme necessário. Para obter mais informações, consulteSecurity groups para sua VPC (p. 131).
• Crie ou modifique suas Network ACLs conforme necessário. Para obter mais informações, consulteNetwork ACLs (p. 139).
• Compartilhe a sub-rede com outras contas. Para obter mais informações, consulte ??? (p. 98).
Associar um bloco CIDR IPv4 secundário à VPCVocê pode adicionar outro bloco CIDR IPv4 à VPC. Não deixe de ler as restrições (p. 85) aplicáveis.
Depois de associar um bloco CIDR, o status muda para associating. O bloco CIDR está pronto parauso quando estiver no estado associated.
Para adicionar um bloco CIDR à VPC usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Your VPCs.3. Selecione a VPC e escolha Actions, Edit CIDRs.4. Escolha Add IPv4 CIDR e digite o bloco CIDR a ser adicionado, por exemplo, 10.2.0.0/16. Escolha
o ícone de tique5. Escolha Fechar.
Como alternativa, você pode usar uma ferramenta de linha de comando.
Para adicionar um bloco CIDR usando uma ferramenta de linha de comando
• associate-vpc-cidr-block (AWS CLI)• Register-EC2VpcCidrBlock (AWS Tools para Windows PowerShell)
Depois de adicionar os blocos CIDR IPv4 necessários, você pode criar sub-redes. Para obter maisinformações, consulte Criar uma sub-rede na VPC (p. 92).
Como associar um bloco CIDR IPv6 a sua VPCVocê pode associar um bloco CIDR IPv6 a qualquer VPC existente. A VPC não deve ter um bloco CIDRIPv6 existente associado a ela.
Para associar um bloco CIDR IPv6 a uma VPC usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.
93
Amazon Virtual Private Cloud Guia do usuárioAssociar um bloco CIDR IPv6 à sua sub-rede
2. No painel de navegação, escolha Your VPCs.3. Selecione sua VPC, escolha Ações, Edit CIDRs.4. Escolha Adicionar CIDR IPv6. Depois que adicionar o bloco CIDR IPv6, selecione Fechar.
Como alternativa, você pode usar uma ferramenta de linha de comando.
Para associar um bloco CIDR IPv6 a uma VPC usando uma ferramenta de linha de comando
• associate-vpc-cidr-block (AWS CLI)• Register-EC2VpcCidrBlock (AWS Tools para Windows PowerShell)
Associar um bloco CIDR IPv6 à sua sub-redeVocê pode associar um bloco CIDR IPv6 a uma sub-rede existente na sua VPC. A sub-rede não deve terum bloco CIDR IPv6 existente associado a ela.
Para associar um bloco CIDR IPv6 a uma sub-rede usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Sub-redes.3. Selecione sua sub-rede e escolha Ações de sub-redes, Edit CIDRs IPv6.4. Escolha Adicionar CIDR IPv6. Especifique o par hexadecimal para a sub-rede (por exemplo, 00) e
confirme a entrada escolhendo o ícone de seleção.5. Escolha Fechar.
Como alternativa, você pode usar uma ferramenta de linha de comando.
Para associar um bloco CIDR IPv6 a uma sub-rede usando uma ferramenta de linha de comando
• associate-subnet-cidr-block (AWS CLI)• Register-EC2SubnetCidrBlock (AWS Tools para Windows PowerShell)
Inicialização de uma instância em sua sub-redeDepois de criar sua sub-rede e configurar seu roteamento, você pode iniciar uma instância em sua sub-rede usando o console do Amazon EC2.
Para executar uma instância na sub-rede. usando o console
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel, escolha Launch Instance.3. Siga as orientações no assistente. Selecione um AMI e um tipo de instância e selecione Next:
Configure Instance Details.Note
Se você quiser que sua instância se comunique pelo IPv6, será necessário selecionar um tipode instância suportada. Todos os tipos de instância da geração atual são compatíveis comendereços IPv6.
4. Na página Configure Instance Details, certifique-se de ter selecionado a VPC necessária na listaRede e, em seguida, selecione a sub-rede na qual a instância será iniciada. Mantenha as outrasconfigurações padrão nesta página e selecione Next: Add Storage.
94
Amazon Virtual Private Cloud Guia do usuárioExclusão de suas sub-redes
5. Nas próximas páginas do assistente, você pode configurar o armazenamento para sua instância eadicionar tags. Na página Configure Security Group, escolha qualquer security group existente quevocê possui ou siga as instruções do assistente para criar um novo security group. Selecione Reviewand Launch ao concluir.
6. Revise suas configurações e selecione Iniciar.7. Selecione um par de chaves existente que você possui ou crie um novo e selecione Iniciar instâncias
ao concluir.
Como alternativa, você pode usar uma ferramenta de linha de comando.
Para executar uma instância na sub-rede. usando uma ferramenta de linha de comando
• run-instances (AWS CLI)• New-EC2Instance (AWS Tools para Windows PowerShell)
Exclusão de suas sub-redesSe você não precisa mais de sua sub-rede, é possível excluí-la. Você deve encerrar primeiro quaisquerinstâncias na sub-rede.
Para excluir a sub-rede usando o console
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. Encerre todas as instâncias na sub-rede. Para obter mais informações, consulte Encerrar sua
instância em Guia do Usuário do EC2.3. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.4. No painel de navegação, escolha Sub-redes.5. Selecione a sub-rede a ser excluída e escolha Subnet Actions (Ações de sub-rede), Delete Subnet
(Excluir sub-rede).6. Na caixa de diálogo Excluir sub-rede, selecione Sim, excluir.
Como alternativa, você pode usar uma ferramenta de linha de comando.
Para excluir uma sub-rede usando uma ferramenta de linha de comando
• delete-subnet (AWS CLI)• Remove-EC2Subnet (AWS Tools para Windows PowerShell)
Desassociar um bloco CIDR IPv4 da VPCSe a VPC tiver mais de um bloco CIDR IPv4 associado a ela, você poderá desassociar um bloco CIDRIPv4 da VPC. Você não pode desassociar o bloco CIDR IPv4 principal. Você só pode desassociar umbloco CIDR inteiro. Não é possível desassociar um subconjunto de um bloco CIDR ou um intervalomesclado de blocos CIDR. Você deve primeiro excluir todas as sub-redes no bloco CIDR.
Para remover um bloco CIDR de uma VPC usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Your VPCs.3. Selecione a VPC e escolha Actions, Edit CIDRs.
95
Amazon Virtual Private Cloud Guia do usuárioComo desassociar um bloco CIDR
IPv6 da sua VPC ou sub-rede
4. Em VPC IPv4 CIDRs, escolha o botão de exclusão (uma cruz) do bloco CIDR a ser removido.5. Escolha Fechar.
Como alternativa, você pode usar uma ferramenta de linha de comando.
Para remover um bloco CIDR IPv4 de uma VPC usando uma ferramenta de linha de comando
• disassociate-vpc-cidr-block (AWS CLI)• Unregister-EC2VpcCidrBlock (AWS Tools para Windows PowerShell)
Como desassociar um bloco CIDR IPv6 da sua VPCou sub-redeSe você não quiser mais suporte ao IPv6 em sua VPC ou sub-rede, mas deseja continuar usando sua VPCou sub-rede para criar e se comunicar com recursos IPv4, é possível desassociar o bloco CIDR IPv6.
Para desassociar um bloco CIDR IPv6, você deve primeiro cancelar a atribuição de quaisquer endereçosIPv6 atribuídos a qualquer instância em sua sub-rede. Para obter mais informações, consulte Cancelar aatribuição de um endereço IPv6 de uma instância (p. 116).
Para desassociar um bloco CIDR IPv6 de uma sub-rede usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Sub-redes.3. Selecione sua sub-rede e escolha Ações de sub-redes, Edit CIDRs IPv6.4. Remova o bloco CIDR IPv6 da sub-rede escolhendo o ícone de cruz.5. Escolha Fechar.
Para desassociar um bloco CIDR IPv6 de uma VPC usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Your VPCs.3. Selecione sua VPC, escolha Ações, Edit CIDRs.4. Remova o bloco CIDR IPv6 escolhendo o ícone de cruz.5. Escolha Fechar.
Note
A desassociação de um bloco CIDR IPv6 não exclui automaticamente quaisquer regras dosecurity group, as regras do Network ACL ou as rotas da tabela de rotas que você configurou pararedes IPv6. Você deve modificar manualmente ou excluir essas regras ou rotas.
Como alternativa, você pode usar uma ferramenta de linha de comando.
Para desassociar um bloco CIDR IPv6 de uma sub-rede usando uma ferramenta de linha decomando
• disassociate-subnet-cidr-block (AWS CLI)• Unregister-EC2SubnetCidrBlock (AWS Tools para Windows PowerShell)
96
Amazon Virtual Private Cloud Guia do usuárioExclusão de sua VPC
Para desassociar um bloco CIDR IPv6 de uma VPC usando uma ferramenta de linha de comando
• disassociate-vpc-cidr-block (AWS CLI)• Unregister-EC2VpcCidrBlock (AWS Tools para Windows PowerShell)
Exclusão de sua VPCVocê pode excluir sua VPC em qualquer momento. No entanto, você deve encerrar todas as instânciasprimeiro na VPC. Quando você exclui uma VPC usando o console da VPC, excluímos todos os seuscomponentes, como sub-redes, security groups, network ACLs, tabelas de rotas, gateways da internet,conexões de emparelhamento de VPC e opções DHCP.
Se você tiver uma conexão do , não será necessário excluí-la ou os outros componentes relacionadosà VPN (como o gateway do cliente e o gateway privado virtual). Caso planeje usar o gateway do clientecom outra VPC, recomendamos que você mantenha a conexão do e os gateways. Caso contrário, seuadministrador de rede deverá configurar o gateway do cliente novamente depois de criar uma novaconexão do .
Para excluir a VPC usando o console
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. Encerre todas as instâncias na VPC. Para obter mais informações, consulte Encerrar sua instância no
Guia do usuário do Amazon EC2 para instâncias do Linux.3. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.4. No painel de navegação, escolha Your VPCs (Suas VPCs).5. Selecione a VPC para excluir e escolha Ações, Excluir VPC.6. Para excluir a conexão do , selecione a opção para fazê-lo; caso contrário, deixe a opção
desmarcada. Selecione Sim, excluir.
Como alternativa, você pode usar uma ferramenta de linha de comando. Ao excluir uma VPC usando alinha de comando, você deve primeiro encerrar todas as instâncias, excluir todas as sub-redes, securitygroups personalizados e tabelas de rotas personalizadas e desassociar qualquer gateway da internet naVPC.
Para excluir uma VPC usando uma ferramenta de linha de comando
• delete-vpc (AWS CLI)• Remove-EC2Vpc (AWS Tools para Windows PowerShell)
Como trabalhar com VPCs compartilhadasO compartilhamento de VPCs permite que várias contas da AWS criem recursos de aplicativos (instânciasde Amazon EC2, bancos de dados do Amazon Relational Database Service, clusters do AmazonRedshift e funções do AWS Lambda) em Amazon Virtual Private Clouds (VPCs) compartilhados e comgerenciamento central. Nesse modelo, a conta que possui a VPC (proprietária) compartilha uma ou maissub-redes com outras contas (participantes) que pertencem à mesma organização no AWS Organizations.Quando uma sub-rede é compartilhada, os participantes podem visualizar, criar, modificar e excluir osrecursos de seus aplicativos nas sub-redes compartilhadas com eles. Os participantes não poderãovisualizar, modificar ou excluir recursos que pertencerem a outros participantes ou proprietários da VPC.
Tópicos• Pré-requisitos para o compartilhamento de VPCs (p. 98)
97
Amazon Virtual Private Cloud Guia do usuárioPré-requisitos para o compartilhamento de VPCs
• Como compartilhar uma sub-rede (p. 98)• Como cancelar o compartilhamento de uma sub-rede compartilhada (p. 98)• Identificar o proprietário de uma sub-rede compartilhada (p. 99)• Permissões de sub-redes compartilhadas (p. 99)• Faturamento e medição para proprietários e participantes (p. 100)• Serviços sem suporte para sub-redes compartilhadas (p. 100)• Limitações (p. 100)
Pré-requisitos para o compartilhamento de VPCsVocê deve ativar o compartilhamento de recursos na conta mestre da sua organização. Para obterinformações sobre como ativar o compartilhamento de recursos, consulte Ativar o compartilhamento comAWS Organizations em .
Como compartilhar uma sub-redeVocê pode compartilhar sub-redes não padrão com outras contas na sua organização. Para fazerisso, crie primeiro um compartilhamento de recurso para as sub-redes e as contas da AWS e unidadesorganizacionais (ou toda a organização) com quem você deseja compartilhá-las. Para obter informaçõessobre o compartilhamento de recursos, consulte Criação de um compartilhamento de recurso no .
Para compartilhar uma sub-rede usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Sub-redes.3. Selecione sua sub-rede e escolha Actions (Ações), Share subnet (Compartilhar sub-rede).4. Selecione seu compartilhamento de recurso e escolha Share subnet (Compartilhar sub-rede).
Para compartilhar uma sub-rede usando a AWS CLI
Use os comandos create-resource-share e associate-resource-share.
Mapeamento de sub-redes entre zonas de disponibilidadePara garantir a distribuição de recursos entre as zonas de disponibilidade de uma região, mapeamos aszonas de disponibilidade de forma independente para os nomes de cada conta. Por exemplo, a zona dedisponibilidade us-east-1a de sua conta da AWS pode não ter o mesmo local que a us-east-1a deoutra conta da AWS.
Para coordenar as zonas de disponibilidade entre contas para o compartilhamento de VPC, você deve usaro ID da AZ, que é um identificador exclusivo e consistente de uma zona de disponibilidade. Por exemplo,use1-az1 é uma das zonas de disponibilidade na região us-east-1. Os IDs de zona de disponibilidadepermitem determinar o local de recursos em uma conta em relação aos recursos em outra conta. Paraobter mais informações, consulte IDs de AZ para seus recursos no .
Como cancelar o compartilhamento de uma sub-redecompartilhadaO proprietário pode cancelar o compartilhamento de uma sub-rede com seus participantes em qualquermomento. Quando o proprietário cancela o compartilhamento de uma sub-rede compartilhada, asseguintes regras são aplicáveis:
98
Amazon Virtual Private Cloud Guia do usuárioIdentificar o proprietário de uma sub-rede compartilhada
• Os recursos existentes dos participantes continuarão em execução na sub-rede não compartilhada.• Os participantes não poderão mais criar novos recursos na sub-rede não compartilhada.• Os participantes poderão modificar, descrever e excluir seus recursos que estiverem na sub-rede.• A assinatura do log de fluxo da VPC excluirá todos os dados que pertencerem às ENIs dos participantes.
O participante poderá decidir se vai criar ou excluir os logs de fluxo da ENI.• Se os participantes ainda tiverem recursos na sub-rede não compartilhada, o proprietário não poderá
excluir a sub-rede compartilhada ou a VPC da sub-rede compartilhada. O proprietário só poderá excluir asub-rede ou a VPC da sub-rede compartilhada depois que os participantes excluírem todos os recursosda sub-rede não compartilhada.
Para cancelar o compartilhamento de uma sub-rede usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Sub-redes.3. Selecione sua sub-rede e escolha Actions (Ações), Share subnet (Compartilhar sub-rede).4. Escolha Actions (Ações), Stop sharing (Interromper compartilhamento).
Para cancelar o compartilhamento de uma sub-rede usando a AWS CLI
Use o comando disassociate-resource-share.
Identificar o proprietário de uma sub-redecompartilhadaOs participantes podem visualizar as sub-redes que são compartilhadas com eles usando o console daAmazon VPC ou a ferramenta da linha de comando.
Para identificar o proprietário de uma sub-rede (console)
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Sub-redes. A coluna Owner (Proprietário) exibe o proprietário da
sub-rede.
Para identificar o proprietário de uma sub-rede usando a AWS CLI
Use os comandos describe-subnets e describe-vpcs, que incluem o ID do proprietário em seus resultados.
Permissões de sub-redes compartilhadasPermissões do proprietárioOs proprietários de VPCs são responsáveis por criar, gerenciar e excluir todos os recursos no nívelda VPC, incluindo as sub-redes, tabelas de rotas, Network ACLs, conexões de emparelhamento, VPCendpoints, endpoints do PrivateLink, gateways da Internet, gateways NAT, gateways privados virtuais eanexos de gateways de trânsito.
Os proprietários de VPCs não podem modificar ou excluir os recursos de participantes que incluem gruposde segurança que os participantes criaram. Os proprietários de VPCs poderão visualizar os detalhesde todas as interfaces de rede e dos grupos de segurança que estiverem anexados aos recursos dosparticipantes a fim de facilitar a solução de problemas e auditoria. Os proprietários de VPCs podem criarassinaturas de log de fluxo na VPC, sub-rede ou nível de ENI para monitorar o tráfego ou solucionarproblemas.
99
Amazon Virtual Private Cloud Guia do usuárioFaturamento e medição para proprietários e participantes
Permissões de participantesOs participantes que estão em uma VPC compartilhada são responsáveis pela criação, gerenciamentoe exclusão de seus recursos, incluindo instâncias do Amazon EC2, bancos de dados do Amazon RDSe load balancers. Os participantes não poderão visualizar ou modificar recursos que pertencerem acontas de outros participantes. Os participantes poderão visualizar detalhes das tabelas de rotas eNetwork ACLs que são anexadas às sub-redes compartilhadas com eles. No entanto, eles não poderãomodificar recursos no nível da VPC, incluindo as tabelas de rotas, Network ACLs ou sub-redes. Osparticipantes poderão fazer referência aos grupos de segurança que pertencerem a outros participantes ouao proprietário usando o ID do grupo de segurança. Os participantes só podem criar assinaturas de log defluxo para as interfaces das quais eles são proprietários.
Faturamento e medição para proprietários eparticipantesEm uma VPC compartilhada, cada participante paga pelos recursos de seus aplicativos, incluindoinstâncias do Amazon EC2, bancos de dados do Amazon Relational Database Service, clusters doAmazon Redshift e funções do AWS Lambda. Os participantes também são cobrados pelas transferênciasde dados associadas com as transferências de dados realizadas entre zonas de disponibilidade,pelas conexões de emparelhamento de VPCs e por meio de um gateway do AWS Direct Connect. Osproprietários de VPCs são cobrados por hora (onde aplicável), pelo processamento de dados e pelatransferência de dados em todos os gateways NAT, gateways privados virtuais, gateways de trânsito,PrivateLink e VPC endpoints. As transferências de dados dentro de uma mesma zona de disponibilidade(identificadas por seu AZ_ID exclusivo) são gratuitas, independentemente de quem é o proprietário dosrecursos em comunicação.
Serviços sem suporte para sub-redes compartilhadasOs participantes não podem usar uma sub-rede compartilhada com os seguintes serviços:
• Amazon Aurora Serverless• AWS CloudHSM• AWS Glue• Amazon EMR• Load balancer de rede
LimitaçõesAs limitações a seguir se aplicam ao compartilhamento de VPCs:
• Os proprietários só podem compartilhar sub-redes com outras contas ou unidades organizacionais queestejam na mesma organização do AWS Organizations.
• Os proprietários não podem compartilhar sub-redes que estejam em uma VPC padrão.• Os participantes não podem executar recursos usando grupos de segurança de propriedade de outros
participantes ou proprietários.• Os participantes não podem executar recursos usando o grupo de segurança padrão da VPC, pois ele
pertence ao proprietário.• Os limites de serviços são aplicados por conta individual. Para obter mais informações sobre limites de
serviço, consulte Limites de serviço da AWS no Referência geral do Amazon Web Services.
100
Amazon Virtual Private Cloud Guia do usuárioComponentes da VPC padrão
Padrão VPC e sub-redes padrãoCaso sua conta AWS tenha sido criada após 04/12/2013, ela oferece suporte somente a EC2-VPC.Nesse caso, você terá uma VPC padrão em cada região da AWS. Uma VPC padrão está pronta para uso,portanto, você não precisa criar e configurar sua própria VPC. Você pode começar a executar instânciasdo Amazon EC2 imediatamente na VPC padrão. Você também pode usar serviços, como Elastic LoadBalancing, Amazon RDS e Amazon EMR na sua VPC padrão.
Uma VPC padrão é adequada para começar rapidamente, e para executar instâncias públicas, comoum blog ou um site simples. Você pode modificar os componentes da VPC padrão conforme necessário.Se preferir criar uma VPC não padrão que atenda às suas necessidades específicas, por exemplo, parausar o intervalo de blocos CIDR e os tamanhos de sub-rede de sua preferência, consulte os cenários deexemplo (p. 23).
Tópicos• Componentes da VPC padrão (p. 101)• Disponibilidade e plataformas compatíveis (p. 103)• Visualizar a VPC padrão e as sub-redes padrão (p. 104)• Inicialização de uma instância do EC2 na VPC padrão (p. 105)• Exclusão das suas sub-redes padrão e da VPC padrão (p. 106)• Criar uma VPC padrão (p. 106)• Criação de uma sub-rede padrão (p. 107)
Componentes da VPC padrãoQuando criamos uma VPC padrão, nós realizamos as seguintes etapas para configurá-la:
• Crie uma VPC com um bloco CIDR IPv4 de tamanho /16 (172.31.0.0/16). Isso fornece até 65.536endereços IPv4 privados.
• Crie uma sub-rede padrão de tamanho /20 em cada zona de disponibilidade. Isso fornece até 4.096endereços por sub-rede, alguns dos quais são reservados para nosso uso.
• Crie um gateway da internet (p. 219) e conecte-o à VPC padrão.• Crie uma tabela de rotas principal para a VPC padrão com uma regra que envie todo o tráfego IPv4
destinado à internet para o gateway da internet.• Criar um security group padrão e associá-lo à sua VPC padrão.• Criar uma lista de controle de acesso de rede padrão e associá-la à sua VPC padrão.• Associar o conjunto padrão de opções de DHCP de sua conta da AWS à sua VPC padrão.
A figura a seguir ilustra os principais componentes que configuramos para uma VPC padrão.
101
Amazon Virtual Private Cloud Guia do usuárioSub-redes padrão
Você pode usar uma VPC padrão como usaria qualquer outra VPC:
• Adicionar mais sub-redes não padrão.• Modificar a tabela de rotas principal.• Adicionar mais tabelas de rotas.• Associar security groups adicionais.• Atualizar as regras do security group padrão.• Adicione conexões do .• Adicione mais blocos CIDR IPv4.
Você pode usar uma sub-rede padrão da mesma forma como usaria qualquer outra sub-rede: adicionartabelas de rotas personalizadas e definir Network ACLs. Você também pode especificar uma sub-redepadrão específica ao executar uma instância do EC2.
É possível associar, opcionalmente, um bloco CIDR IPv6 à VPC padrão. Para obter mais informações,Como trabalhar com VPCs e sub-redes (p. 91).
Sub-redes padrãoPor padrão, uma sub-rede padrão é uma sub-rede pública, porque a tabela de rotas principal envia otráfego da sub-rede destinado para a internet para o gateway da internet. É possível transformar uma sub-
102
Amazon Virtual Private Cloud Guia do usuárioDisponibilidade e plataformas compatíveis
rede padrão em uma sub-rede privada removendo a rota do destino 0.0.0.0/0 para o gateway da internet.No entanto, se você fizer isso, qualquer instância do EC2 executada nessa sub-rede não poderá acessar ainternet.
As instâncias que você executa em uma sub-rede padrão recebem um endereço IPv4 público e umendereço IPv4 privado, e os dois nomes de host DNS público e privado. As instâncias iniciadas em umasub-rede não padrão em uma VPC padrão não recebem um endereço IPv4 público nem um nome dehost DNS. É possível alterar o comportamento do endereçamento IP público padrão da sub-rede. Paraobter mais informações, consulte Modificação do atributo de endereçamento IPv4 público para sua sub-rede (p. 113).
De vez em quando, a AWS pode adicionar uma nova zona de disponibilidade a uma região. Na maioriados casos, criaremos automaticamente uma nova sub-rede padrão nessa zona de disponibilidade parasua VPC padrão dentro de alguns dias. No entanto, se você tiver feito modificações na VPC padrão,não adicionaremos uma nova sub-rede padrão. Se quiser uma sub-rede padrão para a nova zona dedisponibilidade, você mesmo poderá criar uma. Para obter mais informações, consulte Criação de umasub-rede padrão (p. 107).
Disponibilidade e plataformas compatíveisCaso sua conta da AWS tenha sido criada após 04/12/2013, ela suporta somente EC2-VPC. Nesse caso,criaremos uma VPC padrão para você em cada região da AWS. Portanto, a menos que você crie uma VPCnão padrão e especifique quando iniciar uma instância, iniciaremos suas instâncias na sua VPC padrão.
Se a conta da AWS tiver sido criada antes de 18/03/2013, ela suporta ambas EC2-Classic e EC2-VPCnas regiões que você já usou anteriormente, mas apenas EC2-VPC nas regiões que você ainda não usou.Nesse caso, criamos uma VPC padrão em cada região que não tenha sido criado nenhum recurso daAWS. A menos que você crie uma VPC não padrão e especifique-a ao executar uma instância em umanova região, executamos a instância na VPC padrão daquela região. No entanto, se você iniciar umainstância em uma região que já usada antes, iniciaremos a instância no EC2-Classic.
Se você tiver criado sua conta da AWS entre 18/03/2013 e 04/12/2013, ela poderá oferecer suportesomente à EC2-VPC. Como alternativa, ela pode oferecer suporte ao EC2-Classic e à EC2-VPC emalgumas das regiões que você usou. Para obter mais informações sobre como detectar o suporte daplataforma em cada região para sua conta da AWS, consulte Como detectar suas plataformas compatíveise se você tem uma VPC padrão (p. 103). Para obter mais informações sobre quando cada região foihabilitada para VPCs padrão, consulte Anúncio: como habilitar as regiões para o conjunto de recursos daVPC padrão no fórum da AWS para a Amazon VPC.
Se uma conta da AWS suportar apenas EC2-VPC, quaisquer contas do IAM associadas à conta da AWStambém suportarão somente EC2-VPC e usarão a mesma VPC padrão que a conta da AWS.
Se sua conta da AWS oferecer suporte ao EC2-Classic e à EC2-VPC, você poderá criar uma nova contada AWS ou executar as instâncias em uma região que você não tenha usado antes. Você pode fazerisso para obter os benefícios do uso da EC2-VPC com a simplicidade de executar instâncias no EC2-Classic. Se ainda preferir adicionar uma VPC padrão a uma região que ainda não tenha uma e que ofereçasuporte ao EC2-Classic, consulte "Eu realmente quero uma VPC padrão para minha conta EC2 existente.É possível?" em Perguntas frequentes sobre as VPCs padrão.
Para obter mais informações sobre as plataformas EC2-Classic e EC2-VPC, consulte Plataformascompatíveis.
Como detectar suas plataformas compatíveis e sevocê tem uma VPC padrãoÉ possível usar o console do Amazon EC2 ou a linha de comando para determinar se sua conta da AWSoferece suporte às duas plataformas, ou se você tem uma VPC padrão.
103
Amazon Virtual Private Cloud Guia do usuárioVisualizar a VPC padrão e as sub-redes padrão
Como detectar o suporte para a plataforma usando o console do Amazon EC2
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. Na barra de navegação, use o seletor de região no canto superior direito para selecionar a região.3. No console do painel do Amazon EC2, procure Supported Platforms (Plataformas compatíveis) em
Account Attributes (Atributos da conta). Se houver dois valores, EC2 e VPC, é possível executarinstâncias em qualquer uma das plataformas. Se houver um único valor VPC, somente é possívelexecutar instâncias em EC2-VPC.
O seguinte exemplo indica que a conta oferece suporte somente para a plataforma EC2-VPC e temuma VPC padrão com o identificador vpc-1a2b3c4d.
Ao excluir sua VPC padrão, o valor Default VPC exibido será None. Para obter mais informações,consulte Exclusão das suas sub-redes padrão e da VPC padrão (p. 106).
Para detectar o suporte para a plataforma usando a linha de comando
• describe-account-attributes (AWS CLI)• Get-EC2AccountAttributes (AWS Tools para Windows PowerShell)
O atributo supported-platforms na saída indica em quais plataformas você pode executar instânciasdo EC2.
Visualizar a VPC padrão e as sub-redes padrãoVocê pode visualizar a VPC e as sub-redes padrão usando o console da Amazon VPC ou a linha decomando.
Para visualizar a VPC e as sub-redes padrão usando o console da Amazon VPC
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Your VPCs.3. Na coluna Default VPC, procure um valor de Yes. Anote o ID da VPC padrão.4. No painel de navegação, escolha Sub-redes.5. Na barra de pesquisa, digite o ID da VPC padrão. As sub-redes retornadas são sub-redes na VPC
padrão.6. Para verificar quais sub-redes são sub-redes padrão, procure um valor de Yes na coluna Default
Subnet.
Para descrever a VPC padrão usando a linha de comando
• Use describe-vpcs (AWS CLI)• Use Get-EC2Vpc (AWS Tools para Windows PowerShell)
Use os comandos com o filtro isDefault e defina o valor do filtro como true.
104
Amazon Virtual Private Cloud Guia do usuárioInicialização de uma instância do EC2 na VPC padrão
Para descrever as sub-redes padrão usando a linha de comando
• Use describe-subnets (AWS CLI)• Use Get-EC2Subnet (AWS Tools para Windows PowerShell)
Use os comandos com o filtro vpc-id e defina o valor do filtro como o ID da VPC padrão. Na saída, ocampo DefaultForAz é definido como true para as sub-redes padrão.
Inicialização de uma instância do EC2 na VPCpadrão
Ao iniciar uma instância do EC2 sem especificar uma sub-rede, ela é automaticamente iniciada em umasub-rede padrão na sua VPC padrão. Por padrão, selecionamos uma zona de disponibilidade e iniciamosa instância na sub-rede correspondente a essa zona de disponibilidade. Como alternativa, é possívelselecionar a zona de disponibilidade para a instância selecionando a sub-rede padrão correspondente noconsole ou especificando a sub-rede ou a zona de disponibilidade na AWS CLI.
Inicialização de uma instância do EC2 usando oconsolePara iniciar uma instância do EC2 na VPC padrão
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel do EC2, escolha Launch Instance.3. Siga as orientações no assistente. Selecione uma AMI e escolha um tipo de instância. Você pode
aceitar as configurações padrão para o restante do assistente escolhendo Review and Launch. Issoconduzirá você diretamente para a página Review Instance Launch.
4. Revise suas configurações. Na seção Instance Details, o padrão para Subnet é No preference (defaultsubnet in any Availability Zone). Isso significa que a instância é iniciada na sub-rede padrão da zonade disponibilidade que selecionamos. Alternativamente, escolha Edit instance details e selecione asub-rede padrão para uma zona de disponibilidade específica.
5. Escolha Launch para escolher um par de chaves e iniciar a instância.
Inicialização de uma instância do EC2 usando a linhade comandoVocê pode usar um dos seguintes comandos para iniciar uma instância do EC2:
• run-instances (AWS CLI)• New-EC2Instance (AWS Tools para Windows PowerShell)
Para iniciar uma instância do EC2 em sua VPC padrão, use esses comandos sem especificar uma sub-rede ou uma zona de disponibilidade.
Para iniciar uma instância do EC2 em uma sub-rede padrão específica em sua VPC padrão, especifique oID da sub-rede ou a zona de disponibilidade.
105
Amazon Virtual Private Cloud Guia do usuárioExclusão das suas sub-redes padrão e da VPC padrão
Exclusão das suas sub-redes padrão e da VPCpadrão
É possível excluir uma sub-rede padrão ou uma VPC padrão, assim como qualquer outra sub-rede ouVPC. No entanto, ao excluir suas sub-redes padrão ou VPC padrão, é preciso especificar explicitamenteuma sub-rede em outra VPC para iniciar a instância, porque você não poderá iniciar as instâncias no EC2-Classic. Se você não tiver outra VPC, será preciso criar uma VPC não padrão e uma sub-rede não padrão.Para obter mais informações, consulte Criar uma VPC (p. 91).
Se excluir a VPC padrão, você poderá criar uma nova. Para obter mais informações, consulte Criar umaVPC padrão (p. 106).
Se excluir uma sub-rede padrão, você poderá criar uma nova. Para obter mais informações, consulteCriação de uma sub-rede padrão (p. 107). Como alternativa, você pode criar uma sub-rede não padrãona sua VPC padrão e entrar em contato com o AWS Support para marcar a sub-rede como sub-redepadrão. É necessário fornecer os seguintes detalhes: o ID da sua conta da AWS, a região e o ID dasub-rede. Para garantir que o comportamento da nova sub-rede padrão seja o desejável, modifique oatributo da sub-rede para atribuir endereços IP públicos às instâncias executadas naquela sub-rede. Paraobter mais informações, consulte Modificação do atributo de endereçamento IPv4 público para sua sub-rede (p. 113). Você pode ter somente uma sub-rede padrão por zona de disponibilidade. Não é possívelcriar uma sub-rede padrão em uma VPC não padrão.
Criar uma VPC padrãoSe excluir a VPC padrão, você poderá criar uma nova. Você não pode recuperar um VPC padrão anteriorexcluída e não pode marcar uma VPC não padrão existente como uma VPC padrão. Se sua conta oferecersuporte ao EC2-Classic, você não poderá usar esses procedimentos para criar uma VPC padrão em umaregião que ofereça suporte ao EC2-Classic.
Quando você cria uma VPC padrão, ela é criada com os componentes (p. 101) padrão de uma VPCpadrão, incluindo uma sub-rede padrão em cada zona de disponibilidade. Você não pode especificar seuspróprios componentes. Os blocos CIDR da sub-rede da nova VPC padrão não podem ser mapeados paraas mesmas zonas de disponibilidade que a VPC padrão anterior. Por exemplo, se a sub-rede com o blocoCIDR 172.31.0.0/20 foi criada em us-east-2a na VPC padrão anterior, ela poderá ser criada em us-east-2b na nova VPC padrão.
Se você já tinha uma VPC padrão na região, você não poderá criar outra.
Para criar uma VPC padrão usando o console da Amazon VPC
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Your VPCs.3. Escolha Actions, Create Default VPC.4. Escolha Criar. Feche a tela de confirmação.
Para criar uma VPC padrão usando a linha de comando
• Você pode usar o comando create-default-vpc da AWS CLI. Esse comando não tem nenhumparâmetro de entrada.
aws ec2 create-default-vpc
106
Amazon Virtual Private Cloud Guia do usuárioCriação de uma sub-rede padrão
{ "Vpc": { "VpcId": "vpc-3f139646", "InstanceTenancy": "default", "Tags": [], "Ipv6CidrBlockAssociationSet": [], "State": "pending", "DhcpOptionsId": "dopt-61079b07", "CidrBlock": "172.31.0.0/16", "IsDefault": true }}
Como alternativa, você pode usar o comando New-EC2DefaultVpc do Tools para Windows PowerShell oua ação CreateDefaultVpc da API do Amazon EC2.
Criação de uma sub-rede padrãoVocê pode criar uma sub-rede padrão em uma zona de disponibilidade que não tenha uma. Por exemplo,talvez você queira criar uma sub-rede padrão se tiver excluído uma sub-rede padrão ou se a AWS tiveradicionado uma nova zona de disponibilidade e não tiver criado automaticamente uma sub-rede padrãopara essa zona na VPC padrão.
Quando você cria uma sub-rede padrão, ela vem com um bloco CIDR IPv4 de tamanho /20 no espaçocontíguo seguinte disponível na VPC padrão. As seguintes regras se aplicam:
• Você não pode especificar o bloco CIDR sozinho.• Você não pode restaurar uma sub-rede padrão anterior que tenha excluído.• Você pode ter somente uma sub-rede padrão por zona de disponibilidade.• Não é possível criar uma sub-rede padrão em uma VPC não padrão.
Se a sua VPC padrão não tiver espaço de endereço suficiente para criar um bloco CIDR de tamanho /20,a solicitação falhará. Se você precisar de mais espaço de endereço, pode adicionar um bloco CIDR IPv4 àsua VPC (p. 85).
Se você tiver associado um bloco CIDR IPv6 à VPC padrão, a nova sub-rede padrão não receberáautomaticamente um bloco CIDR IPv6. Em vez disso, você pode associar um bloco CIDR IPv6 à sub-redepadrão depois de criá-la. Para obter mais informações, consulte Associar um bloco CIDR IPv6 à sua sub-rede (p. 94).
Atualmente, você pode criar uma sub-rede padrão usando apenas a AWS CLI, um SDK da AWS ou a APIdo Amazon EC2.
Para criar uma sub-rede padrão usando a linha de comando
• Use o comando create-default-subnet da AWS CLI e especifique a zona de disponibilidade na qual asub-rede deve ser criada.
aws ec2 create-default-subnet --availability-zone us-east-2a
{ "Subnet": { "AvailabilityZone": "us-east-2a",
107
Amazon Virtual Private Cloud Guia do usuárioCriação de uma sub-rede padrão
"Tags": [], "AvailableIpAddressCount": 4091, "DefaultForAz": true, "Ipv6CidrBlockAssociationSet": [], "VpcId": "vpc-1a2b3c4d", "State": "available", "MapPublicIpOnLaunch": true, "SubnetId": "subnet-1122aabb", "CidrBlock": "172.31.32.0/20", "AssignIpv6AddressOnCreation": false }}
Como alternativa, você pode usar o comando CreateDefaultSubnet da API do Amazon EC2.
108
Amazon Virtual Private Cloud Guia do usuário
Endereçamento IP na sua VPCOs endereços IP habilitam recursos na sua VPC para se comunicarem entre si, e com recursos viaInternet. Amazon EC2 e Amazon VPC oferecem suporte para protocolos de endereçamento IPv4 e IPv6.
Por padrão, Amazon EC2 e Amazon VPC usam o protocolo de endereçamento IPv4. Ao criar uma VPC,você deve atribui-la a um bloco CIDR IPv4 (diversos endereços IPv4 privados). Os endereços IPv4privados não podem ser acessados pela Internet. Para conectar sua instância na Internet ou habilitar acomunicação entres suas instâncias e outros serviços da AWS que têm endpoints públicos, você podeatribuir endereços IPv4 públicos globalmente exclusivos a sua instância.
Como opção, você pode associar um bloco CIDR IPv6 a sua VPC e sub-redes e atribuir endereços IPv6desse bloco a recursos em sua VPC. Os endereços IPv6 são públicos e podem ser acessados pelaInternet.
Note
Para garantir que suas instâncias podem se comunicar com a Internet, você deve tambémanexar um Gateway da Internet à sua VPC. Para obter mais informações, consulte Gateways dainternet (p. 219).
Sua VPC pode operar em modo de pilha dupla: seus recursos podem se comunicar por IPv4, IPv6 ouambos. Os endereços IPv4 e IPv6 são independentes um do outro. Você pode configurar o roteamento e asegurança na sua VPC separadamente para IPv4 e IPv6.
A tabela a seguir resume as diferenças entre IPv4 e IPv6 em Amazon EC2 e Amazon VPC.
Características e restrições de IPv4 e IPv6
IPv4 IPv6
O formato é 32 bits, 4 grupos de até 3 dígitosnuméricos.
O formato é 128 bits, 8 grupos de 4 dígitoshexadecimais.
Padrão e obrigatório para todas as VPCs; não podeser removido.
Somente assinatura.
O tamanho do bloco CIDR da VPC pode ser de /16a /28.
O tamanho do bloco CIDR da VPC é fixo em /56.
O tamanho do bloco CIDR da sub-rede pode serde /16 a /28.
O tamanho do bloco CIDR da sub-rede é fixoem /64.
Você pode escolher o bloco CIDR IPv4 privadopara a sua VPC.
Escolhemos o bloco CIDR IPv6 para a sua VPCa partir do grupo da Amazon de endereços IPv6.Você não pode selecionar seu próprio intervalo.
Existe uma diferença entre endereços IP públicose privados. Para habilitar a comunicação com aInternet, um endereço IPv4 público é mapeado paraum endereço IPv4 primário privado pela traduçãode endereço de rede (NAT).
Não existem diferenças entre endereços IPpúblicos e privados. Os endereços IPv6 sãopúblicos.
Compatível com todos os tipos de instâncias. Compatível com todos os tipos de instância dageração atual e com os tipos de instância C3, R3e I2 das gerações anteriores. Para obter maisinformações, consulte Tipos de instância.
109
Amazon Virtual Private Cloud Guia do usuárioEndereços IPv4 privados
IPv4 IPv6
Compatível com conexões EC2-Classic e EC2-Classic com uma VPC pelo ClassicLink.
Não é compatível com conexões EC2-Classic eEC2-Classic com uma VPC pelo ClassicLink.
Compatível com todos as AMIs. Compatível automaticamente com AMIs quesão configuradas para DHCPv6. As versõesdo Amazon Linux 2016.09.0 e posteriores edo Windows Server 2008 R2 e posterioressão configuradas para DHCPv6. Para outrasAMIs, você deve configurar manualmente suainstância (p. 123) para reconhecer quaisquerendereços IPv6 atribuídos.
Uma instância recebe um nome de host DNSprivado fornecido pela Amazon que correspondeao seu endereço IPv4 privado e, se aplicável, umnome de host DNS público que corresponde aoIPv4 público ou endereço IP elástico.
Os nomes de host DNS fornecidos pela Amazonnão são suportados.
Os endereços IPv4 elásticos são suportados. Os endereços IPv6 elásticos não são suportados.
Compatível com conexões do e gateways declientes, dispositivos NAT e VPC endpoints.
Incompatível com conexões do e gateways declientes, dispositivos NAT e VPC endpoints.
Suportamos tráfego IPv6 por um gateway privado virtual para uma conexão AWS Direct Connect. Paraobter mais informações, consulte o .
Endereços IPv4 privadosEndereços IPv4 privados (também referidos como endereços IP privados neste tópico) não são acessíveispela Internet e podem ser usados para comunicação entre as instâncias em sua VPC. Quando você iniciauma instância em uma VPC, um endereço IP privado primário do intervalo de endereços IPv4 da sub-redeé atribuído à interface de rede (eth0) padrão da instância. Cada instância também recebe um nome dehost DNS privado (interno) que resolve o endereço IP privado da instância. Se você não especificar umendereço IP privado primário, selecionaremos um endereço IP disponível no intervalo da sub-rede. Paraobter mais informações sobre interfaces de rede, consulte Interfaces de rede elásticas no Guia do usuáriodo Amazon EC2 para instâncias do Linux.
Você pode atribuir endereços IP privados adicionais, conhecidos como endereços IP privados secundários,a instâncias que estejam sendo executadas em uma VPC. Ao contrário de um endereço IP privadoprimário, você poderá atribuir novamente um endereço IP privado secundário de uma interface de redepara outra. Um endereço IP privado permanece associado à interface de rede quando a instância éinterrompida e reiniciada e é liberada quando a instância é encerrada. Para obter mais informações sobreendereços IP primários e secundários, consulte Vários endereços IP no Guia do usuário do Amazon EC2para instâncias do Linux.
Note
Fazemos referência a endereços IP privados como os endereços IP que estão dentro do intervaloCIDR IPv4 da VPC. A maioria dos intervalos de endereço IP da VPC se enquadram nas escalasde endereços IP privados (não roteáveis publicamente) especificados no RFC 1918. No entanto,você pode usar blocos CIDR roteáveis publicamente para sua VPC. Independentemente dointervalo de endereço IP da sua VPC, não oferecemos suporte para acesso direto à Internet dobloco CIDR da sua VPC, incluindo um bloco CIDR publicamente roteável. Você deve configurar
110
Amazon Virtual Private Cloud Guia do usuárioEndereços IPv4 públicos
o acesso à Internet por meio de um gateway. Por exemplo, um gateway da Internet, um gatewayprivado virtual, uma conexão do ou do AWS Direct Connect.
Endereços IPv4 públicosTodas as sub-redes têm um atributo que determina se uma interface de rede criada na sub-rede recebeautomaticamente um endereço público IPv4 (também referido como um endereço IP público neste tópico).Portanto, quando você inicia uma instância em uma sub-rede que possui esse atributo habilitado, umendereço IP público é atribuído à interface de rede primária (eth0) criada para a instância. Um endereço IPpúblico é mapeado para o endereço IP privado primário pela tradução de endereço de rede (NAT).
Você pode controlar se sua instância recebe um endereço IP público fazendo o seguinte:
• Modificando o atributo de endereçamento IP público de sua sub-rede. Para obter mais informações,consulte Modificação do atributo de endereçamento IPv4 público para sua sub-rede (p. 113).
• Habilitando ou desabilitando o recurso de endereçamento IP público durante a inicialização da instância,que substitui o atributo de endereçamento IP público da sub-rede. Para obter mais informações, consulteAtribuição de um endereço de público IPv4 durante a inicialização de instância (p. 113).
Um endereço IP público é atribuído do grupo da Amazon de endereços IP públicos; não está associado àsua conta. Quando um endereço IP público é desassociado de sua instância, ele é lançado de volta parao grupo e não está mais disponível para você usar. Você não pode associar manualmente ou desassociarum endereço IP público. Em vez disso, em certos casos, liberamos o endereço IP público de sua instânciaou atribuímos um novo. Para obter mais informações, consulte Endereços IP públicos no Guia do usuáriodo Amazon EC2 para instâncias do Linux.
Se você precisar de um endereço IP público persistente alocado para sua conta, que pode ser atribuído eremovido de instâncias conforme necessário, use um endereço IP elástico em vez disso. Para obter maisinformações, consulte Endereços Elastic IP (p. 263).
Se sua VPC estiver ativada para suportar a nomes de host DNS, cada instância que recebe um endereçoIP público ou um endereço IP elástico e um nome de host DNS público. Resolvemos um nome de hostDNS público para o endereço IP público da instância fora da rede da instância e para o endereço IPprivado da instância dentro da rede da instância. Para obter mais informações, consulte Como usar DNScom sua VPC (p. 259).
Endereços IPv6Você pode opcionalmente associar um bloco CIDR IPv6 a sua VPC e sub-redes. Para obter maisinformações, consulte os tópicos a seguir:
• Como associar um bloco CIDR IPv6 a sua VPC (p. 93)• Associar um bloco CIDR IPv6 à sua sub-rede (p. 94)
A sua instância em uma VPC recebe um endereço IPv6 se um bloco CIDR IPv6 estiver associado a suaVPC e sua sub-rede, e se uma das seguintes afirmações for verdadeira:
• Sua sub-rede está configurada para atribuir automaticamente um endereço IPv6 à interface de redeprincipal de uma instância durante a inicialização.
• Você atribui manualmente um endereço IPv6 à sua instância durante a inicialização.• Você atribui um endereço IPv6 à sua instância após a inicialização.
111
Amazon Virtual Private Cloud Guia do usuárioComportamento de endereçamento de IP para sua sub-rede
• Você atribui um endereço IPv6 a uma interface de rede na mesma sub-rede e anexa a interface de redea sua instância após a inicialização.
Quando sua instância recebe um endereço IPv6 durante a inicialização, o endereço está associado ainterface de rede primária (eth0) de instância. Você pode desassociar o endereço IPv6 da interface de redeprimária. Não oferecemos suporte a nomes de host DNS IPv6 da sua instância.
Um endereço IPv6 persiste quando você para e inicia a instância, e é liberado quando você encerra ainstância. Você não pode atribuir novamente um endereço IPv6 enquanto ele estiver atribuído a outrainterface de rede — você deve primeiro cancelar a atribuição.
Você pode atribuir endereços IPv6 adicionais à instância atribuindo-os a uma interface de rede anexadaà instância. O número de endereços IPv6 que você pode atribuir a uma interface de rede e o número deinterfaces de rede que você pode anexar a uma instância varia de acordo com o tipo de instância. Paraobter mais informações, consulte Endereços IP por interface de rede por tipo de instância no Guia dousuário do Amazon EC2.
Os endereços IPv6 são globalmente exclusivos e, portanto, acessíveis pela Internet. Você pode controlarse as instâncias são acessíveis através de seus endereços IPv6, controlando o roteamento da sua sub-rede ou usando o security group e as regras de Network ACL. Para obter mais informações, consulteSegurança (p. 130).
Para obter mais informações sobre intervalos de endereço IPv6 reservados, consulte Registro de endereçopara finalidades especiais IANA IPv6 e RFC4291.
Comportamento de endereçamento de IP para suasub-rede
Todas as sub-redes têm um atributo modificável que determina se uma interface de rede criada nesta sub-rede recebe um endereço IPv4 público e, se aplicável, um endereço IPv6. Isso inclui a interface de redeprimária (eth0) criada para uma instância quando você inicia uma instância nesta sub-rede.
Independentemente do atributo da sub-rede, você ainda pode substituir esta configuração para umainstância específica durante a inicialização. Para obter mais informações, consulte Atribuição de umendereço de público IPv4 durante a inicialização de instância (p. 113) e Atribuição de um endereço depúblico IPv6 durante a inicialização de instância (p. 114).
Como trabalhar com endereços IPVocê pode modificar o comportamento de endereçamento IP da sua sub-rede, atribuir um endereço IPv4público à sua instância durante a inicialização e atribuir ou cancelar a atribuição dos endereços IPv6 para ea partir da sua instância.
Tarefas• Modificação do atributo de endereçamento IPv4 público para sua sub-rede (p. 113)• Modificação do atributo de endereçamento IPv6 para sua sub-rede (p. 113)• Atribuição de um endereço de público IPv4 durante a inicialização de instância (p. 113)• Atribuição de um endereço de público IPv6 durante a inicialização de instância (p. 114)• Atribuir um endereço IPv6 a uma instância (p. 115)• Cancelar a atribuição de um endereço IPv6 de uma instância (p. 116)• Visão geral sobre API e comando (p. 116)
112
Amazon Virtual Private Cloud Guia do usuárioModificação do atributo de endereçamento
IPv4 público para sua sub-rede
Modificação do atributo de endereçamento IPv4público para sua sub-redePor padrão, as sub-redes não padrão apresentam o atributo de endereçamento público IPv4 configuradocomo false e as sub-redes padrão têm esse atributo definido como true. Uma exceção é uma sub-redenão padrão criada pelo assistente de instância de inicialização do Amazon EC2 — o assistente define oatributo como true. Você pode modificar este atributo usando o console da Amazon VPC.
Para modificar o comportamento de endereçamento IPv4 público da sua sub-rede
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Sub-redes.3. Selecione sua sub-rede e escolha Ações de sub-redes, Modificar configurações de IP de atribuição
automática.4. A caixa de seleção Ativar a atribuição automática de endereço IPv4 público, se selecionada, solicita
um endereço IPv4 público para todas as instâncias iniciadas na sub-rede selecionada. Marque oudesmarque a caixa de seleção conforme necessário, e selecione Save.
Modificação do atributo de endereçamento IPv6 parasua sub-redePor padrão, todas as sub-redes possuem o atributo de endereçamento IPv6 configurado como false.Você pode modificar este atributo usando o console da Amazon VPC. Se você habilitar o atributo deendereçamento IPv6 para sua sub-rede, as interfaces de rede criadas na sub-rede recebem um endereçoIPv6 do intervalo da sub-rede. As instâncias iniciadas na sub-rede recebem um endereço IPv6 na interfacede rede primária.
Sua sub-rede deve ter um bloco CIDR IPv6 associado.
Note
Se você habilitar o recurso de endereçamento IPv6 para a sua sub-rede, sua interface de rede ouinstância só receberá um endereço IPv6 se for criado usando a versão 2016-11-15 ou superiorda API do Amazon EC2. O console do Amazon EC2 usa a versão mais recente da API.
Para modificar o comportamento de endereçamento IPv6 público da sua sub-rede
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Sub-redes.3. Selecione sua sub-rede e escolha Ações de sub-redes, Modificar configurações de IP de atribuição
automática.4. A caixa de seleção Habilitar a atribuição automática de endereço IPv6, se selecionada, solicita
um endereço IPv6 para todas as interfaces de rede criadas na sub-rede selecionada. Marque oudesmarque a caixa de seleção conforme necessário, e selecione Save.
Atribuição de um endereço de público IPv4 durante ainicialização de instânciaVocê pode controlar se sua instância em uma sub-rede padrão ou não padrão é atribuída a um endereçoIPv4 público durante a inicialização.
113
Amazon Virtual Private Cloud Guia do usuárioAtribuição de um endereço de público
IPv6 durante a inicialização de instância
Important
Você não pode desassociar manualmente o endereço público IPv4 da sua instância apósa inicialização. Em vez disso, ele é automaticamente iniciado em certos casos, após o qualvocê não pode reutilizá-lo. Se você precisar de um endereço IP público persistente que épossível associar ou desassociar à vontade, associe um endereço IP elástico à instância após ainicialização em vez disso. Para obter mais informações, consulte Endereços Elastic IP (p. 263).
Para atribuir um endereço IPv4 público a uma instância durante a inicialização
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. Selecione Launch Instance (Iniciar instância).3. Selecione uma AMI e um tipo de instância e selecione Next: Configure Instance Details.4. Na página Configurar detalhes da instância, selecione uma VPC; na lista Rede. A lista Atribuir IP
público automaticamente é exibida. Selecione Habilitar ou Desabilitar para substituir a configuraçãopadrão para a sub-rede.
Important
Um endereço público IPv4 não pode ser atribuído se você especificar mais de uma interfacede rede. Além disso, você não pode substituir a configuração da sub-rede usando o recursoIPv4 público de atribuição automática, se você especificar uma interface de rede existentepara eth0.
5. Siga as etapas restantes no assistente para iniciar a instância.6. Na tela Instâncias, selecione sua instância. Na guia Descrição, no campo IP IPv4 público, você pode
visualizar o endereço IP público da sua instância. Alternativamente, no painel de navegação, escolhaInterfaces de rede e selecione a interface de rede eth0 para sua instância. Você pode visualizar oendereço IP público no campo IP IPv4 público.
Note
O endereço de público IPv4 é exibido como uma propriedade de interface de rede noconsole, mas mapeou o endereço IPv4 privado primário pelo NAT. Portanto, se vocêinspecionar as propriedades de interface de rede em sua instância, por exemplo, atravésde ipconfig em uma instância do Windows ou ifconfig em uma instância do Linux, oendereço IP público não será exibido. Para determinar o endereço IP público da sua instânciadentro da instância, você pode usar os metadados de instância. Para obter mais informações,consulte Metadados de instância e dados do usuário.
Este recurso só está disponível durante a inicialização. No entanto, se você atribuir ou não um endereçoIPv4 público à sua instância durante a inicialização, você pode associar um endereço IP elástico asua instância depois que ele for iniciado. Para obter mais informações, consulte Endereços ElasticIP (p. 263).
Atribuição de um endereço de público IPv6 durante ainicialização de instânciaVocê pode atribuir automaticamente um endereço IPv6 para sua instância durante a inicialização. Parafazer isso, você deve iniciar sua instância em uma VPC e uma sub-rede que tenha um bloco CIDR IPv6associado (p. 93). O endereço IPv6 é atribuído do intervalo da sub-rede e é atribuído à interface de redeprincipal (eth0).
Para atribuir automaticamente um endereço IPv6 a uma instância durante a execução
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.
114
Amazon Virtual Private Cloud Guia do usuárioAtribuir um endereço IPv6 a uma instância
2. Selecione Launch Instance (Iniciar instância).3. Selecione um AMI e um tipo de instância e escolha Next: Configure Instance Details.
Note
Selecione um tipo de instância que ofereça suporte a endereços IPv6.4. Na página Configure Instance Details, selecione uma VPC em Rede e uma sub-rede em Sub-rede. Em
Auto-assign IPv6 IP, escolha Habilitar.5. Siga as etapas restantes no assistente para iniciar a instância.
Alternativamente, se você quiser atribuir um endereço IPv6 específico do intervalo de sub-rede à suainstância durante a inicialização, você pode atribuir o endereço à interface de rede primária da suainstância.
Para atribuir um endereço IPv6 específico a uma instância durante a inicialização
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. Selecione Launch Instance (Iniciar instância).3. Selecione um AMI e um tipo de instância e escolha Next: Configure Instance Details.
Note
Selecione um tipo de instância que ofereça suporte a endereços IPv6.4. Na página Configure Instance Details, selecione uma VPC em Rede e uma sub-rede em Sub-rede.5. Acesse a seção Interfaces de rede. Para a interface de rede eth0, em IPs IPv6, selecione Adicionar IP.6. Digite um endereço IPv6 do intervalo da sub-rede.7. Siga as etapas restantes no assistente para iniciar a instância.
Para obter mais informações sobre como atribuir vários endereços IPv6 à sua instância durante ainicialização, consulte Como trabalhar com vários endereços IPv6 no Guia do usuário do Amazon EC2para instâncias do Linux
Atribuir um endereço IPv6 a uma instânciaSe a sua instância estiver em uma VPC e uma sub-rede com um bloco CIDR IPv6 associado (p. 93), vocêpoderá usar o console do Amazon EC2 para atribuir um endereço IPv6 à sua instância a partir do intervaloda sub-rede.
Para associar um endereço IPv6 à sua instância
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, selecione Instâncias e selecione sua instância.3. Escolha Actions (Ações), Networking (Redes), Manage IP Addresses (Gerenciar endereços IP).4. Em Endereços IPv6, escolha Atribuir novo IP. Você pode especificar um endereço IPv6 no intervalo da
sub-rede ou deixar o valor Auto-assign para permitir que a Amazon escolha um endereço IPv6 paravocê.
5. Escolha Salvar.
Como alternativa, você pode atribuir um endereço IPv6 a sua interface de rede. Para obter maisinformações, consulte Atribuição de um endereço IPv6 no tópico Interfaces de rede elásticas no Guia dousuário do Amazon EC2 para instâncias do Linux.
115
Amazon Virtual Private Cloud Guia do usuárioCancelar a atribuição de um
endereço IPv6 de uma instância
Cancelar a atribuição de um endereço IPv6 de umainstânciaSe você não precisar mais de um endereço IPv6 para sua instância, é possível desassociá-lo da instânciausando o console do Amazon EC2.
Para desassociar um endereço IPv6 da sua instância
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, selecione Instâncias e selecione sua instância.3. Escolha Actions (Ações), Networking (Redes), Manage IP Addresses (Gerenciar endereços IP).4. Em Endereços IPv6, selecione Cancelar atribuição para os de endereços IPv6.5. Escolha Salvar.
Alternativamente, você pode desassociar um endereço IPv6 a partir de uma interface de rede. Para obtermais informações, consulte Cancelar atribuição de um endereço IPv6 no tópico Interfaces de rede elásticasno Guia do usuário do Amazon EC2 para instâncias do Linux.
Visão geral sobre API e comandoVocê pode executar as tarefas descritas nesta página usando a linha de comando ou uma API. Para obtermais informações sobre as interfaces de linha de comando e uma lista de APIs disponíveis, consulte Comoacessar a Amazon VPC (p. 8).
Atribuir um endereço público IPv4 durante a inicialização
• Use a opção --associate-public-ip-address ou --no-associate-public-ip-address como comando run-instances. (AWS CLI)
• Use o parâmetro -AssociatePublicIp com o comando New-EC2Instance. (AWS Tools paraWindows PowerShell)
Atribuir um endereço IPv6 durante a inicialização
• Use a opção --ipv6-addresses com o comando run-instances. (AWS CLI)• Use o parâmetro -Ipv6Addresses com o comando New-EC2Instance. (AWS Tools para Windows
PowerShell)
Modificar o comportamento de endereçamento IP de uma sub-rede
• modify-subnet-attribute (AWS CLI)• Edit-EC2SubnetAttribute (AWS Tools para Windows PowerShell)
Atribuir um endereço IPv6 a uma interface de rede
• assign-ipv6-addresses (AWS CLI)• Register-EC2Ipv6AddressList (AWS Tools para Windows PowerShell)
Desassociar um endereço IPv6 de uma interface de rede
• unassign-ipv6-addresses (AWS CLI)
116
Amazon Virtual Private Cloud Guia do usuárioMigração para o IPv6
• Unregister-EC2Ipv6AddressList (AWS Tools para Windows PowerShell)
Migração para o IPv6Se você possuir uma VPC existente que ofereça suporte somente para IPv4 e recursos na sub-redeque sejam configurados para usar somente o IPv4, você pode habilitar o suporte ao IPv6 para a VPC erecursos. A VPC pode operar em modo de pilha dupla — os recursos podem se comunicar via IPv4, IPv6,ou ambos. A comunicação IPv4 é independente da comunicação IPv6.
Não é possível desativar o suporte IPv4 para sua VPC e sub-redes. Este é o sistema de endereçamento IPpadrão para a Amazon VPC e Amazon EC2.
Note
Essas informações pressupõem que você tenha uma VPC existente com sub-redes públicas eprivadas. Para obter informações sobre como configurar uma VPC para uso com IPv6, consulteConceitos básicos do IPv6 para Amazon VPC (p. 16).
A tabela a seguir fornece uma visão geral das etapas para habilitar sua VPC e sub-redes para usarem oIPv6.
Etapa Observações
Etapa 1: associe um bloco CIDR IPv6 com a VPC eas sub-redes (p. 120)
Associe um bloco CIDR IPv6 fornecido pelaAmazon com a VPC e com as sub-redes.
Etapa 2: atualize suas tabelas de rota (p. 121) Atualize as tabelas de rota para encaminhar otráfego IPv6. Para uma sub-rede pública, crie umarota que encaminhe todo o tráfego IPv6 da sub-rede para o gateway de Internet. Para uma sub-rede privada, crie uma rota que encaminhe todoo tráfego IPv6 direcionado à Internet da sub-redepara um gateway de Internet somente de saída.
Etapa 3: atualize as regras do SecurityGroup (p. 121)
Atualize as regras do security group de modo aincluir regras para endereços IPv6. Isso permiteque o tráfego IPv6 flua para e a partir dasinstâncias. Se você criou regras personalizadas denetwork ACL para controlar o fluxo de tráfego parae a partir da sub-rede, você deve incluir regraspara o tráfego IPv6.
Etapa 4: altere o tipo de instância (p. 122) Se o tipo de instância não oferecer suporte a IPv6,altere o tipo de instância.
Etapa 5: atribua endereços IPv6 àsinstâncias (p. 123)
Atribua endereços IPv6 às instâncias a partir dointervalo de endereços IPv6 da sub-rede.
Etapa 6: (Opcional) Configure o IPv6 nasinstâncias (p. 123)
Se a instância for iniciada a partir de uma AMI quenão esteja configurada para usar DHCPv6, vocêdeve configurar a instância manualmente para quereconheça um endereço IPv6 atribuído a ela.
Antes de migrar para o IPv6, certifique-se de ter lido os recursos do endereçamento IPv6 para a AmazonVPC: Características e restrições de IPv4 e IPv6 (p. 109).
117
Amazon Virtual Private Cloud Guia do usuárioExemplo: habilitação do IPv6 em umaVPC com sub-rede pública e privada
Tópicos• Exemplo: habilitação do IPv6 em uma VPC com sub-rede pública e privada (p. 118)• Etapa 1: associe um bloco CIDR IPv6 com a VPC e as sub-redes (p. 120)• Etapa 2: atualize suas tabelas de rota (p. 121)• Etapa 3: atualize as regras do Security Group (p. 121)• Etapa 4: altere o tipo de instância (p. 122)• Etapa 5: atribua endereços IPv6 às instâncias (p. 123)• Etapa 6: (Opcional) Configure o IPv6 nas instâncias (p. 123)
Exemplo: habilitação do IPv6 em uma VPC com sub-rede pública e privadaNeste exemplo, a VPC possui uma sub-rede pública e privada. Você tem uma instância de banco de dadosna sub-rede privada que possui comunicação de saída com a Internet por meio de um gateway NAT naVPC. Você tem um servidor web voltado para o público na sub-rede pública que possui acesso à Internetpor meio do gateway de Internet. O diagrama a seguir ilustra a arquitetura da VPC.
O security group para o servidor da web (sg-11aa22bb) tem as seguintes regras de entrada:
118
Amazon Virtual Private Cloud Guia do usuárioExemplo: habilitação do IPv6 em umaVPC com sub-rede pública e privada
Type Protocolo Intervalo de portas Origem Comentário
Todo o tráfego Tudo Tudo sg-33cc44dd Permite acessode entrada paratodo o tráfegode instânciasassociadas aosg-33cc44dd (ainstância do bancode dados).
HTTP TCP 80 0.0.0.0/0 Permite tráfego deentrada da Internetvia HTTP.
HTTPS TCP 443 0.0.0.0/0 Permite tráfego deentrada da Internetvia HTTPS.
SSH TCP 22 203.0.113.123/32 Permite o acessoSSH de entradaa partir do seucomputador local.Por exemplo,quando vocêprecisa seconectar àinstância paraexecutar tarefas deadministração.
O security group para a instância do banco de dados (sg-33cc44dd) tem a seguinte regra de entrada:
Type Protocolo Intervalo de portas Origem Comentário
MySQL TCP 3306 sg-11aa22bb Permite acessode entrada parao tráfego MySQLde instânciasassociadas aosg-11aa22bb(a instância doservidor da web).
Ambos os security groups têm a regra de saída padrão que permite todo o tráfego IPv4 de saída enenhuma outra regra de saída.
O servidor da web é do tipo de instância t2.medium. O servidor de banco de dados é um m3.large.
Você deseja que a VPC e os recursos estejam habilitados para IPv6 e também que eles operem no modopilha dupla. Em outras palavras, você quer usar o endereçamento IPv6 e IPv4 entre recursos da VPC erecursos via Internet.
Depois de concluídas as etapas, a VPC terá a seguinte configuração:
119
Amazon Virtual Private Cloud Guia do usuárioEtapa 1: associe um bloco CIDRIPv6 com a VPC e as sub-redes
Etapa 1: associe um bloco CIDR IPv6 com a VPC e assub-redesVocê pode associar um bloco CIDR IPv6 com a VPC e, em seguida, associar um bloco CIDR /64 desseintervalo com cada sub-rede.
Para associar um bloco CIDR IPv6 a uma VPC
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Your VPCs.3. Selecione sua VPC, escolha Ações, Edit CIDRs.4. Escolha Adicionar CIDR IPv6. Depois que o bloco CIDR IPv6 for adicionado, escolha Fechar.
Para associar um bloco CIDR IPv6 a uma sub-rede
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Sub-redes.3. Selecione sua sub-rede e escolha Ações de sub-redes, Edit CIDRs IPv6.
120
Amazon Virtual Private Cloud Guia do usuárioEtapa 2: atualize suas tabelas de rota
4. Escolha Adicionar CIDR IPv6. Especifique o par hexadecimal para a sub-rede (por exemplo, 00) econfirme a entrada escolhendo o ícone de seleção.
5. Escolha Fechar. Repita as etapas para as outras sub-redes da VPC.
Para obter mais informações, consulte Dimensionamento da VPC e sub-rede para IPv6 (p. 89).
Etapa 2: atualize suas tabelas de rotaPara uma sub-rede pública, você deverá atualizar a tabela de rotas para permitir que instâncias (comoservidores web) usem o gateway de Internet para tráfego IPv6.
Para uma sub-rede privada, você deve atualizar a tabela de rotas para permitir que instâncias (comoinstâncias do banco de dados) usem um gateway de Internet de somente saída para tráfego IPv6.
Para atualizar sua tabela de rotas para um sub-rede pública
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Tabela de rotas e selecione a tabela de rotas associada à sub-rede
pública.3. Na guia Routes, escolha Edit.4. Escolha Add another route. Especifique ::/0 para Destination (Destino), selecione o ID do gateway
de Internet para Target (Alvo) e selecione Save (Salvar).
Para atualizar sua tabela de rotas para uma sub-rede privada
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. Se você estiver usando um dispositivo NAT na sua sub-rede privada, ele não oferecerá suporte a
tráfego IPv6. Em vez disso, crie um gateway de Internet somente de saída para sua sub-rede privadapara permitir comunicação de saída para a Internet via IPv6 e evitar comunicação de entrada. Umgateway de Internet somente de saída oferece suporte somente ao tráfego IPv6. Para obter maisinformações, consulte Gateways da Internet somente de saída (p. 225).
3. No painel de navegação, escolha Route Tables e selecione a tabela de rotas associada à sub-redeprivada.
4. Na guia Routes, escolha Edit.5. Escolha Add another route. Para Destination, especifique ::/0. Para Target (Destino), selecione o ID
do gateway da Internet somente de saída e depois selecione Save (Salvar).
Para obter mais informações, consulte Opções de roteamento (p. 211).
Etapa 3: atualize as regras do Security GroupPara permitir que as instâncias enviem e recebam tráfego pelo IPv6, é necessário atualizar as regras desecurity group para incluir regras para endereços IPv6.
Por exemplo, no exemplo acima, atualize o security group do servidor web (sg-11aa22bb) para adicionarregras que permitem HTTP e HTTPS de entrada e acesso SSH a partir de endereços IPv6. Não énecessário fazer alterações nas regras de entrada para o security group do banco de dados. A regra quepermite toda a comunicação de sg-11aa22bb inclui a comunicação IPv6 por padrão.
Para atualizar as regras do security group
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.
121
Amazon Virtual Private Cloud Guia do usuárioEtapa 4: altere o tipo de instância
2. No painel de navegação, escolha Security Groups e selecione o security group do servidor da web.3. Na guia Inbound Rules, escolha Edit.4. Para cada regra, escolha Add another rule, e escolha Save quando tiver concluído. Por exemplo, para
adicionar uma regra que permite todo o tráfego HTTP pelo IPv6, para Type, selecione HTTP e paraSource insira ::/0.
Por padrão, uma regra de saída que permite o tráfego IPv6 seja adicionado automaticamente aos securitygroups quando você associar um bloco CIDR IPv6 à VPC. No entanto, se você modificou as regras desaída originais para o security group, esta regra não será adicionada automaticamente e você deveráadicionar regras de saída equivalentes para o tráfego IPv6. Para obter mais informações, consulte Securitygroups para sua VPC (p. 131).
Atualize as regras de Network ACLSe você associar um bloco CIDR IPv6 à VPC, automaticamente adicionaremos regras à network ACLpadrão para permitir o tráfego IPv6, desde que as regras padrão não tenham sido modificadas. Se vocêmodificou a network ACL padrão ou se você criou uma network ACL personalizada com regras paracontrolar o fluxo de tráfego para e a partir da sub-rede, você deve adicionar manualmente regras parao tráfego IPv6. Para obter mais informações, consulte Regras de Network ACL recomendadas para suaVPC (p. 154).
Etapa 4: altere o tipo de instânciaTodos os tipos de instância da geração atual oferecem suporte a IPv6. Para obter mais informações,consulte Tipos de instância.
Se o tipo de instância não suporta IPv6, redimensione a instância para um tipo de instância suportado.No exemplo acima, a instância do banco de dados é do tipo m3.large que não oferece suporte ao IPv6.Você deve redimensionar a instância para um tipo de instância compatível, como por exemplo, m4.large.
Para redimensionar a instância, esteja ciente das limitações de compatibilidade. Para obter maisinformações, consulte Compatibilidade para redimensionamento de instâncias no Guia do usuário doAmazon EC2 para instâncias do Linux. Nesse cenário, se a instância de banco de dados foi iniciada apartir de um AMI que usa a virtualização HVM, você pode redimensioná-la para um tipo de instânciam4.large usando o procedimento a seguir.
Important
Para redimensionar a instância, você deve interrompê-la. Parar e iniciar uma instância causaa alteração do endereço público IPv4 para a instância, se houver um. Se você possuir dadosarmazenados em volumes de armazenamento de instância, os dados serão apagados.
Para redimensionar a instância
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, escolha Instâncias e selecione a instância do banco de dados.3. Escolha Ações, Instance State, Parar.4. Na caixa de diálogo para confirmação, escolha Yes, parar.5. Com a instância ainda selecionada, escolha Ações, Instance Settings, Change Instance Type.6. Para Tipo de instância, escolha o novo tipo de instância e, em seguida, selecione Aplicar.7. Para reiniciar a instância interrompida, selecione a instância e escolha Ações, Instance State, Iniciar.
Na caixa de diálogo para confirmação, escolha Sim, iniciar.
122
Amazon Virtual Private Cloud Guia do usuárioEtapa 5: atribua endereços IPv6 às instâncias
Se a instância for uma instance store-backed AMI, você não poderá redimensioná-la usando oprocedimento anterior. Em vez disso, você poderá criar uma instance store-backed AMI a partir dainstância e iniciar uma nova instância a partir da AMI usando um novo tipo de instância. Para obter maisinformações, consulte Criar uma AMI do Linux com armazenamento de instâncias no Guia do usuário doAmazon EC2 para instâncias do Linux e Criar uma AMI do Windows com armazenamento de instâncias noGuia do usuário do Amazon EC2 para instâncias do Windows.
Você pode não conseguir migrar para um novo tipo de instância se houver limitações de compatibilidade.Por exemplo, se a instância for iniciada a partir de uma AMI que usa a virtualização PV, o único tipo deinstância que admitirá a virtualização PV e IPv6 é o C3. Esse tipo de instância pode não ser adequado àssuas necessidades. Nesse caso, talvez seja necessário reinstalar o software em uma AMI HVM base einiciar uma nova instância.
Se você iniciar uma instância de uma nova AMI, você poderá atribuir um endereço IPv6 à instância duranteo lançamento.
Etapa 5: atribua endereços IPv6 às instânciasDepois de verificar se o tipo de instância oferece suporte ao IPv6, você poderá atribuir um endereço IPv6 àinstância usando o console Amazon EC2. O endereço IPv6 é atribuído à interface de rede primária (eth0)para a instância.
Para atribuir um endereço IPv6 à instância
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, escolha Instances (Instâncias).3. Selecione a instância e escolha Ações, Redes, Manage IP Addresses.4. Em Endereços IPv6, escolha Atribuir novo IP. Você pode inserir um endereço IPv6 específico do
intervalo da sub-rede ou pode deixar o valor padrão Auto-Assign para permitir que a Amazonescolha um para você.
5. Escolha Yes, Update.
Como alternativa, se você iniciar uma nova instância (por exemplo, se você não conseguiu redimensionara instância e criou uma nova AMI), você pode atribuir um endereço IPv6 durante o lançamento.
Para atribuir um endereço IPv6 a uma instância durante a execução
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. Selecione uma AMI e um tipo de instância compatível com IPv6 e escolha Next: Configure Instance
Details.3. Na página Configure Instance Details, selecione a VPC em Network e uma sub-rede em Sub-rede. Em
Auto-assign IPv6 IP, selecione Habilitar.4. Siga as etapas restantes no assistente para iniciar a instância.
Etapa 6: (Opcional) Configure o IPv6 nas instânciasSe você executou a instância usando o Amazon Linux 2016.09.0 ou versão posterior ou o WindowsServer 2008 R2 ou versão posterior, a instância está configurada para IPv6, e nenhuma etapa adicional énecessária.
Se a instância foi executada a partir de uma AMI diferente, ela não pode estar configurada paraDHCPv6, o que significa que qualquer endereço IPv6 que você atribuir à instância não será reconhecido
123
Amazon Virtual Private Cloud Guia do usuárioEtapa 6: (Opcional) Configure o IPv6 nas instâncias
automaticamente na interface de rede primária. Para verificar se o endereço IPv6 está configurado nainterface de rede, use o comando ifconfig no Linux ou o comando ipconfig no Windows.
Você pode configurar a instância usando as seguintes etapas. Você precisará conectar-se à instânciausando o endereço público IPv4. Para obter mais informações, consulte Conectar-se à instância do Linuxno Guia do usuário do Amazon EC2 para instâncias do Linux e Conectar-se à instância do Windows noGuia do usuário do Amazon EC2 para instâncias do Windows.
Sistema operacional• Amazon Linux (p. 124)• Ubuntu (p. 125)• RHEL/CentOS (p. 126)• Windows (p. 128)
Amazon LinuxPara configurar o DHCPv6 no Amazon Linux
1. Conecte-se à instância usando o endereço IPv4 público da mesma.2. Obtenha os pacotes de software mais recentes para a instância:
sudo yum update -y
3. Usando um editor de texto de sua escolha, abra /etc/sysconfig/network-scripts/ifcfg-eth0 e localize a seguinte linha:
IPV6INIT=no
Substitua a linha encontrada pelo seguinte:
IPV6INIT=yes
Adicione as duas linhas a seguir e salve as alterações:
DHCPV6C=yesDHCPV6C_OPTIONS=-nw
4. Abra /etc/sysconfig/network, remova as seguintes linhas e salve as alterações:
NETWORKING_IPV6=noIPV6INIT=noIPV6_ROUTER=noIPV6_AUTOCONF=noIPV6FORWARDING=noIPV6TO4INIT=noIPV6_CONTROL_RADVD=no
5. Abra /etc/hosts, substitua o conteúdo pelo seguinte e salve as alterações:
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4::1 localhost6 localhost6.localdomain6
6. Reinicie a instância. Reconecte-se à instância e use o comando ifconfig para verificar se oendereço IPv6 é reconhecido na interface de rede primária.
124
Amazon Virtual Private Cloud Guia do usuárioEtapa 6: (Opcional) Configure o IPv6 nas instâncias
UbuntuVocê pode configurar a instância Ubuntu para reconhecer dinamicamente qualquer endereço IPv6atribuído à interface de rede. Se a instância não tiver um endereço IPv6, esta configuração pode fazer comque o tempo de inicialização da instância seja prolongado em até 5 minutos.
Essas etapas devem ser executadas como usuários raiz.
Ubuntu Server 16
Para configurar o IPv6 em uma instância do Ubuntu Server 16 em execução
1. Conecte-se à instância usando o endereço IPv4 público da mesma.2. Visualize o conteúdo do arquivo /etc/network/interfaces.d/50-cloud-init.cfg:
cat /etc/network/interfaces.d/50-cloud-init.cfg
# This file is generated from information provided by# the datasource. Changes to it will not persist across an instance.# To disable cloud-init's network configuration capabilities, write a file# /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following:# network: {config: disabled}auto loiface lo inet loopback
auto eth0iface eth0 inet dhcp
Verifique se o dispositivo de rede de loopback (lo) está configurado e anote o nome da interface derede. Neste exemplo, o nome da interface de rede é eth0; o nome pode ser diferente dependendo dotipo de instância.
3. Crie o arquivo /etc/network/interfaces.d/60-default-with-ipv6.cfg e adicione aseguinte linha. Se necessário, substitua eth0 pelo nome da interface de rede obtida na etapa acima.
iface eth0 inet6 dhcp
4. Reinicie a instância ou reinicie a interface de rede executando o seguinte comando. Se necessário,substitua eth0 pelo nome da interface de rede.
sudo ifdown eth0 ; sudo ifup eth0
5. Reconecte-se à instância e use o comando ifconfig para verificar se o endereço IPv6 estáconfigurado na interface de rede primária.
Para configurar o IPv6 usando dados do usuário
• Você pode iniciar uma nova instância do Ubuntu e garantir que qualquer endereço IPv6 atribuído àinstância seja configurado automaticamente na interface de rede, especificando os seguintes dadosdo usuário durante o lançamento:
#!/bin/bashecho "iface eth0 inet6 dhcp" >> /etc/network/interfaces.d/60-default-with-ipv6.cfgdhclient -6
Nesse caso, não é necessário conectar-se à instância para configurar o endereço IPv6.
125
Amazon Virtual Private Cloud Guia do usuárioEtapa 6: (Opcional) Configure o IPv6 nas instâncias
Para obter mais informações, consulte Executar comandos na instância do Linux na inicialização noGuia do usuário do Amazon EC2 para instâncias do Linux.
Ubuntu Server 14Se estiver usando o Ubuntu Server 14, você deve incluir uma solução alternativa para um problemaconhecido que ocorre ao reiniciar uma interface de rede de pilha dupla (o reinício resulta em um tempolimite prolongado durante o qual a instância não está acessível).
Essas etapas devem ser executadas como usuários raiz.
Para configurar o IPv6 em uma instância do Ubuntu Server 14 em execução
1. Conecte-se à instância usando o endereço IPv4 público da mesma.2. Edite o /etc/network/interfaces.d/eth0.cfg arquivo a fim de que ele contenha:
auto loiface lo inet loopbackauto eth0iface eth0 inet dhcp up dhclient -6 $IFACE
3. Reinicie a instância:
sudo reboot
4. Reconecte-se à instância e use o comando ifconfig para verificar se o endereço IPv6 estáconfigurado na interface de rede primária.
Início do cliente DHCPv6Como alternativa, para abrir o endereço IPv6 para a interface de rede imediatamente sem qualquerconfiguração adicional, você pode iniciar o cliente DHCPv6 na instância. No entanto, o endereço IPv6 nãoserá mantido na interface de rede após a reinicialização.
Para iniciar o cliente DHCPv6 no Ubuntu
1. Conecte-se à instância usando o endereço IPv4 público da mesma.2. Inicie o cliente DHCPv6:
sudo dhclient -6
3. Use o comando ifconfig para verificar se o endereço IPv6 é reconhecido na interface de redeprimária.
RHEL/CentOSO RHEL 7.4 e o CentOS 7 e posterior usam cloud-init para configurar a interface de rede e gerar o arquivo/etc/sysconfig/network-scripts/ifcfg-eth0. Você pode criar um arquivo de configuraçãocloud-init personalizado para ativar o DHCPv6, que gera um arquivo ifcfg-eth0 com configuraçõesque ativam o DHCPv6 após cada reinicialização.
Note
Devido a um problema conhecido, se você estiver usando RHEL/CentOS 7.4 com a versãomais recente de cloud-init-0.7.9, essas etapas podem resultar na perda de conectividade com
126
Amazon Virtual Private Cloud Guia do usuárioEtapa 6: (Opcional) Configure o IPv6 nas instâncias
a instância após a reinicialização. Como alternativa, edite manualmente o arquivo /etc/sysconfig/network-scripts/ifcfg-eth0.
Para configurar o DHCPv7.4 no RHEL 7 ou CentOS 6
1. Conecte-se à instância usando o endereço IPv4 público da mesma.2. Usando um editor de texto de sua escolha, crie um arquivo personalizado, como:
/etc/cloud/cloud.cfg.d/99-custom-networking.cfg
3. Adicione as linhas a seguir ao seu arquivo e salve as alterações:
network: version: 1 config: - type: physical name: eth0 subnets: - type: dhcp - type: dhcp6
4. Reinicie a instância.5. Reconecte-se à instância e use o comando ifconfig para verificar se o endereço IPv6 está
configurado na interface de rede primária.
Para o RHEL versão 7.3 e anteriores, você pode usar o procedimento a seguir para modificar diretamenteo arquivo /etc/sysconfig/network-scripts/ifcfg-eth0.
Para configurar o DHCPv6 no RHEL 7.3 e anterior
1. Conecte-se à instância usando o endereço IPv4 público da mesma.2. Usando um editor de texto de sua escolha, abra /etc/sysconfig/network-scripts/ifcfg-
eth0 e localize a seguinte linha:
IPV6INIT="no"
Substitua a linha encontrada pelo seguinte:
IPV6INIT="yes"
Adicione as duas linhas a seguir e salve as alterações:
DHCPV6C=yesNM_CONTROLLED=no
3. Abra /etc/sysconfig/network, adicione ou modifique a seguinte linha como se segue e salve asalterações:
NETWORKING_IPV6=yes
4. Reinicie a rede na instância executando o comando a seguir:
sudo service network restart
127
Amazon Virtual Private Cloud Guia do usuárioEtapa 6: (Opcional) Configure o IPv6 nas instâncias
Você pode usar o comando ifconfig para verificar se o endereço IPv6 é reconhecido na interfacede rede primária.
Para configurar o DHCPv6 no RHEL 6 ou CentOS 6
1. Conecte-se à instância usando o endereço IPv4 público da mesma.2. Siga as etapas 2 a 4 no procedimento acima para configurar o RHEL 7/CentOS 7.3. Se você reiniciar a rede e for exibida uma mensagem de erro informando que um endereço IPv6 não
pode ser obtido, abra /etc/sysconfig/network-scripts/ifup-eth e localize a seguinte linha(por padrão, é a linha 327):
if /sbin/dhclient "$DHCLIENTARGS"; then
Remova as aspas em torno de $DHCLIENTARGS e salve as alterações. Reinicie a rede na instância:
sudo service network restart
WindowsUse os seguintes procedimentos para configurar o IPv6 no Windows Server 2003 e no Windows Server2008 SP2.
Para garantir que o IPv6 tenha a preferência sobre o IPv4, faça o download da correção chamadaPrefira o IPv6 sobre o IPv4 em políticas de prefixo da seguinte página de suporte da Microsoft: https://support.microsoft.com/en-us/help/929852/how-to-disable-ipv6-or-its-components-in-windows.
Para habilitar e configurar o IPv6 no Windows Server 2003
1. Obtenha o endereço IPv6 da instância usando o comando describe-instances da AWS CLI ouverificando o campo IPv6 IPs para a instância no console do Amazon EC2.
2. Conecte-se à instância usando o endereço IPv4 público da mesma.3. Dentro da instância, escolha Iniciar, Control Panel, Network Connections, Local Area Connection.4. Escolha Properties e, em seguida, escolha Instalar.5. Escolha Protocolo e, em seguida, escolha Adicionar. Em Network Protocol escolha Microsoft TCP/IP
version 6e, em seguida, escolha OK.6. Abra o prompt de comando e abra o shell da rede.
netsh
7. Mude para o contexto da interface IPv6.
interface ipv6
8. Adicione o endereço IPv6 à conexão da área local usando o seguinte comando. Substitua o valor doendereço IPv6 pelo endereço IPv6 da instância.
add address "Local Area Connection" "ipv6-address"
Por exemplo:
add address "Local Area Connection" "2001:db8:1234:1a00:1a01:2b:12:d08b"
128
Amazon Virtual Private Cloud Guia do usuárioEtapa 6: (Opcional) Configure o IPv6 nas instâncias
9. Saia do shell de rede.
exit
10. Use o comando ipconfig para verificar se o endereço IPv6 é reconhecido na conexão de área local.
Para habilitar e configurar o IPv6 no Windows Server 2008 SP2
1. Obtenha o endereço IPv6 da instância usando o comando describe-instances da AWS CLI ouverificando o campo IPv6 IPs para a instância no console do Amazon EC2.
2. Conecte-se à instância do Windows usando o endereço IPv4 público da mesma.3. Escolha Iniciar, Control Panel.4. Abra o Network and Sharing Center e, em seguida, abra Network Connections.5. Clique com o botão direito do mouse em Local Area Network (para a interface de rede) e escolha
Properties.6. Escolha a caixa de seleção Internet Protocol Version 6 (TCP/IPv6) e escolha OK.7. Abra novamente a caixa de diálogo de propriedades na rede de área local. Escolha Internet Protocol
Version 6 (TCP/IPv6) e escolha Properties.8. Escolha Use the following IPv6 address e faça o seguinte:
• Em IPv6 Address, insira o endereço IPv6 que você obteve na etapa 1.• Em Subnet prefix length, insira 64.
9. Escolha OK e feche a caixa de diálogo de propriedades.10. Abra o prompt de comando. Use o comando ipconfig para verificar se o endereço IPv6 é
reconhecido na conexão de área local.
129
Amazon Virtual Private Cloud Guia do usuárioComparação entre security groups e Network ACLs
SegurançaO Amazon Virtual Private Cloud oferece recursos que podem ser usados para ampliar e monitorar aproteção de sua nuvem privada virtual (VPC):
• Grupos de segurança — atuam como firewall para instâncias do Amazon EC2 associadas, controlando otráfego de entrada e de saída no nível da instância
• Listas de controles de acesso à rede (ACLs) — Funcionam como firewall para sub-redes associadas,controlando o tráfego de entrada e de saída em nível de sub-rede
• Logs de fluxos — Capturam informações sobre o tráfego de IP para e proveniente das interfaces de redeem sua VPC
Ao executar uma instância em uma VPC, você pode associar um ou mais security groups que criar. Cadainstância na VPC pode pertencer a um conjunto diferente de security groups. Se você não especificarum security group ao executar uma instância, ela pertencerá automaticamente ao security grouppadrão da VPC. Para obter mais informações sobre security groups, consulte Security groups para suaVPC (p. 131).
Você pode proteger as instâncias de sua VPC usando somente os security groups. Entretanto, é possíveladicionar Network ACLs como uma camada adicional de defesa. Para obter mais informações, consulteNetwork ACLs (p. 139).
Você pode monitorar o tráfego de IP aceito e recusado para e proveniente de suas instâncias criandoum log de fluxo para uma VPC, sub-rede ou interface de rede específica. Os dados de log de fluxo sãopublicados no CloudWatch Logs, e podem ajudar a diagnosticar regras de Network ACL e security groupsexcessivamente restritivos ou excessivamente permissivos. Para obter mais informações, consulte VPCFlow Logs (p. 188).
Você pode usar o AWS Identity and Access Management para controlar quem em sua organização tempermissão para criar e gerenciar security groups, Network ACLs e logs de fluxo. Por exemplo, você podeconceder essa permissão apenas aos administradores de sua rede, mas não ao pessoal que só precisaexecutar instâncias. Para obter mais informações, consulte Como controlar o acesso aos recursos doAmazon VPC (p. 173).
Os grupos de segurança e Network ACLs da Amazon não filtram o tráfego para ou proveniente deendereços locais de link (169.254.0.0/16) ou endereços IPv4 reservados para a AWS — esses são osquatro primeiros endereços IPv4 da sub-rede (incluindo o endereço de servidor de DNS da Amazon paraa VPC)). De modo semelhante, os logs de fluxo não capturam tráfego de IP para ou proveniente dessesendereços. Esses endereços comportam os seguintes serviços: Domain Name Services (DNS), DynamicHost Configuration Protocol (DHCP), metadados da Instância EC2 da Amazon, Key Management Server(KMS — gerenciamento de licença de instâncias do Windows) e roteamento na sub-rede. Você podeimplementar outras soluções de firewall em suas instâncias para bloquear a comunicações de rede comendereços locais de rede.
Comparação entre security groups e Network ACLsA tabela a seguir resume as diferenças básicas entre security groups e Network ACLs.
Security group Conexão ACL
Opera em nível de instância Opera em nível de sub-rede
130
Amazon Virtual Private Cloud Guia do usuárioSecurity groups
Security group Conexão ACL
Comporta apenas regras de permissão Comporta regras de permissão e negação
É stateful: o tráfego de retorno é permitidoautomaticamente, seja qual for a regra
É stateless: o tráfego de deve ser permitidoexplicitamente pelas regras
Avaliamos todas as regras antes de decidir sepermitimos ou não o tráfego
Processamos as regras em ordem numéricas aodecidir se permitimos ou não o tráfego
Aplica-se a uma instância somente se alguémespecificar o security group ao executar umainstância ou associa posteriormente o securitygroup com a instância
Aplica-se automaticamente a todas as instânciasnas sub-redes com as quais está associada.Portanto, você não precisa depender de usuáriospara especificar o security group.
O diagrama a seguir mostra as camadas de segurança fornecidas por security groups e Network ACLs.Por exemplo, o tráfego para e proveniente de um Internet Gateway é roteado para a sub-rede apropriadausando as rotas apresentadas na tabela de roteamento. As regras da Network ACL associadas com a sub-rede controlam que tráfego é permitido à sub-rede. As regras do security group associadas com a instânciacontrolam que tráfego é permitido à instância.
Security groups para sua VPCUm security group atua como um firewall virtual para sua instância para controlar o tráfego de entradae saída. Quando você executa uma instância na VPC, é possível atribuir até cinco security groups àinstância. Os security groups atuam no nível da instância e não no nível da sub-rede. Portanto, cadainstância em uma sub-rede em sua VPC pode ser atribuída a um conjunto diferente de security groups. Se
131
Amazon Virtual Private Cloud Guia do usuárioNoções básicas do security group
você não especificar um grupo específico no momento do inicialização, a instância será automaticamenteatribuída ao security group padrão da VPC.
Para cada security group, adicione regras que controlam o tráfego de entrada para instâncias e umconjunto separado de regras que controlam o tráfego de saída. Esta seção descreve as informaçõesbásicas que você precisa saber sobre security groups para a VPC e suas regras.
Você pode configurar Network ACLs com regras semelhantes às dos security groups a fim de adicionaruma camada extra de segurança à sua VPC. Para obter mais informações sobre as diferenças entresecurity groups e Network ACLs, consulte Comparação entre security groups e Network ACLs (p. 130).
Tópicos• Noções básicas do security group (p. 132)• Security group padrão para sua VPC (p. 133)• Regras de security groups (p. 133)• Diferenças entre security groups para EC2-Classic e EC2-VPC (p. 135)• Como trabalhar com security groups (p. 135)
Noções básicas do security groupVeja a seguir as características básicas dos security groups da sua VPC:
• Você tem limites no número de security groups que pode criar por VPC, o número de regras que vocêpode adicionar a cada security group e o número de security groups que você pode associar a umainterface de rede. Para obter mais informações, consulte Limites do Amazon VPC (p. 308).
• Você pode especificar regras de permissão, mas não regras de negação.• Você pode especificar regras separadas para o tráfego de entrada e de saída.• Quando você cria um security group, ele não possui regras de entrada. Portanto, nenhum tráfego de
entrada originário de outro host para a instância será permitido até que você adicione regras de entradaao security group.
• Por padrão, um security group inclui uma regra de saída que permite todo o tráfego de saída. Você poderemover a regra e adicionar regras de saída que permitem somente tráfego de saída específico. Se osecurity group não tiver nenhuma regra de saída, nenhum tráfego de saída originário da instância serápermitido.
• Os security groups são stateful — se você enviar uma solicitação de sua instância, o tráfego da respostadessa solicitação terá permissão para fluir, independentemente das regras de entrada do security group.As respostas ao tráfego permitido de entrada são permitidas para fluir, independentemente das regrasde saída.
Note
Alguns tipos de tráfego são rastreados de forma diferente dos outros. Para obter maisinformações, consulte Acompanhamento da conexão no Guia do usuário do Amazon EC2 parainstâncias do Linux.
• As instâncias associadas a um security group não podem conversar entre si, a menos que você adicioneregras que o permitam (exceção: o security group padrão tem essas regras por padrão).
• Os security groups estão associados a interfaces de rede. Depois de iniciar uma instância, você podealterar os security groups associados à instância, que altera os security groups associados à interface derede primária (eth0). Você também pode alterar os security groups associados a qualquer outra interfacede rede. Para obter mais informações sobre interfaces de rede, consulte Interfaces de rede elástica.
• Ao criar um security group, você deve fornecer um nome e uma descrição. As seguintes regras seaplicam:• Os nomes e as descrições podem ter até 255 caracteres de comprimento.
132
Amazon Virtual Private Cloud Guia do usuárioSecurity group padrão para sua VPC
• Os nomes e as descrições são limitados aos seguintes caracteres: a-z, A-Z, 0-9, espaços e ._-:/()#,@[]+=&;{}!$*.
• Um nome de security group não pode começar com sg-.• Um nome do security group deve ser exclusivo dentro da VPC.
Security group padrão para sua VPCSua VPC vem automaticamente com um security group padrão. Cada instância do EC2 que você iniciaem sua VPC é automaticamente associada ao security group padrão se você não especificar um securitygroup diferente ao iniciar a instância.
A tabela a seguir descreve as regras padrão para um security group padrão.
Inbound
Source Protocol Port Range Comments
O ID do security group(sg-xxxxxxxx)
Tudo Tudo Permitir tráfego de entrada deinstâncias atribuídas ao mesmosecurity group.
Outbound
Destination Protocol Port Range Comments
0.0.0.0/0 Tudo Tudo Permitir todo o tráfego IPv4 de saída.
::/0 Tudo Tudo Permitir todo o tráfego IPv6 de saída.Esta regra é adicionada por padrãose você criar uma VPC com umbloco CIDR IPv6 ou se você associarum bloco CIDR IPv6 a sua VPCexistente.
Você pode alterar as regras do security group padrão.
Você não pode excluir um security group padrão. Se você tentar excluir o security group padrãode uma VPC, o seguinte erro será exibido: Client.CannotDelete: the specified group:"sg-51530134" name: "default" cannot be deleted by a user.
Note
Se você modificou as regras de saída do seu security group, não adicionaremos automaticamenteuma regra de saída para o tráfego IPv6 quando você associar um bloco IPv6 a sua VPC.
Regras de security groupsVocê pode adicionar ou remover regras de um security group (também conhecido como autorização ourevogação do acesso de entrada ou de saída). Uma regra aplica-se ao tráfego de entrada (ingresso) ou aotráfego de saída (egresso). Você pode conceder acesso a um intervalo CIDR específico ou a outro securitygroup em sua VPC ou em um par da VPC (requer uma conexão de emparelhamento de VPC).
A seguir estão as partes básicas de uma regra de security group em uma VPC:
• (Regras de entrada somente) A origem do tráfego e a porta de destino ou o intervalo da porta. A origempode ser outro security group, um bloco CIDR IPv4 ou IPv6 ou um único endereço IPv4 ou IPv6.
133
Amazon Virtual Private Cloud Guia do usuárioRegras de security groups
• (Regras de saída somente) O destino do tráfego e a porta de destino ou o intervalo da porta. O destinopode ser outro grupo de segurança, um bloco CIDR IPv4 ou IPv6, um único endereço IPv4 ou IPv6 ouum ID de lista de prefixos.
• Qualquer protocolo que tem um número de protocolo padrão (para obter uma lista, consulte Números deprotocolo). Se você especificar o ICMP como protocolo, poderá especificar qualquer ou todos os tipos ecódigos ICMP.
• Uma descrição opcional para a regra do security group para ajudar a identificá-lo posteriormente. Umadescrição pode ser até 255 caracteres de comprimento. Os caracteres permitidos são a-z, A-Z, 0-9,espaços e ._-:/()#,@[]+=;{}!$*.
Quando você especifica um bloco CIDR como a origem de uma regra, o tráfego dos endereçosespecificados para o protocolo e a porta especificados é habilitado. Quando você especifica um securitygroup como a origem de uma regra, o tráfego das interfaces de rede elástica (ENIs) para instânciasassociadas ao security group de origem para o protocolo e a porta especificados é habilitado. Adicionar umsecurity group como origem não adiciona regras nesse security group de origem.
Se você especificar um único endereço IPv4, especifique-o usando o comprimento de prefixo /32. Se vocêespecificar um único endereço IPv6, especifique-o usando o comprimento de prefixo /128.
Alguns sistemas para configurar firewalls permitem que você filtre nas portas de origem. Os securitygroups permitem que você filtre apenas nas portas de destino.
Quando você adiciona ou remove regras, elas são aplicadas automaticamente a todas as instânciasassociadas ao security group.
O tipo de regra que você adicionar pode depender da finalidade da instância. A seguinte tabela descreveregras de exemplo de um security group para servidores Web. Os servidores Web podem receber tráfegoHTTP e HTTPS de todos os endereços IPv4 e IPv6 e enviar tráfego SQL ou MySQL para um servidor debanco de dados.
Inbound
Source Protocol Port Range Comments
0.0.0.0/0 TCP 80 Permitir acesso HTTP de entrada detodos os endereços IPv4
::/0 TCP 80 Permitir acesso HTTP de entrada detodos os endereços IPv6
0.0.0.0/0 TCP 443 Permitir acesso HTTPS de entradade todos os endereços IPv4
::/0 TCP 443 Permitir acesso HTTPS de entradade todos os endereços IPv6
O alcance do endereço IPv4público da sua rede
TCP 22 Permitir acesso SSH de entradapara instâncias Linux a partir deendereços IP IPv4 na sua rede (peloGateway da Internet)
O alcance do endereço IPv4público da sua rede
TCP 3389 Permitir acesso de entrada ao RDPpara instâncias Windows a partir deendereços IP IPv4 na sua rede (peloGateway da Internet)
Outbound
134
Amazon Virtual Private Cloud Guia do usuárioDiferenças entre security groups
para EC2-Classic e EC2-VPC
Destination Protocol Port Range Comments
O ID do security group para seusservidores de banco de dados
TCP 1433 Permitir o acesso do Microsoft SQLServer de saída a instâncias nosecurity group especificado
O ID do security group para seusservidores de banco de dadosMySQL
TCP 3306 Permitir acesso MySQL de saídaa instâncias no security groupespecificado
Um servidor de banco de dados precisaria de um conjunto diferente de regras; por exemplo, em vez dotráfego de entrada HTTP e HTTPS, você pode adicionar uma regra que permita o acesso de entrada doMySQL ou do Microsoft SQL Server. Para obter um exemplo de regras de security group para servidoresWeb e servidores de banco de dados, consulte Segurança (p. 49).
Para obter exemplos de regras de grupos de segurança para tipos de acessos específicos, consulteReferência de regras de grupos de segurança no Guia do usuário do Amazon EC2 para instâncias doLinux.
Regras obsoletas do security groupSe a VPC tiver uma conexão de emparelhamento de VPC com outra VPC, uma regra do security grouppode fazer referência a outro security group no par da VPC. Isso permite que as instâncias associadas aosecurity group especificado acessem instâncias associadas ao security group especificado.
Se o proprietário do par da VPC excluir o security group especificado ou se você ou o proprietário do parda VPC excluir a conexão de emparelhamento de VPC, a regra do security group será marcada comostale. Você pode excluir regras de security group obsoletas, como faria com qualquer outra regra dosecurity group.
Para obter mais informações, consulte Trabalhar com grupos de segurança obsoletos no Amazon VPCPeering Guide.
Diferenças entre security groups para EC2-Classic eEC2-VPCVocê não pode usar os grupos de segurança criados no EC2-Classic com instâncias em sua VPC. Énecessário criar security groups específicos para as instâncias da VPC. As regras criadas para o securitygroup de uma VPC não podem fazer referência a um security group do EC2-Classic e vice-versa. Paraobter mais informações sobre as diferenças entre os grupos de segurança a serem usados com o EC2-Classic e aqueles a serem usados com uma VPC, consulte Diferenças entre EC2-Classic e VPC no Guiado usuário do Amazon EC2 para instâncias do Linux.
Como trabalhar com security groupsAs tarefas a seguir mostram como utilizar security groups por meio do console da Amazon VPC.
Tarefas• Modificação do security group padrão (p. 136)• Criar um grupo de segurança (p. 136)• Adicionar, remover e atualizar regras (p. 136)• Alteração dos security groups de uma Instância (p. 138)• Excluir um grupo de segurança (p. 138)
135
Amazon Virtual Private Cloud Guia do usuárioComo trabalhar com security groups
• Exclusão do security group 2009-07-15-default (p. 139)
Modificação do security group padrãoSua VPC é fornecida com um grupo de segurança padrão (p. 133). Você não pode excluir este grupo.No entanto, você pode alterar as regras do grupo. O procedimento é o mesmo da modificação dequalquer outro security group. Para obter mais informações, consulte Adicionar, remover e atualizarregras (p. 136).
Criar um grupo de segurançaEmbora você possa usar o security group padrão para suas instâncias, é possível criar seus própriosgrupos para refletir as diferentes funções que as instâncias desempenham no seu sistema.
Para criar um security group usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Grupos de segurança.3. Escolha Create Security Group.4. Digite um nome do security group (por exemplo, my-security-group) e forneça uma descrição.
Selecione o ID de sua VPC no menu VPC e escolha Yes, Create.
Para criar um security group usando a linha de comando
• create-security-group (AWS CLI)• New-EC2SecurityGroup (AWS Tools para Windows PowerShell)
Descrever um ou mais security groups usando a linha de comando
• describe-security-groups (AWS CLI)• Get-EC2SecurityGroup (AWS Tools para Windows PowerShell)
Por padrão, novos security groups começam com apenas uma regra de saída que permite que todo otráfego deixe as instâncias. Você deve adicionar regras para permitir qualquer tráfego de entrada ou pararestringir o tráfego de saída.
Adicionar, remover e atualizar regrasQuando você adicionar ou remover regras, quaisquer instâncias já atribuídas ao security group estarãosujeitas à alteração.
Se você tiver uma conexão de emparelhamento de VPC, você pode fazer referência a security groupsde par da VPC como origem ou destino nas regras do seu security group. Para obter mais informações,consulte Atualizar seus grupos de segurança para referenciar grupos de segurança na VPC emparelhadano Amazon VPC Peering Guide.
Para adicionar uma regra usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Security Groups (Grupos de segurança).3. Selecione o security group para atualizar. O painel de detalhes exibe informações sobre o security
group, assim como guias para trabalhar com as respectivas regras de entrada e saída.
136
Amazon Virtual Private Cloud Guia do usuárioComo trabalhar com security groups
4. Na guia Inbound Rules, escolha Edit. Selecione uma opção para uma regra de tráfego de entradacomo Type e, em seguida, preencha as informações solicitadas. Por exemplo, para um servidor Webpúblico, selecione HTTP ou HTTPS e especifique um valor para a Source como 0.0.0.0/0.
Note
Se você usar 0.0.0.0/0, permitirá que todos os endereços IPv4 acessem sua instânciausando HTTP ou HTTPS. Para restringir o acesso, insira um endereço IP específico ou umintervalo de endereços.
5. Opcionalmente, forneça uma descrição para a regra e escolha Save.6. Você também pode permitir a comunicação entre todas as instâncias associadas a este security
group. Na guia Inbound Rules, escolha All Traffic na lista Type. Comece a digitar o ID do securitygroup para Source; isso fornece uma lista de security groups. Selecione o security group na lista eselecione Save.
7. Se precisar, você pode usar a guia Outbound Rules (Regras de saída) para adicionar regras para otráfego de saída.
Para excluir uma regra usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Security Groups (Grupos de segurança).3. Selecione o security group para atualizar. O painel de detalhes exibe informações sobre o security
group, assim como guias para trabalhar com as respectivas regras de entrada e saída.4. Selecione Edit, selecione a função a ser excluída e, em seguida, selecione Remover, Save.
Quando você modifica o protocolo, o intervalo de portas ou a origem ou o destino de um security groupexistente usando o console, o console exclui a regra existente e adiciona uma nova para você.
Para atualizar uma regra usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Security Groups (Grupos de segurança).3. Selecione o security group a ser atualizado e escolha Inbound Rules, para atualizar uma regra para o
tráfego de entrada, ou Outbound Rules, para atualizar uma regra para o tráfego de saída.4. Selecione Edit. Modifique entrada de regra conforme necessário e escolha Save.
Para atualizar o protocolo, o intervalo de portas ou a origem ou o destino de uma regra existente usandoa API do Amazon EC2 ou uma ferramenta de linha de comando, não é possível modificar a regra. Em vezdisso, você deve excluir a regra existente e adicionar uma regra nova. Para atualizar apenas a descriçãoda regra, você pode usar os comandos update-security-group-rule-descriptions-ingress e update-security-group-rule-descriptions-egress.
Para adicionar uma regra a um security group usando a linha de comando
• authorize-security-group-ingress e authorize-security-group-egress (AWS CLI)• Grant-EC2SecurityGroupIngress e Grant-EC2SecurityGroupEgress (AWS Tools para Windows
PowerShell)
Para excluir uma regra de um security group usando a linha de comando
• revoke-security-group-ingress e revoke-security-group-egress(AWS CLI)• Revoke-EC2SecurityGroupIngress e Revoke-EC2SecurityGroupEgress (AWS Tools para Windows
PowerShell)
137
Amazon Virtual Private Cloud Guia do usuárioComo trabalhar com security groups
Para atualizar a descrição da regra de um security group usando a linha de comando
• update-security-group-rule-descriptions-ingress e update-security-group-rule-descriptions-egress (AWSCLI)
• Update-EC2SecurityGroupRuleIngressDescription e Update-EC2SecurityGroupRuleEgressDescription(AWS Tools para Windows PowerShell)
Alteração dos security groups de uma InstânciaApós iniciar uma instância em uma VPC, você pode alterar os security groups associados à instância.Você pode alterar os security groups para uma instância quando a instância está no estado running oustopped.
Note
Este procedimento altera os security groups associados à interface de rede primária (eth0)da instância. Para alterar os security groups de outra interface de rede, consulte Alteração dosecurity group de uma interface de rede.
Para alterar os security groups de uma instância usando o console
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, escolha Instances (Instâncias).3. Abra o menu de contexto (clique com o botão direito do mouse) da instância e escolha Redes, Change
Security Groups.4. Na caixa de diálogo Change Security Groups, selecione um ou mais security groups da lista e
selecione Assign Security Groups.
Para alterar os security groups de uma instância usando a linha de comando
• modify-instance-attribute (AWS CLI)• Edit-EC2InstanceAttribute (AWS Tools para Windows PowerShell)
Excluir um grupo de segurançaVocê pode excluir um security group somente se não houver instâncias atribuídas (executadas ouinterrompidas). Você pode atribuir as instâncias a outro security group antes de excluir o security group(consulte Alteração dos security groups de uma Instância (p. 138)). Você não pode excluir um securitygroup padrão.
Se você estiver usando o console, pode excluir mais de um security group por vez. Se você estiver usandoa linha de comando ou a API, pode excluir apenas um security group por vez.
Para excluir um security group usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Security Groups (Grupos de segurança).3. Selecione um ou mais security groups e escolha Ações do security group, Excluir security group.4. Na caixa de diálogo Delete Security Group, selecione Sim, excluir.
Para excluir um security group usando a linha de comando
• delete-security-group (AWS CLI)• Remove-EC2SecurityGroup (AWS Tools para Windows PowerShell)
138
Amazon Virtual Private Cloud Guia do usuárioNetwork ACLs
Exclusão do security group 2009-07-15-defaultQualquer VPC criada usando uma versão da API depois de 2011-01-01 tem o security group2009-07-15-default. Este security group existe, além do security group default regular que vemcom cada VPC. Você não pode anexar um Gateway da Internet a uma VPC que tenha o security group2009-07-15-default. Portanto, você deve excluir este security group antes de poder anexar umGateway da Internet à VPC.
Note
Se você atribuiu este security group a quaisquer instâncias, você deve atribuir essas instâncias aum security group diferente antes de excluir o security group.
Para excluir o security group 2009-07-15-default
1. Certifique-se de que este security group não foi atribuído a nenhuma instância.
a. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.b. No painel de navegação, selecione Network Interfaces.c. Selecione a interface de rede para a instância da lista e selecione Change Security Groups,
Actions.d. Na caixa de diálogo Change Security Groups, selecione um novo security group da lista e
selecione Save.
Note
Ao alterar o security group de uma instância, você pode selecionar vários grupos da lista.Os security groups que você seleciona substituem os security groups atuais da instância.
e. Repita as etapas do procedimento para cada instância.2. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.3. No painel de navegação, selecione Security Groups (Grupos de segurança).4. Escolha o security group 2009-07-15-default e escolha Security Group Actions (Ações de security
group), Delete Security Group (Excluir security group).5. Na caixa de diálogo Delete Security Group, selecione Sim, excluir.
Network ACLsUma lista de controle de acesso (ACL) à rede é uma camada de segurança opcional para sua VPC quefunciona como firewall para controlar o tráfego de entrada e saída de uma ou mais sub-redes. Você podeconfigurar Network ACLs com regras semelhantes às dos security groups a fim de adicionar uma camadaextra de segurança à sua VPC. Para obter mais informações sobre as diferenças entre security groups eNetwork ACLs, consulte Comparação entre security groups e Network ACLs (p. 130).
Tópicos• Noções básicas de Network ACL (p. 140)• Regras de Network ACL (p. 140)• Network ACL padrão (p. 140)• Network ACL personalizada (p. 142)• Portas efêmeras (p. 147)• Utilização de Network ACLs (p. 147)• Exemplo: controle de acesso a instâncias em uma sub-rede (p. 150)• Visão geral sobre API e comando (p. 153)
139
Amazon Virtual Private Cloud Guia do usuárioNoções básicas de Network ACL
Noções básicas de Network ACLEncontram-se a seguir noções essenciais sobre as Network ACLs:
• Sua VPC já vem com uma Network ACL padrão modificável. Por padrão, ela permite todos os tráfegosde IPv4 de entrada e saída e, se aplicável, o tráfego IPv6.
• Você pode criar uma Network ACL personalizada e associá-la a uma sub-rede. Por padrão, enquantovocê não adicionar regras, toda Network ACL personalizada negará todo e qualquer tráfego de entrada esaída.
• Toda sub-rede em sua VPC deve ser associada com uma Network ACL. Se você não associarexplicitamente uma sub-rede com uma Network ACL, as sub-redes serão associadas automaticamentecom a Network ACL padrão.
• Você pode associar uma Network ACL com várias sub-redes; porém, uma sub-rede pode ser associadaa apenas uma Network ACL por vez. Quando uma Network ACL é associada a uma sub-rede, aassociação anterior é removida.
• Uma Network ACL contém uma lista de regras numeradas que avaliamos para determinar, a começarda regra de número mais baixo, se um tráfego tem permissão de entrada ou de saída em qualquer sub-rede associada à Network ACL. O número mais alto que é possível usar para uma regra é 32766. Paracomeçar, é recomendável criar regras em incrementos (por exemplo, incrementos de 10 ou 100), paraque posteriormente você possa inserir novas regras onde precisar.
• Uma Network ACL tem regras de entrada e saída distintas e cada uma pode permitir ou negar tráfego.• As Network ACLs são stateless; as respostas permitidas para tráfego de entrada estão sujeitas às regras
para o tráfego de saída (e vice-versa).
Para obter mais informações, consulte Limites do Amazon VPC (p. 308).
Regras de Network ACLVocê pode adicionar ou remover regras de Network ACL padrão ou criar outras Network ACLs para suaVPC. Ao adicionar ou remover regras de uma Network ACL, as mudanças são automaticamente aplicadasàs sub-redes às quais está associada.
Encontram-se a seguir as partes de uma regras de Network ACL:
• Número da regra. As regras são avaliadas a partir da regra de número mais baixo. Assim que uma regracoincide com o tráfego, ela é aplicada, independentemente de haver qualquer regra com número maisalto que possa contradizê-la.
• Protocolo. Você pode especificar qualquer protocolo que tenha um número de protocolo padrão. Paraobter mais informações, consulte Protocol Numbers. Se você especificar o ICMP como protocolo, poderáespecificar qualquer ou todos os tipos e códigos ICMP.
• [Regras de entrada somente.] A origem do tráfego (intervalo CIDR) e a porta de destino (de escuta) ou ointervalo de portas.
• [Regras de saída somente.] O destino do tráfego (intervalo CIDR) e a porta de destino ou o intervalo deportas.
• Opção de PERMITIR ou NEGAR um tráfego específico.
Network ACL padrãoA Network ACL padrão é configurada para permitir todos os tráfegos de entrada e saída das sub-redes àsquais está associada. Além disso, toda Network ACL contém uma regra cujo número é um asterisco. Essaregra garante que, se um pacote não corresponder a nenhuma das outras regras numeradas, o acessoseja negado. Não é possível modificar nem remover essa regra.
140
Amazon Virtual Private Cloud Guia do usuárioNetwork ACL padrão
Encontra-se a seguir um exemplo de Network ACL padrão para uma VPC compatível somente com IPv4.
Entrada
Regra nº Type Protocolo Intervalo dePortas
Origem Permissão/Negação
100 Todo tráfegoIPv4
Tudo Tudo 0.0.0.0/0 PERMISSÃO
* Todo tráfegoIPv4
Tudo Tudo 0.0.0.0/0 NEGAÇÃO
Saída
Regra nº Type Protocolo Intervalo dePortas
Destino Permissão/Negação
100 Todo tráfegoIPv4
tudo tudo 0.0.0.0/0 PERMISSÃO
* Todo tráfegoIPv4
tudo tudo 0.0.0.0/0 NEGAÇÃO
Se você criar uma VPC com um bloco CIDR IPv6 ou se associar um bloco CIDR IPv6 à VPC existente,adicionaremos automaticamente as regras que permitem todo tráfego IPv6 de entrada e saída em suasub-rede. Além disso, adicionamos regras cujos números são um asterisco que garante que um pacotetenha acesso negado se não corresponder a nenhuma outra regra numerada. Não é possível modificarnem remover essas regras. Encontra-se a seguir um exemplo de Network ACL padrão para uma VPCcompatível com IPv4 e IPv6.
Note
Se tiver modificado as regras de entrada de sua Network ACL padrão, não adicionaremosautomaticamente uma regra de PERMISSÃO para tráfego IPv6 de entrada quando você associarum bloco IPv6 à sua VPC. Do mesmo modo, se tiver modificado as regras de saída, nãoadicionaremos automaticamente uma regra de PERMISSÃO para tráfego IPv6 de saída.
Entrada
Regra nº Type Protocolo Intervalo dePortas
Origem Permissão/Negação
100 Todo tráfegoIPv4
Tudo Tudo 0.0.0.0/0 PERMISSÃO
101 Todo tráfegoIPv6
Tudo Tudo ::/0 PERMISSÃO
* Todo tráfego Tudo Tudo 0.0.0.0/0 NEGAÇÃO
* Todo tráfegoIPv6
Tudo Tudo ::/0 NEGAÇÃO
Saída
Regra nº Type Protocolo Intervalo dePortas
Destino Permissão/Negação
141
Amazon Virtual Private Cloud Guia do usuárioNetwork ACL personalizada
100 Todo tráfego tudo tudo 0.0.0.0/0 PERMISSÃO
101 Todo tráfegoIPv6
tudo tudo ::/0 PERMISSÃO
* Todo tráfego tudo tudo 0.0.0.0/0 NEGAÇÃO
* Todo tráfegoIPv6
tudo tudo ::/0 NEGAÇÃO
Network ACL personalizadaA tabela a seguir mostra um exemplo de uma Network ACL padrão para uma VPC compatível somentecom IPv4. Isso inclui regras que permitem tráfego HTTP e HTTPS de entrada (regras de entrada 100e 110). Existe uma regra de saída correspondente que permite respostas ao tráfego de entrada (regrade saída 120, que abrange portas efêmeras 32768-65535). Para obter mais informações sobre comoselecionar o intervalo de portas efêmero apropriado, consulte Portas efêmeras (p. 147).
A Network ACL tem também regras que permitem tráfego SSH e RDP para a sub-rede. A regra de saída120 permite a saída de respostas da sub-rede.
A Network ACL tem regras de saída (100 e 110) que permitem tráfego HTTP e HTTPS de saída fora dasub-rede. Existe uma regra de entrada correspondente que permite respostas a esse tráfego de saída(regra de entrada 140, que abrange portas efêmeras 32768-65535).
Note
Além disso, toda Network ACL contém uma regra padrão cujo número é um asterisco. Essaregra garante que, se um pacote não corresponder a nenhuma das outras regras, o acesso sejanegado. Não é possível modificar nem remover essa regra.
Entrada
Regra nº Type Protocolo Intervalode Portas
Origem Permissão/Negação
Comentários
100 HTTP TCP 80 0.0.0.0/0 PERMISSÃOPermite tráfego HTTPde entrada de qualquerendereço IPv4.
110 HTTPS TCP 443 0.0.0.0/0 PERMISSÃOPermite tráfego HTTPSde entrada de qualquerendereço IPv4.
120 SSH TCP 22 192.0.2.0/24 PERMISSÃOPermite tráfego SSH deentrada de um intervalode endereços IPv4públicos de sua rededoméstica (no InternetGateway).
130 RDP TCP 3389 192.0.2.0/24 PERMISSÃOPermite tráfego RDPde entrada de umintervalo de endereçosIPv4 públicos de suarede doméstica para
142
Amazon Virtual Private Cloud Guia do usuárioNetwork ACL personalizada
servidores web (noInternet Gateway).
140 TCPpersonalizado
TCP 32768-655350.0.0.0/0 PERMISSÃOPermite tráfego IPv4de retorno de entradada Internet (isto é, parasolicitações originadasna sub-rede).
O intervalo é apenasde exemplo. Para obtermais informações sobrecomo selecionar ointervalo de portasefêmero apropriado,consulte Portasefêmeras (p. 147).
* Todotráfego
Tudo Tudo 0.0.0.0/0 NEGAÇÃO Nega todos os tráfegosIPv4 de entrada aindanão controlados poruma regra precedente(não modificável).
Saída
Regra nº Type Protocolo Intervalode Portas
Destino Permissão/Negação
Comentários
100 HTTP TCP 80 0.0.0.0/0 PERMISSÃOPermite tráfego HTTPIPv4 de saída da sub-rede para a Internet.
110 HTTPS TCP 443 0.0.0.0/0 PERMISSÃOPermite tráfego HTTPSIPv4 de saída da sub-rede para a Internet.
120 TCPpersonalizado
TCP 32768-655350.0.0.0/0 PERMISSÃOPermite respostas IPv4de saída a clientes naInternet (por exemplo,fornece páginas web apessoas que visitam osservidores web na sub-rede).
O intervalo é apenasde exemplo. Para obtermais informações sobrecomo selecionar ointervalo de portasefêmero apropriado,consulte Portasefêmeras (p. 147).
* Todotráfego
Tudo Tudo 0.0.0.0/0 NEGAÇÃO Nega todos os tráfegosIPv4 de saída ainda nãocontrolados por umaregra precedente (nãomodificável).
143
Amazon Virtual Private Cloud Guia do usuárioNetwork ACL personalizada
Quando um pacote chega à sub-rede, nós o avaliamos com base em regras de entrada da ACL com a quala sub-rede está associada (do topo da lista de regras para baixo). Veja como a avaliação ocorre quandoo pacote é destinado para a porta SSL (443). O pacote não corresponde à primeira regra avaliada (regra100). Ele corresponde à segunda regra (110), que permite que o pacote entre na sub-rede. Se o pacotetiver sido destinado para a porta 139 (NetBIOS), ele não será mais compatível com nenhuma das regras, ea regra * acabará negando o pacote.
É recomendável adicionar uma regra de NEGAÇÃO em uma situação em que você precisaverdadeiramente abrir um amplo intervalo de portas, mas existem determinadas portas nesse intervalo àsquais deseja negar acesso. Basta tomar o cuidado de logo no início inserir a regra de NEGAÇÃO na tabelaque permite tráfego a um amplo intervalo de portas.
Important
Com o Elastic Load Balancing, se a sub-rede de suas instâncias de back-end tiver uma NetworkACL na qual você tenha adicionado uma regra de NEGAÇÃO para todo tráfego com uma origem0.0.0.0/0 ou CIDR da sub-rede, seu load balancer não conseguirá realizar verificaçõesde integridade nas instâncias. Para obter mais informações sobre as regras de Network ACLrecomendadas para seus load balancers e instâncias de back-end, consulte Network ACLs paraLoad Balancers em uma VPC no Guia do usuário para Classic Load Balancers.
A tabela a seguir mostra o mesmo exemplo de uma Network ACL personalizada para uma VPC que temum bloco CIDR IPv6 associado. Essa Network ACL contém regras para todo tráfego HTTP e HTTPS IPv6.Nesse caso, novas regras foram inseridas entre as regras existentes para tráfego IPv4; porém, você podetambém adicionar as regras como regras de número mais alto após as regras de IPv4. Os tráfegos IPv4 eIPv6 são diferentes; portanto, nenhuma das regras para tráfego IPv4 aplica-se ao tráfego IPv6.
Entrada
Regra nº Type Protocolo Intervalode Portas
Origem Permissão/Negação
Comentários
100 HTTP TCP 80 0.0.0.0/0 PERMISSÃOPermite tráfego HTTPde entrada de qualquerendereço IPv4.
105 HTTP TCP 80 ::/0 PERMISSÃOPermite tráfego HTTPde entrada de qualquerendereço IPv6.
110 HTTPS TCP 443 0.0.0.0/0 PERMISSÃOPermite tráfego HTTPSde entrada de qualquerendereço IPv4.
115 HTTPS TCP 443 ::/0 PERMISSÃOPermite tráfego HTTPSde entrada de qualquerendereço IPv6.
120 SSH TCP 22 192.0.2.0/24 PERMISSÃOPermite tráfego SSH deentrada de um intervalode endereços IPv4públicos de sua rededoméstica (no InternetGateway).
130 RDP TCP 3389 192.0.2.0/24 PERMISSÃOPermite tráfego RDPde entrada de umintervalo de endereçosIPv4 públicos de sua
144
Amazon Virtual Private Cloud Guia do usuárioNetwork ACL personalizada
rede doméstica paraservidores web (noInternet Gateway).
140 TCPpersonalizado
TCP 32768-655350.0.0.0/0 PERMISSÃOPermite tráfego IPv4de retorno de entradada Internet (isto é, parasolicitações originadasna sub-rede).
O intervalo é apenasde exemplo. Para obtermais informações sobrecomo selecionar ointervalo de portasefêmero apropriado,consulte Portasefêmeras (p. 147).
145 TCPpersonalizado
TCP 32768-65535::/0 PERMISSÃOPermite tráfego IPv6de retorno de entradada Internet (isto é, parasolicitações originadasna sub-rede).
O intervalo é apenasde exemplo. Para obtermais informações sobrecomo selecionar ointervalo de portasefêmero apropriado,consulte Portasefêmeras (p. 147).
* Todotráfego
Tudo Tudo 0.0.0.0/0 NEGAÇÃO Nega todos os tráfegosIPv4 de entrada aindanão controlados poruma regra precedente(não modificável).
* Todotráfego
Tudo Tudo ::/0 NEGAÇÃO Nega todos os tráfegosIPv6 de entrada aindanão controlados poruma regra precedente(não modificável).
Saída
Regra nº Type Protocolo Intervalode Portas
Destino Permissão/Negação
Comentários
100 HTTP TCP 80 0.0.0.0/0 PERMISSÃOPermite tráfego HTTPIPv4 de saída da sub-rede para a Internet.
105 HTTP TCP 80 ::/0 PERMISSÃOPermite tráfego HTTPIPv6 de saída da sub-rede para a Internet.
145
Amazon Virtual Private Cloud Guia do usuárioNetwork ACL personalizada
110 HTTPS TCP 443 0.0.0.0/0 PERMISSÃOPermite tráfego HTTPSIPv4 de saída da sub-rede para a Internet.
115 HTTPS TCP 443 ::/0 PERMISSÃOPermite tráfego HTTPSIPv6 de saída da sub-rede para a Internet.
120 TCPpersonalizado
TCP 32768-655350.0.0.0/0 PERMISSÃOPermite respostas IPv4de saída a clientes naInternet (por exemplo,fornece páginas web apessoas que visitam osservidores web na sub-rede).
O intervalo é apenasde exemplo. Para obtermais informações sobrecomo selecionar ointervalo de portasefêmero apropriado,consulte Portasefêmeras (p. 147).
125 TCPpersonalizado
TCP 32768-65535::/0 PERMISSÃOPermite respostas IPv6de saída a clientes naInternet (por exemplo,fornece páginas web apessoas que visitam osservidores web na sub-rede).
O intervalo é apenasde exemplo. Para obtermais informações sobrecomo selecionar ointervalo de portasefêmero apropriado,consulte Portasefêmeras (p. 147).
* Todotráfego
Tudo Tudo 0.0.0.0/0 NEGAÇÃO Nega todos os tráfegosIPv4 de saída ainda nãocontrolados por umaregra precedente (nãomodificável).
* Todotráfego
Tudo Tudo ::/0 NEGAÇÃO Nega todos os tráfegosIPv6 de saída ainda nãocontrolados por umaregra precedente (nãomodificável).
146
Amazon Virtual Private Cloud Guia do usuárioPortas efêmeras
Portas efêmerasA Network ACL de exemplo na seção precedente usa o intervalo de portas efêmero 32768-65535.Entretanto, é recomendável usar um intervalo diferente para suas Network ACLs dependendo do tipo decliente que você estiver usando ou com o qual estiver se comunicando.
O cliente que inicia a solicitação escolhe o intervalo de portas efêmero. O intervalo varia dependendodo sistema operacional do cliente. Muitos kernels Linux (incluindo o kernel Amazon Linux) usam portas32768-61000. Solicitações originadas do Elastic Load Balancing usam portas 1024-65535. Os sistemasoperacionais Windows até o Windows Server 2003 usam portas 1025-5000. O Windows Server 2008 eversões posteriores usam portas 49152-65535. Um gateway NAT usa portas 1024-65535. Por exemplo, seuma solicitação chegar ao servidor web de sua VPC de um cliente Windows XP na Internet, sua NetworkACL precisará de uma regra de saída para permitir o tráfego destinado às portas 1025-5000.
Se uma instância em sua VPC for o cliente que está iniciando uma solicitação, sua Network ACL precisaráde uma regra de entrada para permitir o tráfego destinado para as portas efêmeras específicas ao tipo deinstância (Amazon Linux, Windows Server 2008 etc.).
Na prática, para abranger os diferentes tipos de cliente que podem iniciar tráfego para instâncias voltadaspara o público em sua VPC, você pode abrir as portas efêmeras 1024-65535. Entretanto, você podetambém adicionar regras à ACL para negar tráfego a qualquer porta mal-intencionado dentro do intervalo.Tome o cuidado de inserir regras de NEGAÇÃO na tabela antes de inserir regras de NEGAÇÃO queabram um amplo intervalo de portas efêmeras.
Utilização de Network ACLsAs tarefas a seguir mostram como utilizar Network ACLs por meio do console da Amazon VPC.
Tarefas• Como identificar associações com as Network ACLs (p. 147)• Criação de uma Network ACL (p. 148)• Como adicionar regras de exclusão (p. 148)• Como associar uma sub-rede a uma Network ACL (p. 149)• Como dissociar uma Network ACL de sub-rede (p. 149)• Como mudar a Network ACL de uma sub-rede (p. 149)• Exclusão de uma Network ACL (p. 150)
Como identificar associações com as Network ACLsVocê pode usar o console da Amazon VPC para determinar qual Network ACL está associada com umasub-rede. Como as Network ACLs podem ser associadas com uma ou mais sub-redes, é também possíveldeterminar as sub-redes que estão associadas a uma Network ACL.
Para determinar qual Network ACL está associada a uma sub-rede
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Subnets e selecione a sub-rede.
A Network ACL associada à sub-rede está incluída na guia Network ACL, junto com as regras daNetwork ACL.
Para determinar quais sub-redes estão associada a uma Network ACL
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.
147
Amazon Virtual Private Cloud Guia do usuárioUtilização de Network ACLs
2. No painel de navegação, selecione Network ACLs. A coluna Associated With indica o número de sub-redes associadas para cada Network ACL.
3. Selecione uma Network ACL.4. No painel de detalhes, escolha Subnet Associations para exibir as sub-redes associadas à Network
ACL.
Criação de uma Network ACLVocê pode criar uma Network ACL personalizada para sua VPC. Por padrão, a Network ACL criadabloqueia todo tráfego de entrada e saída até o momento em que você adiciona regras, e ela seráassociada à sub-rede somente quando você a associar explicitamente a uma.
Para criar uma Network ACL
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Network ACLs.3. Escolha Create Network ACL.4. Na caixa de diálogo Create Network ACL, você tem a opção de nomear ou não sua Network ACL. Em
seguida, selecione o ID de sua VPC na lista VPC e escolha Yes, Create.
Como adicionar regras de exclusãoQuando você adiciona ou exclui uma regra de uma ACL, quaisquer sub-redes associadas à ACL ficamsujeitas a essa mudança. Você não precisa encerrar e executar novamente as instâncias na sub-rede; asmudanças entram em vigor após um breve período.
Se você estiver usando a API do Amazon EC2 ou uma ferramenta de linha de comando, não poderámodificar as regras; você só pode adicionar ou excluir regras. Se você estiver usando o console daAmazon VPC, poderá modificar as entradas das regras existentes (o console remove a regra e adicionauma nova regra para você). Se você precisar mudar a ordem de uma regra na ACL, precisará adicionaruma nova regra com o novo número e depois excluir a regra original.
Para adicionar regras a uma Network ACL
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Network ACLs.3. No painel de detalhes, escolha a guia Inbound Rules ou Outbound Rules, dependendo do tipo de
regra que você necessita adicionar, e depois escolha Edit.4. Em Rule #, insira um número de regra (por exemplo, 100). O número da regra não deve estar sendo
usado na Network ACL. Processamos as regras sequencialmente, a partir do número mais baixo.
Tip
É recomendável deixar lacunas entre os números de regra (como 100, 200, 300), em vez deusar números sequenciais (101, 102, 103). Desse modo, fica mais fácil adicionar uma novaregra sem precisar renumerar as regras existentes.
5. Selecione uma regra na lista Type. Por exemplo, para adicionar uma regra para HTTP, escolha HTTP.Para adicionar uma regra para permitir todos os tráfegos TCP, escolha All TCP. Para algumas dessasopções (por exemplo, HTTP), preenchemos a porta para você. Para usar um protocolo que não estejalistado, escolha Custom Protocol Rule.
6. (Opcional) Se você estiver criando uma regra de protocolo personalizada, selecione o número e onome do protocolo na lista Protocol. Para obter mais informações, consulte IANA List of ProtocolNumbers.
148
Amazon Virtual Private Cloud Guia do usuárioUtilização de Network ACLs
7. (Opcional) Se o protocolo que você tiver selecionado exigir um número de porta, insira o número deporta ou intervalo de portas separado por hífen (por exemplo, 49152-65535).
8. No campo Source ou Destination (dependendo se a regra for de entrada ou de saída), insira ointervalo CIDR ao qual a regra se aplica.
9. Na lista Allow/Deny, selecione ALLOW para permitir um tráfego específico ou DENY para negar umtráfego específico.
10. (Opcional) Para adicionar outra regra, escolha Add another rule e repita as etapas 4 a 9, senecessário.
11. Quando concluir, selecione Save.
Para excluir uma regra de uma Network ACL
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Network ACLs e depois selecione a Network ACL.3. No painel de detalhes, selecione a guia Inbound Rules ou Outbound Rules e escolha Edit. Escolha
Remove para a regra que você deseja excluir e depois Save.
Como associar uma sub-rede a uma Network ACLPara aplicar as regras de uma Network ACL a uma sub-rede específica, você deve associar a sub-redea uma Network ACL. Você pode associar uma Network ACL com várias sub-redes; porém, uma sub-redepode ser associada a apenas uma Network ACL. Qualquer sub-rede não associada a uma ACL específicapor padrão é associada à Network ACL padrão.
Para associar uma sub-rede a uma Network ACL
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Network ACLs e depois selecione a Network ACL.3. No painel de detalhes, na guia Subnet Associations, escolha Edit. Marque a caixa de seleção
Associate para a sub-rede associada à Network ACL e escolha Save.
Como dissociar uma Network ACL de sub-redeVocê pode dissociar uma Network ACL personalizada de uma sub-rede — ao fazê-lo, a sub-rede éassociada automaticamente à Network ACL padrão.
Para dissociar uma sub-rede de uma Network ACL
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Network ACLs e depois selecione a Network ACL.3. No painel de detalhes, escolha a guia Subnet Associations.4. Escolha Edit e desmarque a caixa de seleção Associate para a sub-rede. Escolha Salvar.
Como mudar a Network ACL de uma sub-redeVocê pode mudar a Network ACL que está associada a uma sub-rede. Por exemplo, quando se cria umasub-rede, a princípio ela é associada à Network ACL padrão. Em vez disso, você pode querer associá-la auma Network ACL personalizada que tenha criado.
Depois que mudar a Network ACL de uma sub-rede, você não poderá encerrar e executar novamente asinstâncias na sub-rede; as mudanças entram em vigor após um breve período.
149
Amazon Virtual Private Cloud Guia do usuárioExemplo: controle de acesso a instâncias em uma sub-rede
Para mudar a associação de uma Network ACL a uma sub-rede
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Subnets e selecione a sub-rede.3. Escolha a guia Network ACL e depois Edit.4. Selecione a Network ACL a ser associada à sub-rede na lista Change to e escolha Save.
Exclusão de uma Network ACLVocê poderá excluir uma Network ACL somente se não houver nenhuma sub-rede associada a ela. Não épossível excluir a Network ACL padrão.
Para excluir uma Network ACL
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Network ACLs.3. Selecione a Network ACL e escolha Delete.4. Na caixa de diálogo de confirmação, escolha Yes, Delete.
Exemplo: controle de acesso a instâncias em umasub-redeNeste exemplo, as instâncias em sua sub-rede podem se comunicar entre si e são acessíveis de umcomputador remoto confiável. O computador remoto pode ser um computador em sua rede local ou umainstância em uma sub-rede ou VPC diferente que você usa para se conectar às suas instâncias paraexecutar tarefas administrativas. As regras de seu security group e as regras da Network ACL permitemacesso do endereço IP em seu computador remoto (172.31.1.2/32). Todos os outros tráfegos provenientesda Internet ou de outras redes são negados.
150
Amazon Virtual Private Cloud Guia do usuárioExemplo: controle de acesso a instâncias em uma sub-rede
Todas as instâncias usam o mesmo security group (sg-1a2b3c4d), com as regras a seguir.
Regras de entrada
Tipo de protocolo Protocolo Intervalo de Portas Origem Comentários
Todo tráfego Tudo Tudo sg-1a2b3c4d Permite queas instânciasassociadasao mesmosecurity groupcomuniquem-seentre si.
SSH TCP 22 172.31.1.2/32 Permite acessoSSH de entradado computadorremoto. Se ainstância forum computadorWindows, essaregra deverá usar,em vez disso, oprotocolo RDPpara a porta 3389.
Regras de saída
Tipo de protocolo Protocolo Intervalo de Portas Destino Comentários
Todo tráfego Tudo Tudo sg-1a2b3c4d Permite queas instânciasassociadasao mesmosecurity groupcomuniquem-seentre si.
A sub-rede está associada a uma Network ACL que tem as regras a seguir.
Regras de entrada
Regra nº Type Protocolo Intervalo dePortas
Origem Permissão/Negação
Comentários
100 SSH TCP 22 172.31.1.2/32 PERMISSÃO Permitetráfego deentrada docomputadorremoto. Sea instânciafor umcomputadorWindows,essa regradeverá
151
Amazon Virtual Private Cloud Guia do usuárioExemplo: controle de acesso a instâncias em uma sub-rede
usar, emvez disso,o protocoloRDP para aporta 3389.
* Todo tráfego Tudo Tudo 0.0.0.0/0 NEGAÇÃO Nega todosos outrostráfegosde entradaque nãocorrespondemcom a regraanterior.
Regras de saída
Regra nº Type Protocolo Intervalo dePortas
Destino Permissão/Negação
Comentários
100 TCPpersonalizado
TCP 1024-65535 172.31.1.2/32 PERMISSÃO Permiterespostasde saída aocomputadorremoto.Como asNetworkACLs sãostateless,essa regra énecessáriapara permitirtráfego deresposta asolicitaçõesde entrada.
* Todo tráfego Tudo Tudo 0.0.0.0/0 NEGAÇÃO Nega todosos outrostráfegosde saídaque nãocorrespondemcom a regraanterior.
Nesse cenário, você tem flexibilidade para mudar as regras de um ou mais security groups de suasinstâncias e ter a Network ACL como camada de defesa de backup. As regras da Network ACL aplicam-se a todas as instâncias na sub-rede. Por isso, se acidentalmente você tornar as regras de seu securitygroup muito permissivas, as regras da Network ACL continuarão a permitir acesso proveniente apenas deendereço IP único. Por exemplo, as regras a seguir são mais permissivas do que as regras anteriores —elas permitem acesso SSH de entrada de qual endereço IP.
Regras de entrada
Type Protocolo Intervalo de Portas Origem Comentários
152
Amazon Virtual Private Cloud Guia do usuárioVisão geral sobre API e comando
Todo tráfego Tudo Tudo sg-1a2b3c4d Permite queas instânciasassociadasao mesmosecurity groupcomuniquem-seentre si.
SSH TCP 22 0.0.0.0/0 Permite acessoSSH de qualquerendereço IP.
Regras de saída
Type Protocolo Intervalo de Portas Destino Comentários
Todo tráfego Tudo Tudo 0.0.0.0/0 Permite todos ostráfegos de saída.
Entretanto, somente outras instâncias dentro da sub-rede e seu computador remoto podem acessar essainstância. As regras de Network ACL ainda impedem todos os tráfegos de entrada à sub-rede, exceto oproveniente de seu computador remoto.
Visão geral sobre API e comandoVocê pode executar as tarefas descritas nesta página usando a linha de comando ou uma API. Para obtermais informações sobre as interfaces de linha de comando e uma lista de APIs disponíveis, consulte Comoacessar a Amazon VPC (p. 8).
Criar uma Network ACL para sua VPC
• create-network-acl (AWS CLI)• New-EC2NetworkAcl (AWS Tools para Windows PowerShell)
Descrever uma ou mais de suas Network ACLs
• describe-network-acls (AWS CLI)• Get-EC2NetworkAcl (AWS Tools para Windows PowerShell)
Adicionar uma regra a uma Network ACL
• create-network-acl-entry (AWS CLI)• New-EC2NetworkAclEntry (AWS Tools para Windows PowerShell)
Excluir uma regra de uma Network ACL
• delete-network-acl-entry (AWS CLI)• Remove-EC2NetworkAclEntry (AWS Tools para Windows PowerShell)
Substituir uma regra existente em uma Network ACL
• replace-network-acl-entry (AWS CLI)• Set-EC2NetworkAclEntry (AWS Tools para Windows PowerShell)
153
Amazon Virtual Private Cloud Guia do usuárioRegras de Network ACL recomendadas para sua VPC
Substituir uma associação de Network ACL
• replace-network-acl-association (AWS CLI)• Set-EC2NetworkAclAssociation (AWS Tools para Windows PowerShell)
Excluir uma Network ACL
• delete-network-acl (AWS CLI)• Remove-EC2NetworkAcl (AWS Tools para Windows PowerShell)
Regras de Network ACL recomendadas para suaVPC
O assistente de VPC ajuda a implementar cenários comuns para a Amazon VPC. Se implementar essescenários tal como descrito na documentação, você usará a lista de controle de acesso de rede padrão, quepermite tráfego de entrada e de saída. Se precisar de uma extra de segurança, poderá criar uma NetworkACL e adicionar regras. Para obter mais informações, consulte Network ACLs (p. 139).
Recomendamos as regras a seguir para cada cenário.
Recomendações• Regras recomendadas para o cenário 1 (p. 154)• Regras recomendadas para o cenário 2 (p. 157)• Regras recomendadas para o cenário 3 (p. 165)• Regras recomendadas para o cenário 4 (p. 171)
Considerações
• Usamos o intervalo de portas efêmero 32768-65535 como exemplo ou 1024-65535 para um gatewayNAT. Você precisa selecionar um intervalo apropriado à sua configuração. Para obter mais informações,consulte Portas efêmeras (p. 147).
• Se a unidade de transmissão máxima (MTU) entre hosts em suas sub-redes for diferente, seránecessário adicionar a regra a seguir, tanto de entrada quanto de saída, para garantir que o Path MTUDiscovery funcione corretamente e evitar perda de pacotes: selecione Custom ICMP Rule (Regrade ICMP personalizada) para o tipo e Destination Unreachable (Destino inacessível), fragmentationrequired, and DF flag set (fragmentação necessária, e conjunto de sinalizadores de DF) para o intervalode portas (tipo 3, código 4). Se você usar o rastreamento de rotas, adicione também a seguinte regra:selecione Custom ICMP Rule (Regra personalizada de ICMP) para o tipo e Time Exceeded (Tempoexcedido), TTL expired transit (Trânsito de TTL expirado) para o intervalo de porta (tipo 11, código0). Para obter mais informações, consulte Unidade de transmissão máxima (MTU) de rede para suainstância do EC2 no Guia do usuário do Amazon EC2 para instâncias do Linux.
Regras recomendadas para o cenário 1O cenário 1 é uma rede única com instância que podem receber e enviar tráfego de Internet. Para obtermais informações, consulte Cenário 1: VPC com uma única sub-rede pública (p. 23).
A tabela a seguir mostra as regras que recomendamos. Elas bloqueiam todos os tráfegos, exceto aqueleexplicitamente necessário.
154
Amazon Virtual Private Cloud Guia do usuárioRegras recomendadas para o cenário 1
Inbound
Rule # Source IP Protocol Port Allow/Deny Comments
100 0.0.0.0/0 TCP 80 PERMISSÃO Permite tráfego HTTPde entrada de qualquerendereço IPv4.
110 0.0.0.0/0 TCP 443 PERMISSÃO Permite tráfego HTTPSde entrada de qualquerendereço IPv4.
120 Intervalo deendereçosIPv4públicos desua rededoméstica
TCP 22 PERMISSÃO Permite tráfego SSHde entrada de sua rededoméstica (no InternetGateway).
130 Intervalo deendereçosIPv4públicos desua rededoméstica
TCP 3389 PERMISSÃO Permite tráfego RDPde entrada de sua rededoméstica (no InternetGateway).
140 0.0.0.0/0 TCP 32768-65535 PERMISSÃO Permite tráfego de retornode entrada de hostsna Internet que estãorespondendo a solicitaçõesoriginadas na sub-rede.
O intervalo é apenasde exemplo. Para obterinformações sobrecomo escolher as portasefêmeras corretas parasua configuração, consultePortas efêmeras (p. 147).
* 0.0.0.0/0 tudo tudo NEGAÇÃO Nega todos os tráfegosIPv4 de entrada aindanão controlados por umaregra precedente (nãomodificável).
Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments
100 0.0.0.0/0 TCP 80 PERMISSÃO Permite tráfego HTTP desaída da sub-rede para aInternet.
110 0.0.0.0/0 TCP 443 PERMISSÃO Permite tráfego HTTPS desaída da sub-rede para aInternet.
155
Amazon Virtual Private Cloud Guia do usuárioRegras recomendadas para o cenário 1
120 0.0.0.0/0 TCP 32768-65535 PERMISSÃO Permite respostas de saídaa clientes na Internet (porexemplo, fornece páginasweb a pessoas que visitamos servidores web na sub-rede).
O intervalo é apenasde exemplo. Para obterinformações sobrecomo escolher as portasefêmeras corretas parasua configuração, consultePortas efêmeras (p. 147).
* 0.0.0.0/0 tudo tudo NEGAÇÃO Nega todos os tráfegosIPv4 de saída ainda nãocontrolados por umaregra precedente (nãomodificável).
Regras recomendadas para IPv6Se tiver implementado o cenário 1 com o suporte de IPv6 e criado uma VPC e uma sub-rede com blocosCIDR de IPv6 associados, deverá adicionar regras distintas à Network ACL para controlar o tráfego IPv6de entrada e saída.
A seguir encontram-se regras específicas a IPv6 para sua Network ACL (que são um complemento àsregras listadas anteriormente).
Inbound
Rule # Source IP Protocol Port Allow/Deny Comments
150 ::/0 TCP 80 PERMISSÃO Permite tráfego HTTPde entrada de qualquerendereço IPv6.
160 ::/0 TCP 443 PERMISSÃO Permite tráfego HTTPSde entrada de qualquerendereço IPv6.
170 Intervalo deendereçosIPv6 desua rededoméstica
TCP 22 PERMISSÃO Permite tráfego SSHde entrada de sua rededoméstica (no InternetGateway).
180 Intervalo deendereçosIPv6 desua rededoméstica
TCP 3389 PERMISSÃO Permite tráfego RDPde entrada de sua rededoméstica (no InternetGateway).
190 ::/0 TCP 32768-65535 PERMISSÃO Permite tráfego de retornode entrada de hostsna Internet que estão
156
Amazon Virtual Private Cloud Guia do usuárioRegras recomendadas para o cenário 2
respondendo a solicitaçõesoriginadas na sub-rede.
O intervalo é apenasde exemplo. Para obterinformações sobrecomo escolher as portasefêmeras corretas parasua configuração, consultePortas efêmeras (p. 147).
* ::/0 tudo tudo NEGAÇÃO Nega todos os tráfegosIPv6 de entrada aindanão controlados por umaregra precedente (nãomodificável).
Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments
130 ::/0 TCP 80 PERMISSÃO Permite tráfego HTTP desaída da sub-rede para aInternet.
140 ::/0 TCP 443 PERMISSÃO Permite tráfego HTTPS desaída da sub-rede para aInternet.
150 ::/0 TCP 32768-65535 PERMISSÃO Permite respostas de saídaa clientes na Internet (porexemplo, fornece páginasweb a pessoas que visitamos servidores web na sub-rede).
O intervalo é apenasde exemplo. Para obterinformações sobrecomo escolher as portasefêmeras corretas parasua configuração, consultePortas efêmeras (p. 147).
* ::/0 tudo tudo NEGAÇÃO Nega todos os tráfegosIPv6 de saída ainda nãocontrolados por umaregra precedente (nãomodificável).
Regras recomendadas para o cenário 2O cenário 2 refere-se a uma sub-rede pública com instâncias que podem receber e enviar tráfego deInternet e a uma sub-rede privada que não pode receber tráfego diretamente da Internet. Entretanto, épossível iniciar tráfego para a Internet (e receber respostas) por meio de um gateway NAT ou instânciaNAT na sub-rede pública. Para obter mais informações, consulte Cenário 2: VPC com sub-redes pública eprivada (NAT) (p. 31).
157
Amazon Virtual Private Cloud Guia do usuárioRegras recomendadas para o cenário 2
Para esse cenário você tem uma Network ACL para a sub-rede pública e uma diferente para a sub-redeprivada. A tabela a seguir mostra as regras que recomendamos para cada ACL. Elas bloqueiam todos ostráfegos, exceto aquele explicitamente necessário. Eles basicamente imitam as regras do security group docenário.
Regras de ACL para sub-rede pública
Inbound
Rule # Source IP Protocol Port Allow/Deny Comments
100 0.0.0.0/0 TCP 80 PERMISSÃO Permite tráfego HTTPde entrada de qualquerendereço IPv4.
110 0.0.0.0/0 TCP 443 PERMISSÃO Permite tráfego HTTPSde entrada de qualquerendereço IPv4.
120 Intervalo deendereçosIP públicosda sua rededoméstica
TCP 22 PERMISSÃO Permite tráfego SSHde entrada de sua rededoméstica (no InternetGateway).
130 Intervalo deendereçosIP públicosda sua rededoméstica
TCP 3389 PERMISSÃO Permite tráfego RDPde entrada de sua rededoméstica (no InternetGateway).
140 0.0.0.0/0 TCP 1024-65535 PERMISSÃO Permite tráfego de retornode entrada de hostsna Internet que estãorespondendo a solicitaçõesoriginadas na sub-rede.
O intervalo é apenasde exemplo. Para obterinformações sobrecomo escolher as portasefêmeras corretas parasua configuração, consultePortas efêmeras (p. 147).
* 0.0.0.0/0 tudo tudo NEGAÇÃO Nega todos os tráfegosIPv4 de entrada aindanão controlados por umaregra precedente (nãomodificável).
Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments
100 0.0.0.0/0 TCP 80 PERMISSÃO Permite tráfego HTTP desaída da sub-rede para aInternet.
158
Amazon Virtual Private Cloud Guia do usuárioRegras recomendadas para o cenário 2
110 0.0.0.0/0 TCP 443 PERMISSÃO Permite tráfego HTTPS desaída da sub-rede para aInternet.
120 10.0.1.0/24 TCP 1433 PERMISSÃO Permite acesso MS SQLde saída a servidores debanco de dados na sub-rede privada.
Esse número de portaé apenas de exemplo.Outros exemplos incluem3306 para acesso MySQL/Aurora, 5432 para acessoPostgreSQL, 5439 paraacesso Amazon Redshift e1521 para acesso Oracle.
140 0.0.0.0/0 TCP 32768-65535 PERMISSÃO Permite respostas de saídaa clientes na Internet (porexemplo, fornece páginasweb a pessoas que visitamos servidores web na sub-rede).
O intervalo é apenasde exemplo. Para obterinformações sobrecomo escolher as portasefêmeras corretas parasua configuração, consultePortas efêmeras (p. 147).
150 10.0.1.0/24 TCP 22 PERMISSÃO Permite acesso SSH desaída a instância em suasub-rede privada (de umSSH Bastion, se tiver um).
* 0.0.0.0/0 tudo tudo NEGAÇÃO Nega todos os tráfegosIPv4 de saída ainda nãocontrolados por umaregra precedente (nãomodificável).
Regras de ACL para sub-rede privada
Inbound
Rule # Source IP Protocol Port Allow/Deny Comments
100 10.0.0.0/24 TCP 1433 PERMISSÃO Permite que servidores webna sub-rede pública leiam egravem em servidores MSSQL na sub-rede privada.
Esse número de portaé apenas de exemplo.Outros exemplos incluem
159
Amazon Virtual Private Cloud Guia do usuárioRegras recomendadas para o cenário 2
3306 para acesso MySQL/Aurora, 5432 para acessoPostgreSQL, 5439 paraacesso Amazon Redshift e1521 para acesso Oracle.
120 10.0.0.0/24 TCP 22 PERMISSÃO Permite tráfego SSH deentrada de um SSH Bastionna sub-rede pública (se tiverum).
130 10.0.0.0/24 TCP 3389 PERMISSÃO Permite tráfego RDPde entrada do gatewayMicrosoft Terminal Servicesna sub-rede pública.
140 0.0.0.0/0 TCP 1024-65535 PERMISSÃO Permite tráfego de retornode saída do dispositivo NATna sub-rede pública parasolicitações originadas nasub-rede privada.
Para obter informaçõessobre como especificar asportas efêmeras corretas,consulte uma observaçãofundamental no início destetópico.
* 0.0.0.0/0 tudo tudo NEGAÇÃO Nega todos os tráfegosIPv4 de entrada aindanão controlados por umaregra precedente (nãomodificável).
Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments
100 0.0.0.0/0 TCP 80 PERMISSÃO Permite tráfego HTTP desaída da sub-rede para aInternet.
110 0.0.0.0/0 TCP 443 PERMISSÃO Permite tráfego HTTPS desaída da sub-rede para aInternet.
160
Amazon Virtual Private Cloud Guia do usuárioRegras recomendadas para o cenário 2
120 10.0.0.0/24 TCP 32768-65535 PERMISSÃO Permite respostas de saídaà sub-rede pública (porexemplo, respostas deservidores web na sub-rede pública que estãose comunicando comservidores de banco dedados na sub-rede privada).
O intervalo é apenasde exemplo. Para obterinformações sobrecomo escolher as portasefêmeras corretas parasua configuração, consultePortas efêmeras (p. 147).
* 0.0.0.0/0 tudo tudo NEGAÇÃO Nega todos os tráfegosIPv4 de saída ainda nãocontrolados por umaregra precedente (nãomodificável).
Regras recomendadas para IPv6Se tiver implementado o cenário 2 com o suporte de IPv6 e criado uma VPC e sub-redes com blocos CIDRde IPv6 associados, deverá adicionar regras distintas às suas Network ACLs para controlar o tráfego IPv6de entrada e saída.
A seguir encontram-se regras específicas a IPv6 para suas Network ACLs (que são um complemento àsregras listadas anteriormente).
Regras de ACL para sub-rede pública
Inbound
Rule # Source IP Protocol Port Allow/Deny Comments
150 ::/0 TCP 80 PERMISSÃO Permite tráfego HTTPde entrada de qualquerendereço IPv6.
160 ::/0 TCP 443 PERMISSÃO Permite tráfego HTTPSde entrada de qualquerendereço IPv6.
170 Intervalo deendereçosIPv6 desua rededoméstica
TCP 22 PERMISSÃO Permite tráfego SSH deentrada por IPv6 de suarede doméstica (no InternetGateway).
180 Intervalo deendereçosIPv6 desua rededoméstica
TCP 3389 PERMISSÃO Permite tráfego RDP deentrada por IPv6 de suarede doméstica (no InternetGateway).
161
Amazon Virtual Private Cloud Guia do usuárioRegras recomendadas para o cenário 2
190 ::/0 TCP 1024-65535 PERMISSÃO Permite tráfego de retornode entrada de hostsna Internet que estãorespondendo a solicitaçõesoriginadas na sub-rede.
O intervalo é apenasde exemplo. Para obterinformações sobrecomo escolher as portasefêmeras corretas parasua configuração, consultePortas efêmeras (p. 147).
* ::/0 tudo tudo NEGAÇÃO Nega todos os tráfegosIPv6 de entrada aindanão controlados por umaregra precedente (nãomodificável).
Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments
160 ::/0 TCP 80 PERMISSÃO Permite tráfego HTTP desaída da sub-rede para aInternet.
170 ::/0 TCP 443 PERMISSÃO Permite tráfego HTTPS desaída da sub-rede para aInternet.
180 2001:db8:1234:1a01::/64TCP 1433 PERMISSÃO Permite acesso MS SQLde saída a servidores debanco de dados na sub-rede privada.
Esse número de portaé apenas de exemplo.Outros exemplos incluem3306 para acesso MySQL/Aurora, 5432 para acessoPostgreSQL, 5439 paraacesso Amazon Redshift e1521 para acesso Oracle.
162
Amazon Virtual Private Cloud Guia do usuárioRegras recomendadas para o cenário 2
200 ::/0 TCP 32768-65535 PERMISSÃO Permite respostas de saídaa clientes na Internet (porexemplo, fornece páginasweb a pessoas que visitamos servidores web na sub-rede).
O intervalo é apenasde exemplo. Para obterinformações sobrecomo escolher as portasefêmeras corretas parasua configuração, consultePortas efêmeras (p. 147).
210 2001:db8:1234:1a01::/64TCP 22 PERMISSÃO Permite acesso SSH desaída a instância em suasub-rede privada (de umSSH Bastion, se tiver um).
* ::/0 tudo tudo NEGAÇÃO Nega todos os tráfegosIPv6 de saída ainda nãocontrolados por umaregra precedente (nãomodificável).
Regras de ACL para sub-rede privada
Inbound
Rule # Source IP Protocol Port Allow/Deny Comments
150 2001:db8:1234:1a00::/64TCP 1433 PERMISSÃO Permite que servidores webna sub-rede pública leiam egravem em servidores MSSQL na sub-rede privada.
Esse número de portaé apenas de exemplo.Outros exemplos incluem3306 para acesso MySQL/Aurora, 5432 para acessoPostgreSQL, 5439 paraacesso Amazon Redshift e1521 para acesso Oracle.
170 2001:db8:1234:1a00::/64TCP 22 PERMISSÃO Permite tráfego SSH deentrada de um SSH Bastionna sub-rede pública (seaplicável).
180 2001:db8:1234:1a00::/64TCP 3389 PERMISSÃO Permite tráfego RDP deentrada de um gatewayMicrosoft Terminal Servicesna sub-rede pública, seaplicável.
163
Amazon Virtual Private Cloud Guia do usuárioRegras recomendadas para o cenário 2
190 ::/0 TCP 1024-65535 PERMISSÃO Permite tráfego de retornode saída do InternetGateway apenas de saídapara solicitações originadasna sub-rede privada.
O intervalo é apenasde exemplo. Para obterinformações sobrecomo escolher as portasefêmeras corretas parasua configuração, consultePortas efêmeras (p. 147).
* ::/0 tudo tudo NEGAÇÃO Nega todos os tráfegosIPv6 de entrada aindanão controlados por umaregra precedente (nãomodificável).
Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments
130 ::/0 TCP 80 PERMISSÃO Permite tráfego HTTP desaída da sub-rede para aInternet.
140 ::/0 TCP 443 PERMISSÃO Permite tráfego HTTPS desaída da sub-rede para aInternet.
150 2001:db8:1234:1a00::/64TCP 32768-65535 PERMISSÃO Permite respostas de saídaà sub-rede pública (porexemplo, respostas deservidores web na sub-rede pública que estãose comunicando comservidores de banco dedados na sub-rede privada).
O intervalo é apenasde exemplo. Para obterinformações sobrecomo escolher as portasefêmeras corretas parasua configuração, consultePortas efêmeras (p. 147).
* ::/0 tudo tudo NEGAÇÃO Nega todos os tráfegosIPv6 de saída ainda nãocontrolados por umaregra precedente (nãomodificável).
164
Amazon Virtual Private Cloud Guia do usuárioRegras recomendadas para o cenário 3
Regras recomendadas para o cenário 3O cenário 3 refere-se a uma sub-rede pública com instâncias que podem receber e enviar tráfego deInternet e a uma sub-rede somente VPN com instâncias que podem se comunicar somente com sua rededoméstica por meio da conexão do . Para obter mais informações, consulte Cenário 3: VPC com sub-redespúblicas e privadas e acesso à (p. 44).
Para esse cenário você tem uma Network ACL para a sub-rede pública e uma diferente para a sub-redesomente VPN. A tabela a seguir mostra as regras que recomendamos para cada ACL. Elas bloqueiamtodos os tráfegos, exceto aquele explicitamente necessário.
Regras de ACL para sub-rede pública
Inbound
Rule # Source IP Protocol Port Allow/Deny Comments
100 0.0.0.0/0 TCP 80 PERMISSÃO Permite tráfego HTTP deentrada para servidores webde qualquer endereço IPv4.
110 0.0.0.0/0 TCP 443 PERMISSÃO Permite tráfego HTTPS deentrada para servidores webde qualquer endereço IPv4.
120 Intervalo deendereçosIPv4públicos desua rededoméstica
TCP 22 PERMISSÃO Permite tráfego SSH deentrada para servidores webde sua rede doméstica (noInternet Gateway).
130 Intervalo deendereçosIPv4públicos desua rededoméstica
TCP 3389 PERMISSÃO Permite tráfego RDP deentrada para servidores webde sua rede doméstica (noInternet Gateway).
140 0.0.0.0/0 TCP 32768-65535 PERMISSÃO Permite tráfego de retornode entrada de hostsna Internet que estãorespondendo a solicitaçõesoriginadas na sub-rede.
O intervalo é apenasde exemplo. Para obterinformações sobrecomo escolher as portasefêmeras corretas parasua configuração, consultePortas efêmeras (p. 147).
* 0.0.0.0/0 tudo tudo NEGAÇÃO Nega todos os tráfegosIPv4 de entrada aindanão controlados por umaregra precedente (nãomodificável).
165
Amazon Virtual Private Cloud Guia do usuárioRegras recomendadas para o cenário 3
Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments
100 0.0.0.0/0 TCP 80 PERMISSÃO Permite tráfego HTTP desaída da sub-rede para aInternet.
110 0.0.0.0/0 TCP 443 PERMISSÃO Permite tráfego HTTPS desaída da sub-rede para aInternet.
120 10.0.1.0/24 TCP 1433 PERMISSÃO Permite acesso MS SQLde saída a servidores debanco de dados na sub-rede somente VPN.
Esse número de portaé apenas de exemplo.Outros exemplos incluem3306 para acesso MySQL/Aurora, 5432 para acessoPostgreSQL, 5439 paraacesso Amazon Redshift e1521 para acesso Oracle.
140 0.0.0.0/0 TCP 32768-65535 PERMISSÃO Permite respostas IPv4 desaída a clientes na Internet(por exemplo, fornecepáginas web a pessoas quevisitam os servidores webna sub-rede).
O intervalo é apenasde exemplo. Para obterinformações sobrecomo escolher as portasefêmeras corretas parasua configuração, consultePortas efêmeras (p. 147).
* 0.0.0.0/0 tudo tudo NEGAÇÃO Nega todos os tráfegos desaída ainda não controladospor uma regra precedente(não modificável).
Configurações de ACL para sub-rede somente VPN
Inbound
Rule # Source IP Protocol Port Allow/Deny Comments
100 10.0.0.0/24 TCP 1433 PERMISSÃO Permite que servidores webna sub-rede pública leiam egravem em servidores MSSQL na sub-rede somenteVPN.
166
Amazon Virtual Private Cloud Guia do usuárioRegras recomendadas para o cenário 3
Esse número de portaé apenas de exemplo.Outros exemplos incluem3306 para acesso MySQL/Aurora, 5432 para acessoPostgreSQL, 5439 paraacesso Amazon Redshift e1521 para acesso Oracle.
120 Intervalo deendereçosIPv4privados desua rededoméstica
TCP 22 PERMISSÃO Permite tráfego SSHde entrada de sua rededoméstica (no gatewayprivado virtual).
130 Intervalo deendereçosIPv4privados desua rededoméstica
TCP 3389 PERMISSÃO Permite tráfego RDPde entrada de sua rededoméstica (no gatewayprivado virtual).
140 Intervalo deendereçosIP privadosde sua rededoméstica
TCP 32768-65535 PERMISSÃO Permite tráfego de retornode entrada de clientes narede doméstica (no gatewayprivado virtual).
O intervalo é apenasde exemplo. Para obterinformações sobrecomo escolher as portasefêmeras corretas parasua configuração, consultePortas efêmeras (p. 147).
* 0.0.0.0/0 tudo tudo NEGAÇÃO Nega todos os tráfegosde entrada ainda nãocontrolados por umaregra precedente (nãomodificável).
Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments
167
Amazon Virtual Private Cloud Guia do usuárioRegras recomendadas para o cenário 3
100 Intervalo deendereçosIP privadosde sua rededoméstica
Tudo Tudo PERMISSÃO Permite todos os tráfegosde saída da sub-rede parasua rede doméstica (nogateway privado virtual).Essa regra abrange a regra120; entretanto, você podetornar essa regra maisrestritiva usando um tipode protocolo e número deporta específicos. Se vocêtornar essa regra maisrestritiva, deverá incluir aregra 120 em sua NetworkACL para garantir queessas respostas de saídanão sejam bloqueadas.
110 10.0.0.0/24 TCP 32768-65535 PERMISSÃO Permite respostas de saídapara servidores web na sub-rede pública.
O intervalo é apenasde exemplo. Para obterinformações sobrecomo escolher as portasefêmeras corretas parasua configuração, consultePortas efêmeras (p. 147).
120 Intervalo deendereçosIP privadosde sua rededoméstica
TCP 32768-65535 PERMISSÃO Permite respostas desaída para clientes na rededoméstica (no gatewayprivado virtual).
O intervalo é apenasde exemplo. Para obterinformações sobrecomo escolher as portasefêmeras corretas parasua configuração, consultePortas efêmeras (p. 147).
* 0.0.0.0/0 tudo tudo NEGAÇÃO Nega todos os tráfegos desaída ainda não controladospor uma regra precedente(não modificável).
Regras recomendadas para IPv6Se tiver implementado o cenário 3 com o suporte de IPv6 e criado uma VPC e sub-redes com blocos CIDRde IPv6 associados, deverá adicionar regras distintas às suas Network ACLs para controlar o tráfego IPv6de entrada e saída.
A seguir encontram-se regras específicas a IPv6 para suas Network ACLs (que são um complemento àsregras listadas anteriormente).
168
Amazon Virtual Private Cloud Guia do usuárioRegras recomendadas para o cenário 3
Regras de ACL para sub-rede pública
Inbound
Rule # Source IP Protocol Port Allow/Deny Comments
150 ::/0 TCP 80 PERMISSÃO Permite tráfego HTTPde entrada de qualquerendereço IPv6.
160 ::/0 TCP 443 PERMISSÃO Permite tráfego HTTPSde entrada de qualquerendereço IPv6.
170 Intervalo deendereçosIPv6 desua rededoméstica
TCP 22 PERMISSÃO Permite tráfego SSH deentrada por IPv6 de suarede doméstica (no InternetGateway).
180 Intervalo deendereçosIPv6 desua rededoméstica
TCP 3389 PERMISSÃO Permite tráfego RDP deentrada por IPv6 de suarede doméstica (no InternetGateway).
190 ::/0 TCP 1024-65535 PERMISSÃO Permite tráfego de retornode entrada de hostsna Internet que estãorespondendo a solicitaçõesoriginadas na sub-rede.
O intervalo é apenasde exemplo. Para obterinformações sobrecomo escolher as portasefêmeras corretas parasua configuração, consultePortas efêmeras (p. 147).
* ::/0 tudo tudo NEGAÇÃO Nega todos os tráfegosIPv6 de entrada aindanão controlados por umaregra precedente (nãomodificável).
Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments
150 ::/0 TCP 80 PERMISSÃO Permite tráfego HTTP desaída da sub-rede para aInternet.
160 ::/0 TCP 443 PERMISSÃO Permite tráfego HTTPS desaída da sub-rede para aInternet.
170 2001:db8:1234:1a01::/64TCP 1433 PERMISSÃO Permite acesso MS SQLde saída a servidores de
169
Amazon Virtual Private Cloud Guia do usuárioRegras recomendadas para o cenário 3
banco de dados na sub-rede privada.
Esse número de portaé apenas de exemplo.Outros exemplos incluem3306 para acesso MySQL/Aurora, 5432 para acessoPostgreSQL, 5439 paraacesso Amazon Redshift e1521 para acesso Oracle.
190 ::/0 TCP 32768-65535 PERMISSÃO Permite respostas de saídaa clientes na Internet (porexemplo, fornece páginasweb a pessoas que visitamos servidores web na sub-rede).
O intervalo é apenasde exemplo. Para obterinformações sobrecomo escolher as portasefêmeras corretas parasua configuração, consultePortas efêmeras (p. 147).
* ::/0 tudo tudo NEGAÇÃO Nega todos os tráfegosIPv6 de saída ainda nãocontrolados por umaregra precedente (nãomodificável).
Regras de ACL para sub-rede somente VPN
Inbound
Rule # Source IP Protocol Port Allow/Deny Comments
150 2001:db8:1234:1a00::/64TCP 1433 PERMISSÃO Permite que servidores webna sub-rede pública leiam egravem em servidores MSSQL na sub-rede privada.
Esse número de portaé apenas de exemplo.Outros exemplos incluem3306 para acesso MySQL/Aurora, 5432 para acessoPostgreSQL, 5439 paraacesso Amazon Redshift e1521 para acesso Oracle.
* ::/0 tudo tudo NEGAÇÃO Nega todos os tráfegosIPv6 de entrada aindanão controlados por uma
170
Amazon Virtual Private Cloud Guia do usuárioRegras recomendadas para o cenário 4
regra precedente (nãomodificável).
Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments
130 2001:db8:1234:1a00::/64TCP 32768-65535 PERMISSÃO Permite respostas de saídaà sub-rede pública (porexemplo, respostas deservidores web na sub-rede pública que estãose comunicando comservidores de banco dedados na sub-rede privada).
O intervalo é apenasde exemplo. Para obterinformações sobrecomo escolher as portasefêmeras corretas parasua configuração, consultePortas efêmeras (p. 147).
* ::/0 tudo tudo NEGAÇÃO Nega todos os tráfegosIPv6 de saída ainda nãocontrolados por umaregra precedente (nãomodificável).
Regras recomendadas para o cenário 4O cenário 4 refere-se a uma única sub-rede com instâncias que podem se comunicar somente com suarede doméstica por meio de uma conexão do . Para obter mais informações, consulte Cenário 4: VPC comapenas uma sub-rede privada e acesso à (p. 57).
A tabela a seguir mostra as regras que recomendamos. Elas bloqueiam todos os tráfegos, exceto aqueleexplicitamente necessário.
Inbound
Rule # Source IP Protocol Port Allow/Deny Comments
100 Intervalo deendereçosIP privadosde sua rededoméstica
TCP 22 PERMISSÃO Permite tráfego SSHde entrada de sua rededoméstica para a sub-rede.
110 Intervalo deendereçosIP privadosde sua rededoméstica
TCP 3389 PERMISSÃO Permite tráfego RDPde entrada de sua rededoméstica para a sub-rede.
171
Amazon Virtual Private Cloud Guia do usuárioRegras recomendadas para o cenário 4
120 Intervalo deendereçosIP privadosde sua rededoméstica
TCP 32768-65535 PERMISSÃO Permite tráfego de retornode entrada de solicitaçõesoriginadas na sub-rede.
O intervalo é apenasde exemplo. Para obterinformações sobrecomo escolher as portasefêmeras corretas parasua configuração, consultePortas efêmeras (p. 147).
* 0.0.0.0/0 tudo tudo NEGAÇÃO Nega todos os tráfegosde entrada ainda nãocontrolados por umaregra precedente (nãomodificável).
Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments
100 Intervalo deendereçosIP privadosde sua rededoméstica
Tudo Tudo PERMISSÃO Permite todos os tráfegosde saída da sub-rede parasua rede doméstica. Essaregra abrange a regra120; entretanto, você podetornar essa regra maisrestritiva usando um tipode protocolo e número deporta específicos. Se vocêtornar essa regra maisrestritiva, deverá incluir aregra 120 em sua NetworkACL para garantir queessas respostas de saídanão sejam bloqueadas.
120 Intervalo deendereçosIP privadosde sua rededoméstica
TCP 32768-65535 PERMISSÃO Permite respostas desaída para clientes na rededoméstica.
O intervalo é apenasde exemplo. Para obterinformações sobrecomo escolher as portasefêmeras corretas parasua configuração, consultePortas efêmeras (p. 147).
* 0.0.0.0/0 tudo tudo NEGAÇÃO Nega todos os tráfegos desaída ainda não controladospor uma regra precedente(não modificável).
172
Amazon Virtual Private Cloud Guia do usuárioControle do acesso
Regras recomendadas para IPv6Se tiver implementado o cenário 4 com o suporte de IPv6 e criado uma VPC e uma sub-rede com blocosCIDR de IPv6 associados, deverá adicionar regras distintas à Network ACL para controlar o tráfego IPv6de entrada e saída.
Nesse cenário, os servidores de banco de dados não podem ser acessados por comunicação VPN viaIPv6. Por isso, não há necessidade de nenhuma regra adicional de Network ACL. A seguir encontram-seregras padrão que negam tráfego IPv6 para e proveniente da sub-rede.
Regras de ACL para sub-rede somente VPN
Inbound
Rule # Source IP Protocol Port Allow/Deny Comments
* ::/0 tudo tudo NEGAÇÃO Nega todos os tráfegosIPv6 de entrada aindanão controlados por umaregra precedente (nãomodificável).
Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments
* ::/0 tudo tudo NEGAÇÃO Nega todos os tráfegosIPv6 de saída ainda nãocontrolados por umaregra precedente (nãomodificável).
Como controlar o acesso aos recursos do AmazonVPC
As credenciais de segurança identificam você para serviços na AWS e lhe concedem uso ilimitado dosseus recursos da AWS, como os recursos da Amazon VPC. Você pode usar recursos do AWS Identity andAccess Management (IAM) para permitir que outros usuários, serviços e aplicativos usem seus recursosda Amazon VPC sem compartilhar suas credenciais de segurança. Você pode permitir uso total ou limitadodos seus recursos, concedendo aos usuários permissão de usar ações específicas de API do AmazonEC2. Algumas ações de API são compatíveis com permissões no nível de recurso, que permitem a vocêcontrolar os recursos específicos criados ou modificados por usuários.
Important
No momento, nem todas as ações de API do Amazon EC2 são compatíveis com permissões nonível do recurso. Se uma ação da API do Amazon EC2 não oferecer suporte a permissões emnível de recurso, você poderá conceder aos usuários permissão para usar a ação, mas precisaráespecificar um * para o elemento do recurso da declaração de política. Para obter um exemplode como fazer isso, veja a seguinte política de exemplo: 1. Gerenciar uma VPC (p. 174)Posteriormente, adicionaremos suporte para ações API adicionais e ARNs para recursosadicionais do Amazon EC2. Para obter informações sobre quais ARNs você pode usar com quaisações de API do Amazon EC2, bem como chaves de condições compatíveis com cada ARN,consulte Recursos compatíveis e condições para as ações de API do Amazon EC2 no Guia dousuário do Amazon EC2 para instâncias do Linux.
173
Amazon Virtual Private Cloud Guia do usuárioExemplo de políticas para o SDK ou CLI da AWS
Para obter informações sobre como criar políticas do IAM para recursos do Amazon EC2 compatíveis comações de API do EC2, bem como políticas de exemplo para o Amazon EC2, consulte IAM Políticas paraAmazon EC2 no Guia do usuário do Amazon EC2 para instâncias do Linux.
Tópicos• Exemplo de políticas para o SDK ou CLI da AWS (p. 174)• Exemplos de políticas para o console (p. 181)
Exemplo de políticas para o SDK ou CLI da AWSOs exemplos a seguir mostram declarações de política que você pode usar para controlar as permissõesque os usuários do IAM têm para a Amazon VPC. Esses exemplos foram desenvolvidos para usuários queusam a AWS CLI ou um SDK da AWS.
Exemplos• 1. Gerenciar uma VPC (p. 174)• 2. Política de somente leitura para o Amazon VPC (p. 175)• 3. Política de personalização para o Amazon VPC (p. 175)• 4. Executar instâncias em uma sub-rede específica (p. 176)• 5. Executar instâncias em uma VPC específica (p. 176)• 6. Gerenciar grupos de segurança em uma VPC (p. 177)• 7. Criar e gerenciar conexões de emparelhamento de VPC (p. 178)• 8. Criar e gerenciar VPC endpoints (p. 180)
Para obter exemplos de políticas que funcionem com ClassicLink, consulte Exemplos de políticas para CLIou SDK no Guia do usuário do Amazon EC2 para instâncias do Linux.
1. Gerenciar uma VPCA política a seguir concede aos usuários permissão de criar e gerenciar a sua VPC. Você pode anexaressa política a um grupo de administradores de rede. O elemento Action especifica as ações de APIrelacionadas a VPCs, sub-redes, gateways da Internet, gateways do cliente, gateways privados virtuais,conexões do , tabelas de rotas, endereços IP elásticos, grupos de segurança, ACLs de rede e conjuntosde opções DHCP. A política também permite que grupos executem, interrompam, iniciem e encerreminstâncias. Ela também permite que o grupo liste recursos de Amazon EC2.
A política usa curingas para especificar todas as ações de cada tipo de objeto (por exemplo,*SecurityGroup*). Como alternativa, você pode listar cada ação explicitamente. Se você usar oscuringas, observe que se adicionarmos novas ações cujos nomes incluem qualquer das strings de curingada política, a política, automaticamente, concederá o acesso de grupo a essas novas ações.
O elemento Resource usa um curinga para indicar que os usuários podem especificar todos os recursoscom essas ações de API. O * curinga também é necessário em casos onde a ação de API não écompatível com permissões no nível de recurso.
{ "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":["ec2:*Vpc*", "ec2:*Subnet*", "ec2:*Gateway*",
174
Amazon Virtual Private Cloud Guia do usuárioExemplo de políticas para o SDK ou CLI da AWS
"ec2:*Vpn*", "ec2:*Route*", "ec2:*Address*", "ec2:*SecurityGroup*", "ec2:*NetworkAcl*", "ec2:*DhcpOptions*", "ec2:RunInstances", "ec2:StopInstances", "ec2:StartInstances", "ec2:TerminateInstances", "ec2:Describe*"], "Resource":"*" } ] }
2. Política de somente leitura para o Amazon VPCA política a seguir concede aos usuários permissão de listar suas VPCs e seus componentes. Eles nãopodem criá-las, atualizá-las nem excluí-las.
{ "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":["ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeInternetGateways", "ec2:DescribeEgressOnlyInternetGateways", "ec2:DescribeVpcEndpoints", "ec2:DescribeNatGateways", "ec2:DescribeCustomerGateways", "ec2:DescribeVpnGateways", "ec2:DescribeVpnConnections", "ec2:DescribeRouteTables", "ec2:DescribeAddresses", "ec2:DescribeSecurityGroups", "ec2:DescribeNetworkAcls", "ec2:DescribeDhcpOptions", "ec2:DescribeTags", "ec2:DescribeInstances"], "Resource":"*" } ]}
3. Política de personalização para o Amazon VPCA política a seguir concede aos usuários permissão para executar, interromper, iniciar e encerrar instânciase descrever os recursos disponíveis para Amazon EC2 e Amazon VPC.
A segunda instrução na política protege contra quaisquer outras políticas que concedam ao usuário acessoa um intervalo maior de ações de API por meio de negações explícitas de permissões.
{ "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":["ec2:RunInstances", "ec2:StopInstances", "ec2:StartInstances",
175
Amazon Virtual Private Cloud Guia do usuárioExemplo de políticas para o SDK ou CLI da AWS
"ec2:TerminateInstances", "ec2:Describe*"], "Resource":"*" }, { "Effect":"Deny", "NotAction":["ec2:RunInstances", "ec2:StopInstances", "ec2:StartInstances", "ec2:TerminateInstances", "ec2:Describe*"], "Resource":"*" } ]}
4. Executar instâncias em uma sub-rede específicaA política a seguir concede permissões aos usuários para executarem instâncias em uma sub-redeespecífica e usarem um security group específico na solicitação. A política faz isso, especificando o ARNpara subnet-1a2b3c4d e o ARN para sg-123abc123. Se usuários tentarem executar uma instânciaem uma sub-rede diferente ou usar um security group diferente, haverá falha na solicitação (a menos queoutra política ou instrução conceda aos usuários permissão para fazer isso).
A política também concede permissão para usar o recurso de interface de rede. Quando executada emuma sub-rede, a solicitação RunInstances cria uma interface de rede primária por padrão, para que ousuário precise de permissão para criar esse recurso quando executar a instância.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:region::image/ami-*", "arn:aws:ec2:region:account:instance/*", "arn:aws:ec2:region:account:subnet/subnet-1a2b3c4d", "arn:aws:ec2:region:account:network-interface/*", "arn:aws:ec2:region:account:volume/*", "arn:aws:ec2:region:account:key-pair/*", "arn:aws:ec2:region:account:security-group/sg-123abc123" ] } ]}
5. Executar instâncias em uma VPC específicaA política a seguir concede permissões aos usuários para executarem instâncias em qualquer sub-rede deuma VPC específica. A política faz isso, aplicando uma chave de condição (ec2:Vpc) ao recurso de sub-rede.
A política também concede permissão aos usuários de executarem instâncias usando somente AMIs quepossuam a tag "department=dev".
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow",
176
Amazon Virtual Private Cloud Guia do usuárioExemplo de políticas para o SDK ou CLI da AWS
"Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:region:account:subnet/*", "Condition": { "StringEquals": { "ec2:Vpc": "arn:aws:ec2:region:account:vpc/vpc-1a2b3c4d" } } }, { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:region::image/ami-*", "Condition": { "StringEquals": { "ec2:ResourceTag/department": "dev" } } }, { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:region:account:instance/*", "arn:aws:ec2:region:account:volume/*", "arn:aws:ec2:region:account:network-interface/*", "arn:aws:ec2:region:account:key-pair/*", "arn:aws:ec2:region:account:security-group/*" ] } ]}
6. Gerenciar grupos de segurança em uma VPCA política a seguir concede permissão aos usuários para criar e excluir regras de entrada e de saída paraqualquer security group de uma VPC específica. A política faz isso, aplicando uma chave de condição(ec2:Vpc) ao recurso do security group para as ações Authorize e Revoke.
A segunda instrução concede permissão aos usuários para descrever todos os security groups. Isso énecessário para que usuários sejam capazes de modificar as regras de security group usando a CLI.
{"Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress"], "Resource": "arn:aws:ec2:region:account:security-group/*", "Condition": { "StringEquals": { "ec2:Vpc": "arn:aws:ec2:region:account:vpc/vpc-1a2b3c4d" } } }, { "Effect": "Allow", "Action": "ec2:DescribeSecurityGroups", "Resource": "*" } ]
177
Amazon Virtual Private Cloud Guia do usuárioExemplo de políticas para o SDK ou CLI da AWS
}
7. Criar e gerenciar conexões de emparelhamento de VPCA seguir, há exemplos de políticas que você pode usar para gerenciar a criação e a modificação deconexões de emparelhamento de VPC.
a. Criar uma conexão de emparelhamento de VPC
A política a seguir permite que usuários criem solicitações de conexão de emparelhamento de VPCusando somente VPCs marcadas com Purpose=Peering. A primeira instrução aplica uma chavede condição (ec2:ResourceTag) ao recurso da VPC. Observe que o recurso de VPC para a açãoCreateVpcPeeringConnection é sempre a VPC solicitante.
A segunda instrução concede permissão aos usuários para criar o recurso de conexão de emparelhamentode VPC e usar o * curinga no lugar de um ID de recurso específico.
{"Version": "2012-10-17","Statement":[{ "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account:vpc/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Peering" } } }, { "Effect": "Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account:vpc-peering-connection/*" } ]}
A política a seguir permite que os usuários na conta da AWS 333333333333 criem conexões deemparelhamento de VPC usando qualquer VPC na região us-east-1, mas somente se a VPC que estiveraceitando a conexão de emparelhamento for uma VPC específica (vpc-aaa111bb) em uma contaespecífica (777788889999).
{"Version": "2012-10-17","Statement": [{ "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:us-east-1:333333333333:vpc/*" }, { "Effect": "Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": "arn:aws:ec2:region:333333333333:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:AccepterVpc": "arn:aws:ec2:region:777788889999:vpc/vpc-aaa111bb" } } } ]
178
Amazon Virtual Private Cloud Guia do usuárioExemplo de políticas para o SDK ou CLI da AWS
}
b. Aceitar uma conexão de emparelhamento de VPC
A política a seguir permite que usuários aceitem solicitações de conexão de emparelhamento de VPCsomente da conta da AWS 444455556666. Isso ajuda a evitar que usuários aceitem solicitações deconexão de emparelhamento de VPC de contas desconhecidas. A primeira instrução usa a chave decondição ec2:RequesterVpc para reforçar isso.
A política também concede permissões aos usuários de aceitarem solicitações de emparelhamento deVPC somente quando sua VPC possuir a tag Purpose=Peering.
{"Version": "2012-10-17","Statement":[{ "Effect":"Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:RequesterVpc": "arn:aws:ec2:region:444455556666:vpc/*" } } }, { "Effect": "Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:region:account:vpc/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Peering" } } } ]}
c. Excluir uma conexão de emparelhamento de VPC
A política a seguir permite que usuários na conta 444455556666 excluam qualquer conexão deemparelhamento de VPC, exceto as que usam a VPC especificada vpc-1a2b3c4d, que está na mesmaconta. A política especifica as chaves de condição ec2:AccepterVpc e ec2:RequesterVpc, jáque a VPC pode ter sido a VPC solicitante ou a VPC de mesmo nível na solicitação de conexão deemparelhamento de VPC original.
{"Version": "2012-10-17","Statement": [{ "Effect":"Allow", "Action": "ec2:DeleteVpcPeeringConnection", "Resource": "arn:aws:ec2:region:444455556666:vpc-peering-connection/*", "Condition": { "ArnNotEquals": { "ec2:AccepterVpc": "arn:aws:ec2:region:444455556666:vpc/vpc-1a2b3c4d", "ec2:RequesterVpc": "arn:aws:ec2:region:444455556666:vpc/vpc-1a2b3c4d" } } } ]}
d. Trabalhar em uma conta específica
179
Amazon Virtual Private Cloud Guia do usuárioExemplo de políticas para o SDK ou CLI da AWS
A política a seguir permite que usuários trabalhem com conexões de emparelhamento de VPC somenteem uma conta específica. Usuários podem visualizar, criar, aceitar, rejeitar e excluir conexões deemparelhamento de VPC, desde que todas estejam na conta da AWS 333333333333.
A primeira instrução permite aos usuários visualizarem todas as conexões de emparelhamentode VPC. O elemento Resource exige um * curinga neste caso, pois esta ação de API(DescribeVpcPeeringConnections), atualmente, não é compatível com permissões em nível derecurso.
A segunda instrução permite que usuários criem conexões de emparelhamento de VPC e, para quepossam fazer isso, oferece acesso a todas as VPCs na conta 333333333333.
A terceira instrução usa um * curinga como parte do elemento Action, para permitir todas as ações deconexão de emparelhamento de VPC. As chaves de condição garantem que todas as ações somentesejam executadas em conexões de emparelhamento de VPC que sejam parte da conta 333333333333.Por exemplo, um usuário não tem permissão de excluir uma conexão de emparelhamento de VPC se aVPC receptora ou solicitante estiver em uma conta diferente. Um usuário não pode criar uma conexão deemparelhamento de VPC com uma VPC em uma conta diferente.
{"Version": "2012-10-17","Statement": [{ "Effect": "Allow", "Action": "ec2:DescribeVpcPeeringConnections", "Resource": "*" }, { "Effect": "Allow", "Action": ["ec2:CreateVpcPeeringConnection","ec2:AcceptVpcPeeringConnection"], "Resource": "arn:aws:ec2:*:333333333333:vpc/*" }, { "Effect": "Allow", "Action": "ec2:*VpcPeeringConnection", "Resource": "arn:aws:ec2:*:333333333333:vpc-peering-connection/*", "Condition": { "ArnEquals": { "ec2:AccepterVpc": "arn:aws:ec2:*:333333333333:vpc/*", "ec2:RequesterVpc": "arn:aws:ec2:*:333333333333:vpc/*" } } } ]}
8. Criar e gerenciar VPC endpointsA política a seguir concede permissão aos usuários para criar, modificar, visualizar e excluir VPCendpoints, serviços de VPC endpoint e notificações de conexão do VPC endpoint. Os usuáriostambém podem aceitar e rejeitar solicitações de conexão do VPC endpoint. Nenhuma das açõesec2:*VpcEndpoint* são compatíveis com permissões em nível de recurso, portanto, é preciso usar o *curinga para o elemento Resource, para que os usuários trabalhem com todos os recursos.
{ "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":"ec2:*VpcEndpoint*", "Resource":"*" } ]
180
Amazon Virtual Private Cloud Guia do usuárioExemplos de políticas para o console
}
Exemplos de políticas para o consoleVocê pode usar as políticas do IAM para conceder permissões aos usuários para visualizarem etrabalharem com recursos específicos no console do Amazon VPC. Você pode usar os exemplos depolíticas da seção anterior. No entanto, eles foram criados para solicitações feitas com a AWS CLI ou comum AWS SDK. O console usa ações de API adicionais para seus recursos, portanto, essas políticas talveznão funcionem como esperado.
Esta seção demonstra políticas que permitem ao usuários trabalharem com partes específicas do consoleda VPC.
Exemplos• 1. Usar o assistente de VPC (p. 181)• 2. Gerenciar uma VPC (p. 185)• 3. Gerenciar grupos de segurança (p. 186)• 4. Criar uma conexão de emparelhamento de VPC (p. 187)
1. Usar o assistente de VPCVocê pode usar o assistente de VPC no console de Amazon VPC para criar e configurar uma VPC paravocê usar. O assistente fornece opções de configuração diferentes, dependendo dos seus requisitos. Paraobter mais informações sobre como usar o assistente de VPC para criar uma VPC, consulte Cenários eexemplos (p. 23).
Para permitir que usuários usem o assistente de VPC, você precisa conceder permissão a eles para criare modificar os recursos que fazem parte da configuração selecionada. Os exemplos de políticas a seguirmostram as ações necessárias para cada uma das opções de configuração do assistente.
Note
Se em algum momento houver falha do assistente de VPC, ele tentará desanexar e excluir osrecursos criados. Se você não conceder permissão aos usuários para usar essas ações, essesrecursos permanecerão em sua conta.
Opção 1: VPC com uma única sub-rede pública
A primeira opção de configuração do assistente de VPC cria uma VPC com uma única sub-rede. Nasua política do IAM, é preciso conceder permissão aos usuários para usar as seguintes ações para quepossam utilizar esta opção do assistente:
• ec2:CreateVpc, ec2:CreateSubnet, ec2:CreateRouteTable eec2:CreateInternetGateway: para criar uma VPC, uma sub-rede, uma tabela de rotaspersonalizada e um Gateway da Internet.
• ec2:DescribeAvailabilityZones: para exibir a seção do assistente com a lista Zona dedisponibilidade e o campo do bloco CIDR para a sub-rede. Mesmo que usuários pretendam deixar asconfigurações padrão, não serão capazes de criar uma VPC, a menos que as opções sejam exibidas.
• ec2:DescribeVpcEndpointServices: para exibir a seção de VPC endpoint do assistente.• ec2:AttachInternetGateway: para anexar o Gateway da Internet à VPC.• ec2:CreateRoute: para criar uma rota na tabela de rotas personalizadas. A rota direciona o tráfego
para o Gateway da Internet.• ec2:AssociateRouteTable: para associar a tabela de rotas personalizadas à sub-rede.
181
Amazon Virtual Private Cloud Guia do usuárioExemplos de políticas para o console
• ec2:ModifyVpcAttribute: para modificar o atributo da VPC e habilitar nomes de host DNS, para quecada instância executada nessa VPC receba um nome de host DNS.
Nenhuma das ações de API nesta política são compatíveis com permissões em nível de recurso, portanto,você não pode controlar quais recursos específicos os usuários podem usar.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones", "ec2:DescribeVpcEndpointServices", "ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateInternetGateway", "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:ModifyVpcAttribute" ], "Resource": "*" } ]}
Opção 2: VPC com uma sub-rede privada e uma pública
A segunda opção de configuração do assistente de VPC cria uma VPC com uma sub-rede privada e umapública e oferece a opção de executar um gateway NAT ou uma instância NAT. A política a seguir possuias mesmas ações que o exemplo anterior (opção 1), mais ações que permitem aos usuários executar econfigurar um gateway NAT ou uma instância NAT.
As seguintes ações são necessárias, independentemente de você estar executando uma instância NAT ouum gateway NAT:
• ec2:DescribeKeyPairs: para exibir uma lista dos pares de chaves existentes e carregar a seçãoNAT do assistente.
As seguintes ações são necessárias para criar um gateway NAT (essas ações não são necessárias paraexecutar uma instância NAT):
• ec2:CreateNatGateway: para criar o gateway NAT.• ec2:DescribeNatGateways: para verificar o status do gateway NAT até que fique no estado
disponível.• ec2:DescribeAddresses: para listar os endereços IP elásticos disponíveis em sua conta para
associar com o gateway NAT.
As seguintes ações são necessárias para executar uma instância NAT (essas ações não são necessáriaspara criar um gateway NAT):
• ec2:DescribeImages: para localizar uma AMI que foi configurada para ser executada como umainstância NAT.
• ec2:RunInstances: para executar a instância NAT.• ec2:AllocateAddress e ec2:AssociateAddress: para alocar um endereço IP elástico em sua
conta e associá-lo à instância NAT.• ec2:ModifyInstanceAttribute: para desativar a verificação de origem/destino da instância NAT.• ec2:DescribeInstances: para verificar o status da instância até que esteja no estado de execução.• ec2:DescribeRouteTables, ec2:DescribeVpnGateways e ec2:DescribeVpcs: para reunir
informações sobre as rotas que devem ser adicionadas à tabela de rotas principal.
182
Amazon Virtual Private Cloud Guia do usuárioExemplos de políticas para o console
A política a seguir permite que usuários criem uma instância NAT ou um gateway NAT.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones", "ec2:DescribeVpcEndpointServices", "ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateInternetGateway", "ec2:CreateNatGateway", "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:ModifyVpcAttribute", "ec2:DescribeKeyPairs", "ec2:DescribeImages", "ec2:RunInstances", "ec2:AllocateAddress", "ec2:AssociateAddress", "ec2:DescribeAddresses", "ec2:DescribeInstances", "ec2:ModifyInstanceAttribute", "ec2:DescribeRouteTables", "ec2:DescribeVpnGateways", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeNatGateways" ], "Resource": "*" } ]}
Você pode usar permissões em nível de recurso na ação ec2:RunInstances, para controlar a habilidadedo usuário de executar instâncias. Por exemplo, você pode especificar o ID de uma AMI habilitada paraNAT, para que usuários possam executar instâncias somente a partir dessa AMI. Para saber qual AMI oassistente usa para executar uma instância NAT, faça login no console de Amazon VPC como usuário compermissões totais e realize a segunda opção do assistente de VPC. Alterne para o console do AmazonEC2, selecione a página Instances (Instâncias), selecione a instância NAT e observe o ID da AMI que foiusado para executá-la.
A seguinte política permite que usuários executem instâncias usando somente ami-1a2b3c4d. Seusuários tentarem executar uma instância usando qualquer outra AMI, haverá falha na execução.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones", "ec2:DescribeVpcEndpointServices", "ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateInternetGateway", "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:ModifyVpcAttribute", "ec2:DescribeKeyPairs", "ec2:DescribeImages", "ec2:AllocateAddress", "ec2:AssociateAddress", "ec2:DescribeInstances", "ec2:ModifyInstanceAttribute", "ec2:DescribeRouteTables", "ec2:DescribeVpnGateways", "ec2:DescribeVpcs" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:region::image/ami-1a2b3c4d", "arn:aws:ec2:region:account:instance/*", "arn:aws:ec2:region:account:subnet/*", "arn:aws:ec2:region:account:network-interface/*", "arn:aws:ec2:region:account:volume/*", "arn:aws:ec2:region:account:key-pair/*",
183
Amazon Virtual Private Cloud Guia do usuárioExemplos de políticas para o console
"arn:aws:ec2:region:account:security-group/*" ] } ]}
Opção 3: VPC com sub-redes públicas e privadas e acesso à
A terceira opção de configuração do assistente de VPC cria uma VPC com uma sub-rede privada e umapública e uma conexão do entre a VPC e sua própria rede. Na sua política do IAM, é preciso concederpermissão aos usuários para usar as mesmas ações da opção 1. Isso permite que eles criem uma VPC,duas sub-redes e configurem o roteamento para a sub-rede pública. Para criar uma conexão do , osusuários também precisam ter permissão para usar as seguintes ações:
• ec2:CreateCustomerGateway: criar um gateway do cliente.• ec2:CreateVpnGateway e ec2:AttachVpnGateway: para criar um gateway privado virtual e anexá-
lo à VPC.• ec2:EnableVgwRoutePropagation: para permitir a propagação de rotas, para que as rotas sejam,
automaticamente, propagadas na tabela de rotas.• ec2:CreateVpnConnection: para criar uma conexão do .• ec2:DescribeVpnConnections, ec2:DescribeVpnGateways eec2:DescribeCustomerGateways: para exibir as opções na segunda página de configuração doassistente.
• ec2:DescribeVpcs e ec2:DescribeRouteTables: para reunir informações sobre as rotas quedevem ser adicionadas à tabela de rotas principal.
Nenhuma das ações de API nesta política são compatíveis com permissões em nível de recurso, portanto,você não pode controlar quais recursos específicos os usuários podem usar.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones", "ec2:DescribeVpcEndpointServices", "ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateInternetGateway", "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:ModifyVpcAttribute", "ec2:CreateCustomerGateway", "ec2:CreateVpnGateway", "ec2:AttachVpnGateway", "ec2:EnableVgwRoutePropagation", "ec2:CreateVpnConnection", "ec2:DescribeVpnGateways", "ec2:DescribeCustomerGateways", "ec2:DescribeVpnConnections", "ec2:DescribeRouteTables", "ec2:DescribeNetworkAcls", "ec2:DescribeInternetGateways", "ec2:DescribeVpcs" ], "Resource": "*" } ]}
Opção 4: VPC com apenas uma sub-rede privada e acesso à
A quarta opção de configuração de VPC cria uma VPC com uma sub-rede privada e uma conexão do entrea VPC e sua própria rede. Diferentemente das outras três opções, os usuários não precisam de permissãopara criar ou anexar um Gateway da Internet à VPC, nem de permissão para criar uma tabela de rotase associá-la à sub-rede. Eles precisarão das mesmas permissões, conforme listado no exemplo anterior(opção 3), para estabelecer a conexão do .
184
Amazon Virtual Private Cloud Guia do usuárioExemplos de políticas para o console
Nenhuma das ações de API nesta política são compatíveis com permissões em nível de recurso, portanto,você não pode controlar quais recursos específicos os usuários podem usar.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones", "ec2:DescribeVpcEndpointServices", "ec2:ModifyVpcAttribute", "ec2:CreateCustomerGateway", "ec2:CreateVpnGateway", "ec2:AttachVpnGateway", "ec2:EnableVgwRoutePropagation", "ec2:CreateVpnConnection", "ec2:DescribeVpnGateways", "ec2:DescribeCustomerGateways", "ec2:DescribeVpnConnections", "ec2:DescribeRouteTables", "ec2:DescribeNetworkAcls", "ec2:DescribeInternetGateways", "ec2:DescribeVpcs" ], "Resource": "*" } ]}
2. Gerenciar uma VPCNa página Your VPCs do console de VPC, você pode criar ou excluir uma VPC. Para visualizar VPCs,os usuários precisam ter permissão de usar a ação ec2:DescribeVPCs. Para criar uma VPC usando acaixa de diálogo Create VPC, usuários precisam ter permissão de usar a ação ec2:CreateVpc.
Note
Por padrão, o console de VPC cria uma tag com uma chave do Name e um valor especificado pelousuário. Se usuários não tiverem permissão para usar a ação ec2:CreateTags, um erro seráexibido na caixa de diálogo Create VPC quando tentarem criar uma VPC. Entretanto, a VPC podeter sido criada com sucesso.
Quando você configura uma VPC, um número de objetos dependentes são criados, como sub-redese um gateway da Internet. Você não pode excluir uma VPC até desassociar e excluir esses objetosdependentes. Ao excluir uma VPC usando o console, ele executa essas ações para você (exceto encerrarsuas instâncias, você mesmo precisa fazer isso).
O exemplo a seguir permite que usuários visualizem e criem VPCs na página Your VPCs e excluamVPCs que foram criadas com a primeira opção no assistente de VPC - uma VPC com uma única sub-redepública. Esta VPC possui uma sub-rede associada à tabela de rotas personalizadas e um Gateway daInternet anexado a ela. Para excluir a VPC e seus componentes usando o console, é preciso concederpermissão aos usuários para usar um número de ações ec2:Describe*, para que o console possaverificar se há outros recursos dependentes nesta VPC. Você também precisa conceder permissão aosusuários para desassociar a tabela de rotas da sub-rede, desanexar o Gateway da Internet da VPC eexcluir os dois recursos.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeRouteTables", "ec2:DescribeVpnGateways", "ec2:DescribeInternetGateways", "ec2:DescribeSubnets", "ec2:DescribeDhcpOptions", "ec2:DescribeInstances", "ec2:DescribeVpcAttribute", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaces", "ec2:DescribeAddresses", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeSecurityGroups",
185
Amazon Virtual Private Cloud Guia do usuárioExemplos de políticas para o console
"ec2:CreateVpc", "ec2:DeleteVpc", "ec2:DetachInternetGateway", "ec2:DeleteInternetGateway", "ec2:DisassociateRouteTable", "ec2:DeleteSubnet", "ec2:DeleteRouteTable" ], "Resource": "*" } ]}
Você não pode aplicar permissões em nível de recurso a qualquer das ações de API ec2:Describe*,mas pode aplicar permissões em nível de recurso para algumas das ações ec2:Delete* para controlarquais recursos os usuários podem excluir.
Por exemplo, a política a seguir permite que usuários excluam somente tabelas de rotas e Gateways daInternet que possuam a tag Purpose=Test. Usuários não podem excluir tabelas de rotas individuais ouGateways de Internet que não possuam esta tag e, da mesma forma, usuários não podem usar o consolede VPC para excluir uma VPC que esteja associada a um Gateway da Internet ou tabela de rotas diferente.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeRouteTables", "ec2:DescribeVpnGateways", "ec2:DescribeInternetGateways", "ec2:DescribeSubnets", "ec2:DescribeDhcpOptions", "ec2:DescribeInstances", "ec2:DescribeVpcAttribute", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaces", "ec2:DescribeAddresses", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeSecurityGroups", "ec2:CreateVpc", "ec2:DeleteVpc", "ec2:DetachInternetGateway", "ec2:DisassociateRouteTable", "ec2:DeleteSubnet" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DeleteInternetGateway", "Resource": "arn:aws:ec2:region:account:internet-gateway/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Test" } } }, { "Effect": "Allow", "Action": "ec2:DeleteRouteTable", "Resource": "arn:aws:ec2:region:account:route-table/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Test" } } } ]}
3. Gerenciar grupos de segurançaPara visualizar grupos de segurança na página Security Groups (Grupos de segurança) do console daAmazon VPC, os usuários precisam ter permissão para usar a ação ec2:DescribeSecurityGroups.
186
Amazon Virtual Private Cloud Guia do usuárioExemplos de políticas para o console
Para usar a caixa de diálogo Create Security Group para criar um security group, usuários precisam terpermissão de usar as ações ec2:DescribeVpcs e ec2:CreateSecurityGroup. Se usuários nãotiverem permissão de usar a ação ec2:DescribeSecurityGroups, ainda poderão criar um securitygroup usando a caixa de diálogo, mas poderão encontrar um erro indicando que o grupo não foi criado.
Na caixa de diálogo Create Security Group, usuários precisam adicionar o nome e descrição do securitygroup, mas não serão capazes de inserir um valor para o campo Name tag, a menos que tenham obtidopermissão de usar a ação ec2:CreateTags. Entretanto, não precisam desta ação para criar um securitygroup com sucesso.
A política a seguir permite que usuários visualizem e criem security groups e adicionem e removam regrasde entrada e de saída para qualquer security group associado a vpc-1a2b3c4d.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:CreateSecurityGroup" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DeleteSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition":{ "ArnEquals": { "ec2:Vpc": "arn:aws:ec2:*:*:vpc/vpc-1a2b3c4d" } } } ]}
4. Criar uma conexão de emparelhamento de VPCPara visualizar conexões de emparelhamento de VPC no console da Amazon VPC, os usuáriosprecisam ter permissão para usar a ação ec2:DescribePeeringConnections. Para usar acaixa de diálogo Create VPC Peering Connection, usuários precisam ter permissão para usar a açãoec2:DescribeVpcs. Isso permite que eles visualizem e selecionem uma VPC; sem esta ação a caixa dediálogo não pode ser carregada. Você pode aplicar permissões em nível de recurso para todas as açõesec2:*PeeringConnection, exceto ec2:DescribeVpcPeeringConnections.
A política a seguir permite que usuários visualizem conexões de emparelhamento de VPC e usem a caixade diálogo Create VPC Peering Connection para criar uma conexão de emparelhamento de VPC usandosomente uma VPC solicitante específica (vpc-1a2b3c4d). Se usuários tentarem criar uma conexão deemparelhamento de VPC com uma VPC solicitante, haverá falha na solicitação.
{ "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action": [ "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs" ], "Resource": "*"
187
Amazon Virtual Private Cloud Guia do usuárioVPC Flow Logs
}, { "Effect":"Allow", "Action": "ec2:CreateVpcPeeringConnection", "Resource": [ "arn:aws:ec2:*:*:vpc/vpc-1a2b3c4d", "arn:aws:ec2:*:*:vpc-peering-connection/*" ] } ]}
Para obter mais exemplos de como criar políticas de IAM que funcionem com conexões deemparelhamento de VPC, consulte 7. Criar e gerenciar conexões de emparelhamento de VPC (p. 178).
VPC Flow LogsO VPC Flow Logs é um recurso que possibilita que você capture informações sobre o tráfego de IP parae proveniente de interfaces de rede da VPC. Os dados de log de fluxo podem ser publicados no AmazonCloudWatch Logs e no Amazon S3. Após criar um log de fluxo, você poderá recuperar e visualizar seusdados no destino selecionado.
Os logs de fluxo podem ajudar em várias tarefas. Por exemplo, para entender por que um tráfegoespecífico não está chegando a uma instância, o que, por sua vez, ajuda a diagnosticar regras de securitygroups extremamente restritivas. Além disso, você pode usar os logs de fluxo como ferramenta desegurança para monitorar o tráfego que está chegando à sua instância.
As cobranças do CloudWatch Logs são aplicáveis ao usar os logs de fluxo, seja enviando-os para oCloudWatch Logs ou o Amazon S3. Para obter mais informações, consulte Amazon CloudWatch Pricing.
Tópicos• Noções básicas de logs de fluxo (p. 188)• Registros de log de fluxo (p. 189)• Limitações do log de fluxo (p. 191)• Publicar logs de fluxo no CloudWatch Logs (p. 192)• Publicar logs de fluxo no Amazon S3 (p. 195)• Utilização de logs de fluxo (p. 200)• Solução de problemas (p. 202)
Noções básicas de logs de fluxoÉ possível criar um log de fluxo para VPC, sub-rede ou interface de rede. Se você criar um log de fluxopara uma sub-rede ou VPC, toda interface de rede na VPC ou na sub-rede será monitorada.
Os dados de log de fluxo para uma interface de rede monitorada são registrados como registros de logde fluxo, que são eventos de log que consistem em campos que descrevem o fluxo de tráfego. Para obtermais informações, consulte Registros de log de fluxo (p. 189).
Para criar um log de fluxo, especifique o recurso para o qual o log de fluxo será criado, o tipo de tráfegoa ser capturado (tráfego aceito, tráfego rejeitado ou todo o tráfego) e os destinos nos quais você desejapublicar os dados de log de fluxo. Depois que você criar um log de fluxo, pode demorar alguns minutospara começar a coletar e publicar dados nos destinos selecionados. Os logs de fluxo não capturamstreams de logs em tempo real para suas interfaces de rede. Para obter mais informações, consulteCriação de um log de fluxo (p. 200).
188
Amazon Virtual Private Cloud Guia do usuárioRegistros de log de fluxo
Se você executar mais instâncias em sua sub-rede depois de criar um log de fluxo para a sub-rede oua VPC, um novo fluxo de logs (para o CloudWatch Logs) ou objeto de arquivo de log (para Amazon S3)será criado para cada nova interface de rede assim que qualquer tráfego de rede for registrado para essainterface de rede.
Você pode criar logs de fluxo para interfaces de rede que são criadas por outros serviços da AWS; porexemplo, Elastic Load Balancing, Amazon RDS, Amazon ElastiCache, Amazon Redshift e AmazonWorkSpaces. Entretanto, você não pode usar os consoles ou as APIs desses serviços para criar logs defluxo. Você deve usar o console do Amazon EC2 ou a API do Amazon EC2. Da mesma maneira você nãopode usar os consoles ou as APIs do CloudWatch Logs ou do Amazon S3 para criar logs de fluxo parasuas interfaces de rede.
Caso não precise mais de um log de fluxo, você pode excluí-lo. A exclusão de um log de fluxo desabilita oserviço de log de fluxo para o recurso, e novos registros de log de fluxo não são criados nem publicadosno CloudWatch Logs ou no Amazon S3. Essa ação não exclui nenhum registro de log de fluxo, fluxos delogs (para o CloudWatch Logs) ou objetos de arquivos de log (para o Amazon S3) existentes para umainterface de rede. Para excluir um fluxo de logs existente, use o console do CloudWatch Logs. Para excluirobjetos dos arquivos de log existentes, use o console do Amazon S3. Depois que você exclui um log defluxo, pode levar vários minutos para a coleta de dados se encerrar. Para obter mais informações, consulteExclusão de um log de fluxo (p. 201).
Registros de log de fluxoUm registro de log de fluxo representa um fluxo de rede em seu log de fluxo. Todo registro captura o fluxode rede para um 5-tuple específico e uma janela de captura específica. Um 5-tuple é um conjunto de 5valores diferentes que especificam a origem, o destino e o protocolo para um fluxo de protocolo de Internet(IP). A janela de captura é um espaço de tempo durante o qual o serviço de logs de fluxo agrega dados,antes de publicar os registros de log de fluxo. A janela de captura é de aproximadamente 10 minutos, maspode chegar a 15 minutos.
Sintaxe de registros de log de fluxoUm registro de log de fluxo é uma string separada por espaço com o seguinte formato:
<version> <account-id> <interface-id> <srcaddr> <dstaddr> <srcport> <dstport> <protocol> <packets> <bytes> <start> <end> <action> <log-status>
A tabela a seguir descreve os campos de um registro de log de fluxo.
Campo Descrição
version A versão dos logs de fluxo da VPC.
account-id ID da conta da AWS para o log de fluxo.
interface-id O ID da interface de rede para a qual o tráfego é registrado.
srcaddr O endereço IPv4 ou IPv6 de origem. O endereço IPv4 da interface de redesempre é o respectivo endereço IPv4 privado.
dstaddr O endereço IPv4 ou IPv6 de destino. O endereço IPv4 da interface de redesempre é o respectivo endereço IPv4 privado.
srcport A porta de origem do tráfego.
dstport A porta de destino do tráfego.
189
Amazon Virtual Private Cloud Guia do usuárioRegistros de log de fluxo
Campo Descrição
protocol O número do protocolo IANA do tráfego. Para obter mais informações, consulte Assigned Internet Protocol Numbers.
packets O número de pacotes transferidos durante a janela de captura.
bytes O número de bytes transferidos durante a janela de captura.
start O tempo, em segundos Unix, do início da janela de captura.
end O tempo, em segundos Unix, do fim da janela de captura.
action A ação associada como tráfego:
• ACCEPT: O tráfego registrado foi permitido por security groups ou NetworkACLs.
• REJECT: O tráfego registrado não foi permitido por security groups nemNetwork ACLs.
log-status O status de registro do log de fluxo:
• OK: os dados são registrados em log normalmente nos destinos selecionados.• NODATA: Não havia nenhum tráfego de rede para ou proveniente da interface
de rede durante a janela de captura.• SKIPDATA: Alguns registros de log de fluxo foram ignorados durante a janela
de captura. Isso pode ocorrer em virtude de uma restrição de capacidadeinterna ou de um erro interno.
Note
Se um campo não for aplicável a um registro específico, o registro exibirá o símbolo '-' para essaentrada.
Exemplos de registro de log de fluxoRegistros de log de fluxo de tráfego aceito e rejeitado
A seguir é apresentado um exemplo de registro de log de fluxo no qual o tráfego SSH (porta de destino 22,protocolo TCP) para a interface de rede eni-abc123de na conta 123456789010 foi permitido:
2 123456789010 eni-abc123de 172.31.16.139 172.31.16.21 20641 22 6 20 4249 1418530010 1418530070 ACCEPT OK
A seguir é apresentado um exemplo de registro de log de fluxo no qual o tráfego RDP (porta de destino3389, protocolo TCP) para a interface de rede eni-abc123de na conta 123456789010 foi rejeitado:
2 123456789010 eni-abc123de 172.31.9.69 172.31.9.12 49761 3389 6 20 4249 1418530010 1418530070 REJECT OK
Registros de log de fluxo de dados não gravados e registros ignorados
A seguir encontra-se um exemplo de registro de log de fluxo em que não foi gravado nenhum dado durantea janela de captura:
2 123456789010 eni-1a2b3c4d - - - - - - - 1431280876 1431280934 - NODATA
190
Amazon Virtual Private Cloud Guia do usuárioLimitações do log de fluxo
A seguir encontra-se um exemplo de registro de log de fluxo em que os registros foram ignorados durantea janela de captura:
2 123456789010 eni-4b118871 - - - - - - - 1431280876 1431280934 - SKIPDATA
Regras de security group e Network ACL
Se você estiver usando logs de fluxo para diagnosticar regras de security group ou regras de Network ACLexageradamente restritivas ou permissivas, fique atento ao estado desses recursos. Os security groupssão stateful — isso significa que as respostas ao tráfego permitido são também permitidas, mesmo queas regras em seu security group não permitam isso. Inversamente, as Network ACLs são stateless e,portanto, as respostas ao tráfego permitido estão sujeitas a regras de Network ACL.
Por exemplo, você usa o comando ping em seu computador doméstico (o endereço IP é 203.0.113.12)para sua instância (o endereço IP privado da interface de rede é 172.31.16.139). As regras de entradade seu security group permitem tráfego ICMP e as regras de saída não permitem tráfego ICMP; porém,como os security groups são stateful, o ping de resposta de sua instância é permitido. Sua Network ACLpermite tráfego ICMP de entrada, mas não permite tráfego ICMP de saída. Como as Network ACLs sãostateless, o ping de resposta é interrompido e não chega ao seu computador doméstico. Em um log defluxo, isso é exibido como dois registros de log de fluxo:
• Um registro ACCEPT para o ping originário foi permitido tanto pela Network ACL quanto pelo securitygroup e, por isso, obteve permissão para acessar sua instância.
• Um registro REJECT para o ping de resposta que a Network ACL negou.
2 123456789010 eni-1235b8ca 203.0.113.12 172.31.16.139 0 0 1 4 336 1432917027 1432917142 ACCEPT OK
2 123456789010 eni-1235b8ca 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 REJECT OK
Se sua Network ACL permitir tráfego ICMP de saída, o log de fluxo exibirá dois registros ACCEPT (um parao ping originário e outro para o ping de resposta). Se seu security group negar tráfego ICMP de entrada, olog de fluxo exibirá um único registro REJECT, porque o tráfego não recebeu permissão para acessar suainstância.
Registro de log de fluxo para tráfego IPv6
A seguir é apresentado um exemplo de registro de log de fluxo no qual o tráfego SSH (porta 22) doendereço IPv6 2001:db8:1234:a100:8d6e:3477:df66:f105 para a interface de rede eni-f41c42bf na conta 123456789010 foi permitido.
2 123456789010 eni-f41c42bf 2001:db8:1234:a100:8d6e:3477:df66:f105 2001:db8:1234:a102:3304:8879:34cf:4071 34892 22 6 54 8855 1477913708 1477913820 ACCEPT OK
Limitações do log de fluxoPara usar logs de fluxo, você precisa estar atento às seguintes limitações:
• Não é possível ativar logs de fluxo para interfaces de rede que estejam na plataforma EC2-Classic. Issoinclui instâncias do EC2-Classic que estão vinculadas a uma VPC por meio do ClassicLink.
• Você não pode habilitar logs de fluxo para VPCs emparelhadas com a sua VPC, a menos que a VPCemparelhada esteja em sua conta.
• Não é possível marcar um log de fluxo.
191
Amazon Virtual Private Cloud Guia do usuárioPublicação no CloudWatch Logs
• Depois de criado, não é possível mudar a configuração do log de fluxo; por exemplo, não é possívelassociar uma função diferente do IAM com o log de fluxo. Em vez disso, você pode excluir o log de fluxoe criar um novo com a configuração necessária.
• Nenhuma das ações de API do log de fluxo (ec2:*FlowLogs) comporta permissões de recurso. Paracriar uma política do IAM para controlar o uso das ações de API do log de fluxo, você deve concederpermissões aos usuários para usar todos os recursos para a ação usando o curinga * para o elementode recurso em sua instrução. Para obter mais informações, consulte Como controlar o acesso aosrecursos do Amazon VPC (p. 173).
• Se sua interface de rede tiver vários endereços IPv4 e o tráfego for enviado para um endereço IPv4privado secundário, o log de fluxo exibirá o endereço IPv4 privado primário no campo de endereço IP dedestino.
• Se o tráfego for enviado de uma ENI e o destino não for nenhum dos endereços IP da ENI, o log de fluxoexibirá o endereço IPv4 privado principal no campo de endereço IP de destino.
• Se o tráfego for enviado de uma ENI e a origem não for nenhum dos endereços IP da ENI, o log de fluxoexibirá o endereço IPv4 privado principal no campo de endereço IP de origem.
Os logs de fluxo não capturam todo o tráfego de IP. Os tipos de tráfego a seguir não são registrados:
• O tráfego gerado por instâncias quando elas entram em contato com o servidor de DNS da Amazon. Sevocê usar seu próprio servidor de DNS, todo tráfego para esse servidor de DNS será registrado.
• O tráfego gerado por uma instância Windows para ativação de licença do Amazon Windows.• O tráfego para e proveniente de 169.254.169.254 para metadados de instância.• O tráfego para e proveniente de 169.254.169.123 para o Amazon Time Sync Service.• Tráfego DHCP.• Tráfego para o endereço IP reservado para o router padrão da VPC. Para obter mais informações,
consulte Dimensionamento de VPC e sub-rede (p. 84).• Trafegue entre uma interface de rede do endpoint e uma interface de rede do Load balancer de rede.
Para obter mais informações, consulte Serviços do VPC endpoint (AWS PrivateLink) (p. 296).
Publicar logs de fluxo no CloudWatch LogsOs logs de fluxo podem publicar dados de log de fluxo diretamente no Amazon CloudWatch.
Ao publicar no CloudWatch Logs, os dados de log de fluxo são publicados em um grupo de logs, e cadainterface de rede tem um fluxo de logs exclusivo no grupo de logs. Os fluxos de log contêm registros delog de fluxo. Você pode criar vários logs de fluxo que publicam dados no mesmo grupo de logs. Se houveruma mesma interface de rede em um ou mais logs de fluxo no mesmo grupo de logs, haverá um streammisto de logs. Se tiver especificado que um log de fluxo deve capturar tráfego rejeitado e outro log defluxo deve capturar o tráfego aceito, o stream misto de logs capturará todos os tráfegos. Para obter maisinformações, consulte Registros de log de fluxo (p. 189).
Tópicos• Funções do IAM para publicar logs de fluxo no CloudWatch Logs (p. 192)• Criar um log de fluxo para publicar no CloudWatch Logs (p. 194)• Processar registros de log de fluxo no CloudWatch Logs (p. 195)
Funções do IAM para publicar logs de fluxo no CloudWatch LogsA função do IAM associada com seu log de fluxo deve ter permissões suficientes para publicar logs defluxo para o grupo de logs especificado no CloudWatch Logs. A política do IAM anexada à sua função noIAM deve incluir pelo menos as seguintes permissões:
192
Amazon Virtual Private Cloud Guia do usuárioPublicação no CloudWatch Logs
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Effect": "Allow", "Resource": "*" } ]}
Além disso, verifique se a sua função tem um relacionamento de confiança que permite que o serviço delogs de fluxo assuma a função:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}
Os usuários também devem ter permissões para usar a ação iam:PassRole para a função do IAMassociada ao log de fluxo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:PassRole"], "Resource": "arn:aws:iam::account-id:role/flow-log-role-name" } ]}
Você pode atualizar uma função existente ou usar o seguinte procedimento para criar uma nova para oslogs de fluxo.
Criação de uma função para logs de fluxo
Para criar uma função do IAM para logs de fluxo
1. Abra o console do IAM em https://console.aws.amazon.com/iam/.2. No painel de navegação, escolha Roles e depois Create Role.3. Selecione EC2 como o serviço que usará essa função. Em Use case (Caso de uso), selecione EC2.
Escolha Próximo: Permissões.4. Na página Attach permissions policies, escolha Next: Review.
193
Amazon Virtual Private Cloud Guia do usuárioPublicação no CloudWatch Logs
5. Insira um nome para a sua função (por exemplo, Flow-Logs-Role), e você também pode forneceruma descrição. Selecione Create role.
6. Selecione o nome de sua função. Em Permissions (Permissões), selecione Add inline policy (Adicionarpolítica em linha) e JSON.
7. Copie a primeira política de Funções do IAM para publicar logs de fluxo no CloudWatchLogs (p. 192) e cole-a na janela . Escolha Revisar política.
8. Insira um nome para a política e selecione Create policy (Criar política).9. Selecione o nome de sua função. Em Trust relationships (Relacionamentos de confiança), selecione
Edit trust relationship (Editar relacionamento de confiança). No documento da política existente, altereo serviço de ec2.amazonaws.com para vpc-flow-logs.amazonaws.com. Escolha Update TrustPolicy.
10. Na página Summary (Resumo), anote o ARN da sua função. Você precisa desse ARN para criar o logde fluxo.
Criar um log de fluxo para publicar no CloudWatch LogsÉ possível criar logs de fluxos para suas VPCs, sub-redes ou interfaces de rede.
Para criar um log de fluxo de uma interface de rede
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, selecione Network Interfaces.3. Selecione uma ou mais interfaces de rede e escolha Actions (Ações), Create flow log (Criar log de
fluxo).4. Em Filter (Filtro), especifique o tipo de dados de tráfego de IP para registrar em log. Selecione All
(Todos) para registrar em log o tráfego aceito e rejeitado, Rejected (Rejeitado) para registrar somenteo tráfego rejeitado ou Accepted (Aceito) para registrar somente o tráfego aceito.
5. Para Destination (Destino), escolha Send to CloudWatch Logs (Enviar para o CloudWatch Logs).6. Para Destination log group (Grupo de logs de destino), insira o nome de um grupo de logs do
CloudWatch Logs no qual os logs de fluxo serão publicados. Se você especificar o nome de um grupode logs que não existe, tentaremos criar um grupo de logs para você.
7. Em IAM role (Função do IAM), especifique o nome da função que tem as permissões para publicarlogs no CloudWatch Logs.
8. Escolha Criar.
Para criar um log de fluxo para uma VPC ou uma sub-rede
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Your VPCs (Suas VPCs) ou Subnets (Sub-redes).3. Selecione uma ou mais VPCs ou sub-redes e escolha Actions (Ações), Create flow log (Criar log de
fluxo).4. Em Filter (Filtro), especifique o tipo de dados de tráfego de IP para registrar em log. Selecione All
(Todos) para registrar em log o tráfego aceito e rejeitado, Rejected (Rejeitado) para registrar somenteo tráfego rejeitado ou Accepted (Aceito) para registrar somente o tráfego aceito.
5. Para Destination (Destino), escolha Send to CloudWatch Logs (Enviar para o CloudWatch Logs).6. Para Destination log group (Grupo de logs de destino), insira o nome de um grupo de logs do
CloudWatch Logs no qual os logs de fluxo serão publicados. Se você especificar o nome de um grupode logs que não existe, tentaremos criar um grupo de logs para você.
7. Em IAM role (Função do IAM), especifique o nome da função de IAM que tem as permissões parapublicar logs no CloudWatch Logs.
8. Escolha Criar.
194
Amazon Virtual Private Cloud Guia do usuárioPublicação no Amazon S3
Processar registros de log de fluxo no CloudWatch LogsVocê pode trabalhar com registro de log de fluxo do mesmo modo que trabalharia com outros eventosde coletados pelo CloudWatch Logs. Para obter mais informações sobre monitoramento de dados delog e filtros de métricas, consulte Pesquisa e filtragem de dados de log no Guia do usuário do AmazonCloudWatch.
Exemplo: criação de um filtro de métricas no CloudWatch e de um alarme paraum log de fluxo
Neste exemplo, você tem um log de fluxo para eni-1a2b3c4d. Pode ser útil criar um alarme que o alertese houver 10 ou mais tentativas rejeitadas de conexão à sua instância pela porta TCP 22 (SSH) no períodode 1 hora. Primeiro, você deve criar um filtro de métrica que corresponda ao padrão do tráfego para o qualo alarme será criado. Depois, você pode criar um alarme para o filtro de métricas.
Para criar um filtro de métricas para tráfego SSH rejeitado e um alarme para o filtro
1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.2. No painel de navegação, escolha Logs, selecione o grupo de logs de fluxo para seu log de fluxo e
escolha Create Metric Filter.3. Em Filter Pattern (Padrão de filtro), insira o seguinte:
[version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]
4. Em Select Log Data to Test (Selecionar dados de log para teste), selecione o fluxo de logs de suainterface de rede. (Optional) Para visualizar as linhas de dados de log que correspondem ao padrãodo filtro, selecione Test Pattern (Padrão de teste). Quando estiver pronto, escolha Assign Metric.
5. Forneça o namespace e o nome da métrica e verifique se o valor da métrica está definido como 1.Quando concluir, escolha Create Filter.
6. No painel de navegação, escolha Alarms, Create Alarm.7. Na seção Custom Metrics, escolha o namespace do filtro de métricas que você criou.
Note
Pode levar alguns minutos para uma nova métrica ser exibida no console.8. Selecione o nome da métrica que você criou e Next (Próximo).9. Digite um nome e uma descrição para o alarme. Nos campos is (é), selecione >= e insira 10. No
campo for (para), deixe o padrão 1 para os períodos consecutivos.10. Em Period (Período), selecione 1 Hour (1 hora). Em Statistic (Estatística), selecione Sum (Soma). A
estatística Sum é uma garantia de que você está capturando o número total de pontos de dados doperíodo especificado.
11. Na seção Actions (Ações), você pode optar por enviar um notificação para uma lista existente. Ou,você pode criar uma nova lista e inserir os endereços de e-mail que deverão receber uma notificaçãoquando o alarme for acionado. Quando concluir, escolha Create Alarm:
Publicar logs de fluxo no Amazon S3Os logs de fluxo podem publicar dados de log de fluxo no Amazon S3.
Ao publicar no Amazon S3, os dados de log de fluxo serão publicados no bucket do Amazon S3 existenteque você especificar. Os registros de log de fluxo para todas as interfaces de rede monitoradas sãopublicados em uma série de objetos de arquivos de log armazenados no bucket. Se o log de fluxo captura
195
Amazon Virtual Private Cloud Guia do usuárioPublicação no Amazon S3
dados para uma VPC, o log de fluxo publica registros de log de fluxo em todas as interfaces de rede daVPC selecionada. Para obter mais informações, consulte Registros de log de fluxo (p. 189).
Para criar um bucket do Amazon S3 para ser usado com logs de fluxos, consulte Criar um bucket no Guiade conceitos básicos do Amazon Simple Storage Service.
Tópicos• Arquivos de log de fluxo (p. 196)• Funções do IAM para publicar logs de fluxo no Amazon S3 (p. 196)• Permissões do bucket do Amazon S3 para logs de fluxo (p. 197)• Política de chaves de CMK obrigatórias para uso com buckets de SSE-KMS (p. 198)• Permissões de arquivo de log do Amazon S3 (p. 198)• Criar um log de fluxo para publicar no Amazon S3 (p. 198)• Processar registros de log de fluxo no Amazon S3 (p. 199)
Arquivos de log de fluxoOs logs de fluxo coletam registros de log de fluxo, os consolidam em arquivos de log e publicam osarquivos de log no bucket do Amazon S3 em intervalos de 5 minutos. Cada arquivo de log contém osregistros de log de fluxo para o tráfego de IP registrado nos últimos cinco minutos.
O tamanho máximo de um arquivo de log é de 75 MB. Se o arquivo de log atingir o limite de tamanho noperíodo de 5 minutos, o log de fluxo para de adicionar registros de log de fluxo, publica o arquivo no bucketdo Amazon S3 e cria um novo arquivo de log.
Os arquivos de log são salvos no bucket do Amazon S3 especificado por meio de uma estrutura de pastadeterminada pelo ID do log de fluxo, região e data em que são criados. A estrutura de pasta do bucket usao seguinte formato:
bucket_ARN/optional_folder/AWSLogs/aws_account_id/vpcflowlogs/region/year/month/day/log_file_name.log.gz
Da mesma maneira, o nome do arquivo de log é determinado pelo ID do log de fluxo, região, e data e horaem que foi criado. Os nomes de arquivo usam o seguinte formato:
aws_account_id_vpcflowlogs_region_flow_log_id_timestamp_hash.log.gz
Note
O time stamp usa o formato YYYYMMDDTHHmmZ.
Por exemplo, veja a seguir a estrutura de pasta e o nome de um arquivo de log para um fluxo de log criadopor uma conta da AWS 123456789012, para um recurso na região us-east-1, em June 20, 2018 às16:20 UTC, incluindo registros de log de fluxo de 16:15: 01 a 16:20: 00:
arn:aws:s3:::my-flow-log-bucket/AWSLogs/123456789012/vpcflowlogs/us-east-1/2018/06/20/123456789012_vpcflowlogs_us-east-1_fl-1234abcd_20180620T1620Z_fe123456.log.gz
Funções do IAM para publicar logs de fluxo no Amazon S3Uma entidade principal do IAM, como um usuário do IAM, deve ter permissões suficientes para publicarlogs de fluxo no bucket do Amazon S3. A política do IAM deve incluir as seguintes permissões:
{
196
Amazon Virtual Private Cloud Guia do usuárioPublicação no Amazon S3
"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery" ], "Resource": "*" } ]}
Permissões do bucket do Amazon S3 para logs de fluxoPor padrão, os buckets do Amazon S3 e os objetos que eles contêm são privados. Somente o proprietáriodo bucket pode acessá-los. No entanto, o proprietário do bucket pode conceder acesso a outros recursos eusuários por meio da criação de uma política de acesso.
Se o usuário que cria um log de fluxo possui o bucket, anexamos automaticamente as políticas de bucket aseguir para conceder permissão ao log de fluxo para publicar logs nele.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket_name/optional_folder/AWSLogs/account_id/*", "Condition": {"StringEquals": {"s3:x-amz-acl": "bucket-owner-full-control"}} }, { "Sid": "AWSLogDeliveryAclCheck", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket_name" } ]}
Se o usuário que cria um evento de fluxo não possui o bucket nem tem as permissões GetBucketPolicye PutBucketPolicy para o bucket, ocorre uma falha na criação do log de fluxo. Nesse caso, oproprietário do bucket deve adicionar manualmente as políticas acima ao bucket e especificar o ID deconta da AWS do criador do log de fluxo. Para obter mais informações, consulte Como faço para adicionaruma política de bucket do S3? no Guia do usuário do console do Amazon Simple Storage Service. Se obucket recebe logs de fluxo de várias contas, adicione uma entrada de elemento Resource à declaraçãode política AWSLogDeliveryWrite para cada conta. Por exemplo, a política de bucket a seguir permiteque as contas da AWS 123123123123 e 456456456456 publiquem logs de fluxo na pasta chamadaflow-logs de um bucket chamado log-bucket.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": "s3:PutObject",
197
Amazon Virtual Private Cloud Guia do usuárioPublicação no Amazon S3
"Resource": [ "arn:aws:s3:::log-bucket/flow-logs/AWSLogs/123123123123/*", "arn:aws:s3:::log-bucket/flow-logs/AWSLogs/456456456456/*" ], "Condition": {"StringEquals": {"s3:x-amz-acl": "bucket-owner-full-control"}} }, { "Sid": "AWSLogDeliveryAclCheck", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::log-bucket" } ]}
Note
Recomendamos que você conceda as permissões AWSLogDeliveryAclCheck eAWSLogDeliveryWrite ao principal de serviço de entrega de logs em vez dos ARNs de contas daAWS individuais.
Política de chaves de CMK obrigatórias para uso com buckets deSSE-KMSSe você habilitar a criptografia no lado do servidor para o bucket do Amazon S3 usando chavesgerenciadas pelo AWS KMS (SSE-KMS) com uma chave mestre de cliente gerenciada pelo cliente (CMK),você deve adicionar o seguinte à política de chaves para seu CMK de modo que os logs de fluxos possamser gravados no bucket.
{ "Sid": "Allow VPC Flow Logs to use the key", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": "kms:GenerateDataKey*", "Resource": "*"}
Permissões de arquivo de log do Amazon S3Além das políticas de bucket necessárias, o Amazon S3 usa listas de controle de acesso (ACLs) paragerenciar o acesso aos arquivos de log criados por um log de fluxo. Por padrão, o proprietário do buckettem permissões FULL_CONTROL em cada arquivo de log. O proprietário da entrega de logs, se é diferentedo proprietário do bucket, não tem nenhuma permissão. A conta de entrega de logs tem permissões READe WRITE. Para obter mais informações, consulte Visão geral da lista de controle de acesso (ACL) no Guiado desenvolvedor do Amazon Simple Storage Service.
Criar um log de fluxo para publicar no Amazon S3Depois de criar e configurar o bucket do Amazon S3, é possível criar logs de fluxos para suas VPCs, sub-redes ou interfaces de rede.
Para criar um log de fluxo de uma interface de rede
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.
198
Amazon Virtual Private Cloud Guia do usuárioPublicação no Amazon S3
2. No painel de navegação, selecione Network Interfaces.3. Selecione uma ou mais interfaces de rede e escolha Actions (Ações), Create flow log (Criar log de
fluxo).4. Em Filter (Filtro), especifique o tipo de dados de tráfego de IP para registrar em log. Selecione All
(Todos) para registrar em log o tráfego aceito e rejeitado, Rejected (Rejeitado) para registrar somenteo tráfego rejeitado ou Accepted (Aceito) para registrar somente o tráfego aceito.
5. Para Destination (Destino), escolha Send to an Amazon S3 bucket (Enviar para um bucket).6. Para S3 bucket ARN, especifique o nome de recurso da Amazon (ARN) de um bucket existente do
Amazon S3. Você pode incluir uma subpasta no ARN do bucket. O bucket não pode usar AWSLogscomo um nome de subpasta, pois se trata de um termo reservado.
Por exemplo, para especificar uma subpasta chamada my-logs em um bucket chamado my-bucket,use o seguinte ARN:
arn:aws:s3:::my-bucket/my-logs/
Se você for o proprietário do bucket, criamos automaticamente uma política de recurso e a anexamosao bucket. Para obter mais informações, consulte Permissões do bucket do Amazon S3 para logs defluxo (p. 197).
7. Escolha Criar.
Para criar um log de fluxo para uma VPC ou uma sub-rede
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Your VPCs (Suas VPCs) ou Subnets (Sub-redes).3. Selecione uma ou mais VPCs ou sub-redes e escolha Actions (Ações), Create flow log (Criar log de
fluxo).4. Em Filter (Filtro), especifique o tipo de dados de tráfego de IP para registrar em log. Selecione All
(Todos) para registrar em log o tráfego aceito e rejeitado, Rejected (Rejeitado) para registrar somenteo tráfego rejeitado ou Accepted (Aceito) para registrar somente o tráfego aceito.
5. Para Destination (Destino), escolha Send to an Amazon S3 bucket (Enviar para um bucket).6. Para S3 bucket ARN, especifique o nome de recurso da Amazon (ARN) de um bucket existente do
Amazon S3. Você pode incluir uma subpasta no ARN do bucket. O bucket não pode usar AWSLogscomo um nome de subpasta, pois se trata de um termo reservado.
Por exemplo, para especificar uma subpasta chamada my-logs em um bucket chamado my-bucket,use o seguinte ARN:
arn:aws:s3:::my-bucket/my-logs/
Se você for o proprietário do bucket, criamos automaticamente uma política de recurso e a anexamosao bucket. Para obter mais informações, consulte Permissões do bucket do Amazon S3 para logs defluxo (p. 197).
7. Escolha Criar.
Processar registros de log de fluxo no Amazon S3Os arquivos de log são compactados. Se você abrir os arquivos de log usando o console do Amazon S3,eles serão descompactados, e as informações dos registros de log de fluxo serão exibidas. Se você baixaros arquivos, será necessário descompactá-los para visualizar os registros de log de fluxo.
Você também pode consultar os registros de log de fluxo nos arquivos de log usando o . é um serviço deconsulta interativo que facilita a análise de dados diretamente no Amazon S3 usando SQL padrão. Paraobter mais informações, consulte Consulta aos Amazon VPC Flow Logs no Guia do usuário do .
199
Amazon Virtual Private Cloud Guia do usuárioUtilização de logs de fluxo
Utilização de logs de fluxoVocê pode trabalhar com logs de fluxo usando os consoles do Amazon EC2, Amazon VPC, CloudWatch eAmazon S3.
Tópicos• Controle do uso de logs de fluxo (p. 200)• Criação de um log de fluxo (p. 200)• Visualização dos logs de fluxo (p. 200)• Visualização de registros de log de fluxo (p. 201)• Exclusão de um log de fluxo (p. 201)• Visão geral sobre API e CLI (p. 202)
Controle do uso de logs de fluxoPor padrão, os usuários do IAM não têm permissão para trabalhar com logs de fluxo. Você pode criaruma política de usuário do IAM que conceda permissões aos usuários para criar, descrever e excluirlogs de fluxo. Para obter mais informações, consulte Como conceder aos usuários do IAM as permissõesnecessárias para os recursos do Amazon EC2 no Amazon EC2 API Reference.
Veja a seguir uma política de exemplo que concede aos usuários as permissões totais para criar,descrever e excluir logs de fluxo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteFlowLogs", "ec2:CreateFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": "*" } ]}
Algumas configurações adicionais de funções e permissões do IAM são necessárias, dependendo se vocêestá publicando no CloudWatch Logs ou no Amazon S3. Para obter mais informações, consulte Publicarlogs de fluxo no CloudWatch Logs (p. 192) e Publicar logs de fluxo no Amazon S3 (p. 195).
Criação de um log de fluxoÉ possível criar logs de fluxos para suas VPCs, sub-redes ou interfaces de rede. Os logs de fluxos podempublicar dados no CloudWatch Logs ou no Amazon S3.
Para obter mais informações, consulte Criar um log de fluxo para publicar no CloudWatch Logs (p. 194) eCriar um log de fluxo para publicar no Amazon S3 (p. 198).
Visualização dos logs de fluxoÉ possível visualizar informações sobre os logs de fluxos no console do Amazon EC2 e da Amazon VPCpor meio da visualização da guia Flow Logs correspondente a um recurso específico. Ao selecionar orecurso, todos os logs de fluxo correspondentes são listados. As informações exibidas incluem o ID do logde fluxo, a configuração do log de fluxo e o status do log de fluxo.
200
Amazon Virtual Private Cloud Guia do usuárioUtilização de logs de fluxo
Para visualizar informações sobre os logs de fluxos de suas interfaces de rede
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, selecione Network Interfaces.3. Selecione a interface de rede e Flow Logs (Logs de fluxo). As informações sobre os logs de fluxo são
exibidas nessa guia. A coluna Destination type (Tipo de destino) indica o destino no qual os logs defluxo são publicados.
Para visualizar informações sobre os logs de fluxo de suas VPCs ou sub-redes
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Your VPCs (Suas VPCs) ou Subnets (Sub-redes).3. Selecione sua VPC ou sub-rede e Flow Logs (Logs de fluxo). As informações sobre os logs de fluxo
são exibidas nessa guia. A coluna Destination type (Tipo de destino) indica o destino no qual os logsde fluxo são publicados.
Visualização de registros de log de fluxoVocê pode visualizar seus registros de log de fluxo usando o console do CloudWatch Logs ou do AmazonS3, dependendo do tipo de destino selecionado. Depois que o log de fluxo é criado, pode levar algunsminutos para ele ficar visível no console.
Para visualizar os registros de log de fluxo publicados no CloudWatch Logs
1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.2. No painel de navegação, selecione Logs e o grupo de logs que contém o seu log de fluxo. É exibida
uma lista de streams de logs para cada interface de rede.3. Selecione o fluxo de logs que contém o ID da interface de rede para a qual os registros de log de fluxo
serão visualizados. Para obter mais informações, consulte Registros de log de fluxo (p. 189).
Para visualizar os registros de log de fluxo publicados no Amazon S3
1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.2. Em Bucket name (Nome do bucket), selecione o bucket no qual os logs de fluxo são publicados.3. Em Name (Nome), marque a caixa de seleção ao lado do arquivo de log. No painel de visão geral do
objeto, selecione Download (Baixar).
Exclusão de um log de fluxoÉ possível excluir um log de fluxo usando os consoles do Amazon EC2 e da Amazon VPC.
Note
Esses procedimentos desativam o serviço de log de fluxo de um recurso. A exclusão de umlog de fluxo não exclui os fluxos de log existentes do CloudWatch Logs nem os arquivos de logexistentes do Amazon S3. Os dados de log de fluxo existentes devem ser excluídos por meio dorespectivo console de serviço. Além disso, a exclusão de um log de fluxo que publica no AmazonS3 não remove as políticas de bucket e as listas de controle de acesso (ACLs) ao arquivo de log.
Para excluir um log de fluxo de uma interface de rede
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, selecione Interfaces de rede e selecione a interface de rede.
201
Amazon Virtual Private Cloud Guia do usuárioSolução de problemas
3. Selecione Flow Logs (Logs de fluxo) e, em seguida, selecione o botão de exclusão (uma cruz) paraexcluir o log de fluxo.
4. Na caixa de diálogo de confirmação, escolha Yes, Delete.
Para excluir um log de fluxo para uma VPC ou uma sub-rede
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Your VPCs (Suas VPCs) ou Subnets (Sub-redes) e, em seguida,
selecione o recurso.3. Selecione Flow Logs (Logs de fluxo) e, em seguida, selecione o botão de exclusão (uma cruz) para
excluir o log de fluxo.4. Na caixa de diálogo de confirmação, escolha Yes, Delete.
Visão geral sobre API e CLIVocê pode executar as tarefas descritas nesta página usando a linha de comando ou uma API. Paraobter mais informações sobre as interfaces de linha de comando e uma lista de ações de API disponíveis,consulte Como acessar a Amazon VPC (p. 8).
Criar um log de fluxo
• create-flow-logs (AWS CLI)• New-EC2FlowLogs (AWS Tools para Windows PowerShell)• CreateFlowLogs (API de consulta do Amazon EC2)
Descrever seus logs de fluxo
• describe-flow-logs (AWS CLI)• Get-EC2FlowLogs (AWS Tools para Windows PowerShell)• DescribeFlowLogs (API de consulta do Amazon EC2)
Visualizar seus registros de log de fluxo (eventos de log)
• get-log-events (AWS CLI)• Get-CWLLogEvents (AWS Tools para Windows PowerShell)• GetLogEvents (API do CloudWatch)
Excluir um log de fluxo
• delete-flow-logs (AWS CLI)• Remove-EC2FlowLogs (AWS Tools para Windows PowerShell)• DeleteFlowLogs (API de consulta do Amazon EC2)
Solução de problemasVeja a seguir os possíveis problemas que você pode ter ao trabalhar com logs de fluxo.
Problemas• Registros incompletos de log de fluxo (p. 203)
202
Amazon Virtual Private Cloud Guia do usuárioSolução de problemas
• O log de fluxo está ativo, mas não há registro de log de fluxo nem grupo de logs (p. 203)• Erro: LogDestinationNotFoundException (p. 203)• Exceder o limite da política do bucket do Amazon S3 (p. 203)
Registros incompletos de log de fluxoSe seus registros de log de fluxo estiverem incompletos ou não estiverem mais sendo publicados, podehaver um problema de fornecimento de logs de fluxo para o grupo de logs do CloudWatch Logs. Tanto noconsole do Amazon EC2 quanto no console da Amazon VPC selecione a guia Flow Logs (Logs de fluxos)do recurso em questão. Para obter mais informações, consulte Visualização dos logs de fluxo (p. 200). Atabela de logs de fluxo exibe qualquer erro na coluna Status. Outra opção é usar o comando describe-flow-logs e verificar o valor retornado no campo DeliverLogsErrorMessage. Um dos erros a seguir podemser exibidos:
• Rate limited: Esse erro pode ocorrer se o controle de utilização de logs do CloudWatch tiver sidoaplicado — quando o número de registros de log de fluxo de uma interface de rede for superior aonúmero máximo de registros que podem ser publicados em um intervalo de tempo específico. Esse erropode ocorrer também se atingir o número máximo de grupos de logs do CloudWatch Logs que vocêpode criar. Para obter mais informações, consulte CloudWatch Limites no Guia do usuário do AmazonCloudWatch.
• Access error: A função do IAM de seu log de fluxo não tem permissões suficientes para publicarregistros de log de fluxo no grupo de logs do CloudWatch. Para obter mais informações, consulteFunções do IAM para publicar logs de fluxo no CloudWatch Logs (p. 192).
• Unknown error: Ocorreu um erro interno nos logs de fluxo.
O log de fluxo está ativo, mas não há registro de log de fluxo nemgrupo de logsVocê criou um log de fluxo e o console da Amazon VPC ou do Amazon EC2 exibe esse log como Active.No entanto, você não pode visualizar fluxos de log no CloudWatch Logs nem arquivos de log no bucket doAmazon S3. A causa pode ser uma das seguintes:
• A criação do log de fluxo ainda está em processo. Em alguns casos, pode demorar 10 minutos ou maisapós a criação do log de fluxo para que o grupo de logs seja criado e para que os dados sejam exibidos.
• Nenhum tráfego foi registrado até o momento para suas interfaces de rede. O grupo de logs noCloudWatch Logs só é criado quando o tráfego é registrado.
Erro: LogDestinationNotFoundExceptionVocê pode receber esse erro ao criar um log de fluxo publique dados em um bucket do Amazon S3. Esseerro indica que não foi possível encontrar o bucket do S3 especificado.
Para resolver o erro, verifique se você especificou o ARN para um bucket do S3 existente e se o ARN estáno formato correto.
Exceder o limite da política do bucket do Amazon S3As políticas de bucket do Amazon S3 são limitadas a 20 KB.
Toda vez que você cria um log de fluxo que é publicado em um bucket do Amazon S3, automaticamenteadicionamos o ARN do bucket especificado, o qual inclui o caminho da pasta para o elemento Resourcena política de bucket.
203
Amazon Virtual Private Cloud Guia do usuárioSolução de problemas
Criar vários logs de fluxo que são publicados no mesmo bucket pode fazer com que vocêexceda o limite da política do bucket. Exceder o limite da política do bucket resulta no erroLogDestinationPermissionIssueException.
Se você receber esse erro ao exceder o limite da política do bucket, realize uma das seguintes ações:
• Limpe a política de bucket removendo as entradas de log de fluxo que não são mais necessárias.• Conceda permissões para o bucket inteiro substituindo as entradas de log de fluxo individuais pelo
seguinte:
arn:aws:s3:::bucket_name/*
Se você conceder permissões para o bucket inteiro, as novas assinaturas de log de fluxo não adicionamnovas permissões à política de bucket.
204
Amazon Virtual Private Cloud Guia do usuárioInterfaces de rede
Componentes das redes VPCVocê pode usar os componentes a seguir para configurar redes em sua VPC:
Componentes de rede
• Interfaces de rede (p. 205)• Tabelas de rotas (p. 206)• Internet Gateways (p. 219)• Internet Gateways apenas de saída (p. 225)• Conjuntos de opções de DHCP (p. 254)• DNS (p. 259)• Endereços Elastic IP (p. 263)• VPC Endpoints (p. 267)• NAT (p. 228)• Emparelhamento de VPC (p. 263)• ClassicLink (p. 306)
Interfaces de rede elásticaUma interface de rede elástica (referida como uma interface de rede nesta documentação) é uma interfacede rede virtual que pode incluir os seguintes atributos:
• um endereço IPv4 privado primário• um ou mais endereços IPv4 privados secundários• um endereço IP elástico por endereço IPv4 privado• um endereço IPv4 público, que pode ser autoatribuído à interface de rede para eth0 quando você
executa uma instância• um ou mais endereços IPv6• um ou mais security groups• um endereço de MAC• um indicador de verificação de origem/destino• uma descrição
Você pode criar uma interface de rede, anexá-la a uma instância, separá-la de uma instância e anexá-laa outra instância. Os atributos de uma interface seguem o processo, pois estão anexados ou separadosde uma instância e reanexados a uma outra instância. Quando você migra uma interface de rede de umainstância para outra, o tráfego da rede é redirecionado para a nova instância.
Cada instância na VPC possui uma interface de rede padrão (a interface de rede primária) à qual estáatribuído um endereço IPv4 privado do intervalo de endereços IPv4 da VPC. Não é possível separar umainterface de rede primária de uma instância. Você pode criar e anexar uma interface de rede adicional para
205
Amazon Virtual Private Cloud Guia do usuárioTabelas de rotas
qualquer instância da VPC. O número de interfaces de rede que você pode anexar varia de acordo como tipo de instância. Para obter mais informações, consulte Endereços IP por interface de rede por tipo deinstância no Guia do usuário do Amazon EC2 para instâncias do Linux.
Associar várias interfaces de rede a uma instância é útil quando você deseja:
• Criar uma rede de gerenciamento.• Usar dispositivos de rede e segurança na VPC.• Criar instâncias dual-homed com cargas de trabalho/funções em sub-redes distintas.• Criar uma solução de baixo orçamento e alta disponibilidade.
Para obter mais informações sobre as interfaces de rede e as instruções para trabalhar com elas usandoo console Amazon EC2, consulte Interfaces de rede elásticas no Guia do usuário do Amazon EC2 parainstâncias do Linux.
Tabelas de rotasUma tabela de rotas contém um conjunto de regras, denominado rotas, que são usadas para determinarpara onde o tráfego de rede é direcionado].
Toda sub-rede em sua VPC deve ser associada a uma tabela de rotas; essa tabela controla o roteamentopara a sub-rede. Uma sub-rede só pode ser associada a uma única tabela de rotas por vez, mas é possívelassociar várias sub-redes a uma mesma tabela de rotas.
Tópicos• Noções básicas sobre tabela de rotas (p. 206)• Prioridade de rota (p. 210)• Opções de roteamento (p. 211)• Como trabalhar com tabelas de rotas (p. 214)• Visão geral sobre API e comando (p. 218)
Noções básicas sobre tabela de rotasEncontram-se a seguir noções essenciais sobre as tabelas de rotas:
• Sua VPC tem um router implícito.• Sua VPC já vem com uma tabela de rotas principal que pode ser modificada.• Você pode criar outras tabelas de rotas para sua VPC.• Toda sub-rede deve ser associada a uma tabela de rotas, que então controla o roteamento para a sub-
rede. Se você não associar explicitamente uma sub-rede a uma tabela de rotas específica, a sub-redeserá associada implicitamente à tabela de rotas principal.
• Você não pode excluir a tabela de rotas principal, mas pode substituí-la por uma tabela personalizadaque você mesmo cria (portanto, essa é a tabela padrão com a qual toda nova sub-rede é associada).
• Cada rota na tabela especifica um CIDR de destino e um destino (por exemplo, o tráfego destinado auma rede corporativa externa 172.16.0.0/12 é direcionado para um gateway privado virtual). Usamos arota mais específica correspondente ao tráfego para determinar como o tráfego deve ser roteado.• Os blocos CIDR para IPv4 e IPv6 são tratados separadamente. Por exemplo, uma rota com um CIDR
de destino de 0.0.0.0/0 (todos os endereços IPv4) não inclui automaticamente todos os endereçosIPv6. Você precisa criar uma rota com um CIDR de destino de ::/0 para todos os endereços IPv6.
206
Amazon Virtual Private Cloud Guia do usuárioNoções básicas sobre tabela de rotas
• Toda tabela de rotas contém uma rota local para comunicação dentro da VPC por meio de IPv4. Se aVPC tiver mais de um bloco CIDR IPv4, as tabelas de rotas conterão um rota local para cada bloco CIDRIPv4. Se tiver associado um bloco CIDR IPv6 à VPC, as tabelas de rotas conterão uma rota local para obloco CIDR IPv6. Você não pode modificar nem excluir essas rotas.
• Ao adicionar um Internet Gateway, um Internet Gateway apenas de saída, um gateway privado virtual,um dispositivo NAT, uma conexão emparelhada ou um VPC endpoint em sua VPC, você precisaatualizar a tabela de rotas para qualquer sub-rede que use esses gateways ou conexões.
• Existe um limite com relação ao número de tabelas de rotas que você pode criar por VPC e o número derotas que podem ser adicionadas por tabela. Para obter mais informações, consulte Limites do AmazonVPC (p. 308).
Tabelas de rotas principaisQuando você cria uma VPC, a tabela de rotas principal é criada automaticamente. Para visualizar a tabelade rotas principal de uma VPC, na página Tabelas de rotas, no console da Amazon VPC, procure por Yes(Sim) na coluna Main (Principal). A tabela de rotas principal controla o roteamento para todas as sub-redesque não estejam explicitamente associadas com outra tabela de rotas. Você pode adicionar, remover emodificar rotas na tabela de rotas principal.
Você pode associar explicitamente uma sub-rede à tabela de rotas principal, mesmo que ela já estejaimplicitamente associada. Você pode fazer isso se alterar a tabela que constitui a tabela de rotas principal,e isso altera a tabela padrão para novas sub-redes ou sub-redes que não estejam explicitamenteassociadas com outra tabela de rotas. Para obter mais informações, consulte Como substituir a tabela derotas principal (p. 217).
Tabelas de rotas personalizadasSua VPC pode ter tabelas de rotas diferentes da tabela padrão. Uma forma de proteger sua VPC édeixar a tabela de rotas principal em seu estado original padrão (com apenas a rota local) e associarexplicitamente cada nova sub-rede criada a uma das tabelas de rotas personalizadas que você criou.Desse modo, você pode controlar explicitamente como cada sub-rede roteia o tráfego externo.
O diagrama a seguir mostra o roteamento para uma VPC com um Internet Gateway e um gateway privadovirtual, mais uma sub-rede pública e uma sub-rede somente VPN. A tabela de rotas principal já vemcom a VPC e é também uma rota para a sub-rede somente VPN. Uma tabela de rotas personalizadaé associada à sub-rede pública. A tabela de rotas personalizada tem uma rota no Internet Gateway (odestino é 0.0.0.0/0, para o Internet Gateway).
207
Amazon Virtual Private Cloud Guia do usuárioNoções básicas sobre tabela de rotas
Se criar uma nova sub-rede nessa VPC, ela será automaticamente associada à tabela de rotas principal,que roteia o respectivo tráfego para o gateway privado virtual. Se definisse uma configuração inversa(a tabela de rotas principal com a rota para o Internet Gateway e a tabela de rotas personalizada com arota para o gateway privado virtual), uma nova sub-rede automaticamente teria uma rota para o InternetGateway.
Associação da tabela de rotasO console da VPC mostra o número de sub-redes associadas explicitamente a cada tabela de rotas efornece informações sobre as sub-redes que estão associadas implicitamente à tabela de rotas principal.Para obter mais informações, consulte Como identificar as sub-redes explicitamente associadas a umatabela (p. 215)).
As sub-redes podem ser associadas implícita e explicitamente à tabela de rotas principal. Em geral,as sub-redes têm uma associação explícita com a tabela de rotas principal, embora isso possa ocorrertemporariamente se estiver substituindo a tabela de rotas principal.
Talvez você queira fazer alterações na tabela de rotas principal. Porém, para evitar qualquer interrupçãoem seu tráfego, primeiro teste as alterações de rota usando uma tabela de rotas personalizada. Quandoestiver satisfeito com o teste, substitua a tabela de rotas pela nova tabela personalizada.
O diagrama a seguir mostra uma VPC com duas sub-redes que estão implicitamente associadas à tabelade rotas principal (Tabela de rotas A) e uma tabela de rotas personalizada (Tabela de rotas B), que nãoestá associada a nenhuma sub-rede.
208
Amazon Virtual Private Cloud Guia do usuárioNoções básicas sobre tabela de rotas
Você pode criar uma associação explícita entre a Sub-rede 2 e a Tabela de rotas B.
Depois que testar a Tabela de rotas B, poderá torná-la a tabela de rotas principal. Observe que a Sub-rede 2 ainda tem uma associação explícita com a Tabela de rotas B e a Sub-rede 1 tem uma associaçãoimplícita com a Tabela de rotas B porque é a nova tabela de rotas principal. A Tabela de rotas A não estámais sendo usada.
Se dissociar a Sub-rede 2 da Tabela de rotas B, ainda assim haverá uma associação implícita entre a Sub-rede 2 e a Tabela de rotas B. Se não precisar mais da Tabela de rotas A, poderá excluí-la.
209
Amazon Virtual Private Cloud Guia do usuárioPrioridade de rota
Prioridade de rotaPara determinar como o tráfego deve ser roteado, usamos a rota mais específica em sua tabela de rotasque corresponde ao tráfego (correspondência de prefixo mais longa).
As rotas para os endereços IPv4 e IPv6 ou blocos CIDR são independentes entre si; usamos a rota maisespecífica que corresponde ao tráfego IPv4 ou IPv6 para determinar como o tráfego deve ser roteado.
Por exemplo, a tabela de rotas a seguir tem uma rota para o tráfego de Internet IPv4 (0.0.0.0/0)direcionada para um Internet Gateway e uma rota para o tráfego IPv4 172.31.0.0/16 direcionada parauma conexão de emparelhamento (pcx-1a2b3c4d). Qualquer tráfego da sub-rede destinado ao intervalode endereços IP 172.31.0.0/16 usa a conexão de emparelhamento, porque essa rota é mais específicado que a rota para o Internet Gateway. Qualquer tráfego para um destino da VPC (10.0.0.0/16) écoberto pela rota Local e, portanto, roteado dentro da VPC. Todos os outros tráfegos da sub-rede usam oInternet Gateway.
Destino Destino
10.0.0.0/16 Local
172.31.0.0/16 pcx-1a2b3c4d
0.0.0.0/0 igw-11aa22bb
Se você tiver anexado um gateway privado virtual à sua VPC e habilitado a propagação de rotas em suatabela de rotas, as rotas que representam a conexão aparecerão automaticamente na tabela de rotascomo rotas propagadas. Para obter mais informações, consulte Tabelas de rotas e prioridade de rotas daVPN.
Nesse exemplo, um bloco CIDR IPv6 é associado à sua VPC. Na tabela de rotas, o tráfego IPv6direcionado para dentro da VPC (2001:db8:1234:1a00::/56) é coberto pela rota Local é roteadodentro da VPC. Além disso, a tabela de rotas tem uma rota para o tráfego IPv4 172.31.0.0/16direcionada para uma conexão de emparelhamento (pcx-1a2b3c4d), uma rota para todo tráfego IPv4(0.0.0.0/0) direcionada para um Internet Gateway e uma rota para todo tráfego IPv6 (::/0) direcionadapara um Internet Gateway apenas de saída. Os tráfegos IPv4 e IPv6 são tratados separadamente; porisso, todo tráfego IPv6 (exceto para o tráfego dentro da VPC) é roteado para o Internet Gateway apenas desaída.
Destino Destino
10.0.0.0/16 Local
210
Amazon Virtual Private Cloud Guia do usuárioOpções de roteamento
Destino Destino
2001:db8:1234:1a00::/56 Local
172.31.0.0/16 pcx-1a2b3c4d
0.0.0.0/0 igw-11aa22bb
::/0 eigw-aabb1122
Opções de roteamentoOs tópicos a seguir explicam o roteamento para conexões ou gateways específicos em sua VPC.
Opções• Tabelas de rotas para um Internet Gateway (p. 211)• Tabelas de rotas para um dispositivo NAT (p. 211)• Tabelas de rotas para um gateway virtual privado (p. 211)• Tabelas de rotas para uma conexão de emparelhamento de VPC (p. 212)• Tabelas de rotas para ClassicLink (p. 213)• Tabelas de rotas para um VPC endpoint (p. 213)• Tabelas de rotas para um Internet Gateway apenas de saída (p. 214)
Tabelas de rotas para um Internet GatewayVocê pode tornar uma sub-rede em uma sub-rede pública adicionando uma rota para um InternetGateway. Para isso, crie e anexe um Internet Gateway à sua VPC, adicione uma rota com o destino0.0.0.0/0 para tráfego IPv4 ou ::/0 para tráfego IPv6 e um destino para o ID do Internet Gateway(igw-xxxxxxxx). Para obter mais informações, consulte Gateways da internet (p. 219).
Tabelas de rotas para um dispositivo NATPara permitir que as instâncias de uma sub-rede privada conectem-se à Internet, você pode criar umgateway NAT ou executar uma instância NAT em uma sub-rede pública e adicionar uma rota para asub-rede privada que roteie o tráfego de Internet IPv4 (0.0.0.0/0) para o dispositivo NAT. Para obtermais informações, consulte NAT Gateways (p. 228) e Instâncias NAT (p. 245). Não é possível usardispositivos NAT para tráfego IPv6.
Tabelas de rotas para um gateway virtual privadoVocê pode usar uma conexão do para permitir que as instâncias em sua VPC se comuniquem com suarede. Para isso, crie e anexe um gateway privado virtual à sua VPC e adicione uma rota com o destino desua rede e um destino para seu para o gateway privado virtual (vgw-xxxxxxxx). Em seguida, você podecriar e configurar sua conexão do . Para obter mais informações, consulte O que é o ? no Guia do usuáriodo .
No momento, não oferecemos suporte para o tráfego IPv6 em uma conexão do . Entretanto, oferecemoscompatibilidade para tráfego IPv6 roteado por meio de um gateway privado virtual para uma conexão doAWS Direct Connect. Para obter mais informações, consulte o Guia do usuário do AWS Direct Connect.
211
Amazon Virtual Private Cloud Guia do usuárioOpções de roteamento
Tabelas de rotas para uma conexão de emparelhamento de VPCConexão de emparelhamento de VPC é uma conexão de redes entre duas VPCs que permite direcionar otráfego entre elas usando endereços IPv4 privados. As instâncias em qualquer VPC podem se comunicarumas com as outras como se estivessem na mesma rede.
Para permitir o roteamento de tráfego entre VPCs em uma conexão de emparelhamento de VPC,você deve adicionar uma rota a uma ou mais tabelas de sua VPC direcionada para a conexão deemparelhamento de VPC para acessar todo ou parte do bloco CIDR da outra VPC na conexão deemparelhamento. Do mesmo modo, o proprietário da outra VPC deve adicionar uma rota à tabela de rotasda VPC dele para rotear o tráfego de volta para a sua VPC.
Por exemplo, você tem uma conexão de emparelhamento de VPC (pcx-1a2b1a2b) entre duas VPCs,com as seguintes informações:
• VPC A: vpc-1111aaaa, o bloco CIDR é 10.0.0.0/16• VPC B: vpc-2222bbbb, o bloco CIDR é 172.31.0.0/16
Para permitir o tráfego entre as VPCs e acesso a todo o bloco CIDR IPv4 de qualquer uma das VPCs, atabela de rotas da VPC A é configurada da forma a seguir.
Destino Destino
10.0.0.0/16 Local
172.31.0.0/16 pcx-1a2b1a2b
A tabela de rotas da VPC B é configurada da forma a seguir.
Destino Destino
172.31.0.0/16 Local
10.0.0.0/16 pcx-1a2b1a2b
Sua conexão de emparelhamento de VPC pode comportar também comunicação IPv6 entre instâncias nasVPCs, desde que as VPCs e as instâncias estejam habilitadas para comunicação IPv6. Para obter maisinformações, consulte VPCs e sub-redes (p. 81). Para permitir o roteamento de tráfego IPv6 entre VPCs,você deve adicionar uma rota para sua tabela de rotas direcionada para a conexão de emparelhamento deVPC para acessar todo ou parte do bloco CIDR IPv6 da VPC emparelhada.
Por exemplo, usando a mesma conexão de emparelhamento de VPC (pcx-1a2b1a2b) anterior, presumaque as VPCs tenham as seguintes informações:
• VPC A: o bloco CIDR IPv6 é 2001:db8:1234:1a00::/56• VPC B: o bloco CIDR IPv6 é 2001:db8:5678:2b00::/56
Para permitir a comunicação IPv6 na conexão de emparelhamento de VPC, adicione a rota a seguir àtabela de rotas da VPC A:
Destino Destino
10.0.0.0/16 Local
212
Amazon Virtual Private Cloud Guia do usuárioOpções de roteamento
Destino Destino
172.31.0.0/16 pcx-1a2b1a2b
2001:db8:5678:2b00::/56 pcx-1a2b1a2b
Adicione a rota a seguir à tabela de rotas da VPC B:
Destino Destino
172.31.0.0/16 Local
10.0.0.0/16 pcx-1a2b1a2b
2001:db8:1234:1a00::/56 pcx-1a2b1a2b
Para obter mais informações sobre conexões de emparelhamento de VPC, consulte o Amazon VPCPeering Guide.
Tabelas de rotas para ClassicLinkO ClassicLink é um recurso que permite que você vincule uma instância do EC2-Classic a uma VPC,permitindo a comunicação entre a instância do EC2-Classic e instâncias na VPC usando endereços IPv4privados. Para obter mais informações sobre ClassicLink, consulte ClassicLink (p. 306).
Quando você habilita uma VPC para o ClassicLink, é adicionada uma rota a todas as tabelas de rotas daVPC com um destino 10.0.0.0/8 e alvo local. Isso permite a comunicação entre instâncias da VPCe qualquer instância do EC2-Classic que esteja vinculada à VPC. Se você adicionar outra tabela de rotasa uma VPC habilitada para o ClassicLink, ela receberá automaticamente uma rota com um destino de10.0.0.0/8 e um alvo de local. Se desativar o ClassicLink para uma VPC, essa rota será excluídaautomaticamente de todas as tabelas de rotas da VPC.
Se qualquer das tabelas de rotas de sua VPC tiver rotas existentes para intervalos de endereços dentrodo CIDR 10.0.0.0/8, você não poderá habilitar sua VPC para o ClassicLink. Isso não inclui rotas locaispara VPCs com intervalos de endereços IP 10.0.0.0/16 e 10.1.0.0/16.
Caso já tenha habilitado uma VPC para o ClassicLink, pode ser que você não consiga adicionar nenhumarota mais específica às suas tabelas de rotas para o intervalo de endereços IP 10.0.0.0/8.
Se modificar uma conexão de emparelhamento de VPC para permitir a comunicação entre instânciasem sua VPC e a Instância EC2-Classic que está vinculada à VPC emparelhada, uma rota estáticaserá adicionada automaticamente às suas tabelas de rotas com os destinos 10.0.0.0/8 e local.Se modificar uma conexão de emparelhamento de VPC para permitir a comunicação entre umaInstância EC2-Classic local vinculada à sua VPC e a instâncias em uma VPC emparelhada, você deveráadicionar manualmente uma rota à sua tabela de rotas principal com um destino do bloco CIDR daVPC emparelhada e um destino da conexão de emparelhamento de VPC. A Instância EC2-Classicrecorre à tabela de rotas principal para realizar o roteamento para a VPC emparelhada. Para obter maisinformações, consulte Configurações com ClassicLink no Amazon VPC Peering Guide.
Tabelas de rotas para um VPC endpointUm VPC endpoint permite criar uma conexão privada entre sua VPC e outro serviço da AWS. Ao criar umendpoint, você deve especificar as tabelas de rotas em sua VPC que são usadas pelo endpoint. Uma rotaé automaticamente adicionada a cada uma das tabelas de rotas com um destino que especifica o ID dalista de prefixos do serviço (pl-xxxxxxxx) e um destino com o ID do endpoint (vpce-xxxxxxxx). Você
213
Amazon Virtual Private Cloud Guia do usuárioComo trabalhar com tabelas de rotas
não pode excluir nem modificar explicitamente a rota do endpoint, mas pode alterar as tabelas de rotas quesão usadas pelo endpoint.
Para obter mais informações sobre roteamento para endpoints e as implicações com relação a rotas paraos serviços da AWS, consulte Roteamento para endpoints do gateway (p. 282).
Tabelas de rotas para um Internet Gateway apenas de saídaVocê pode criar um Internet Gateway apenas de saída para sua VPC a fim de permitir que instâncias emuma sub-rede privada iniciem comunicação de saída com a Internet, mas impedir que a Internet inicieconexões com essas instâncias. Só se usa o Internet Gateway apenas de saída para tráfego IPv6. Paraconfigurar o roteamento para um Internet Gateway apenas de saída, adicione uma rota para a sub-redeprivada que roteie o tráfego de Internet IPv6 (::/0) para o Internet Gateway apenas de saída. Para obtermais informações, consulte Gateways da Internet somente de saída (p. 225).
Como trabalhar com tabelas de rotasA tarefas a seguir mostram como trabalhar com tabelas de rotas.
Note
Quando você usa o assistente no console para criar uma VPC com um gateway, o assistenteatualiza automaticamente as tabelas de rotas para usar o gateway. Se estiver usando asferramentas de linha de comando ou a API para configurar sua VPC, você mesmo deveráatualizar as tabelas de rotas.
Tarefas• Como determinar com qual tabela de rotas uma sub-rede está associada (p. 214)• Como identificar as sub-redes explicitamente associadas a uma tabela (p. 215)• Criando uma tabela de rotas personalizada (p. 215)• Como adicionar e remover rotas de uma tabela (p. 215)• Como habilitar e desabilitar a propagação de rotas (p. 216)• Como associar uma sub-rede a uma tabela de rotas (p. 216)• Como alterar a tabela de rotas de uma sub-rede (p. 216)• Como dissociar uma sub-rede de uma tabela de rotas (p. 217)• Como substituir a tabela de rotas principal (p. 217)• Como excluir uma tabela de rotas (p. 217)
Como determinar com qual tabela de rotas uma sub-rede estáassociadaVocê pode determinar com qual tabela de rotas uma sub-rede está associada examinando os detalhessobre a sub-rede no console da Amazon VPC.
Para determinar com qual tabela de rotas uma sub-rede está associada
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Sub-redes.3. Os detalhes sobre a sub-rede são exibidos na guia Summary. Escolha a guia Route Table para
visualizar o ID da tabela e as respectivas rotas. Se for a tabela de rotas principal, o console nãoindicará se a associação é implícita ou explícita. Para determinar se a associação com a tabela de
214
Amazon Virtual Private Cloud Guia do usuárioComo trabalhar com tabelas de rotas
rotas principal é explícita, consulte Como identificar as sub-redes explicitamente associadas a umatabela (p. 215).
Como identificar as sub-redes explicitamente associadas a umatabelaVocê pode determinar quantas e quais sub-redes estão associadas explicitamente a uma tabela de rotas.
A tabela de rotas principal pode ter associações explícitas e implícitas. A tabela de rotas personalizadapode ter somente associações explícitas.
As sub-redes que não estão associadas explicitamente a nenhuma tabela de rotas têm uma associaçãoimplícita com a tabela de rotas principal. Você pode associar explicitamente uma sub-rede a uma tabela derotas principal (para obter um exemplo sobre o motivo de ter a possibilidade de fazer isso, consulte Comosubstituir a tabela de rotas principal (p. 217)).
Para determinar quais sub-redes estão associadas explicitamente
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Route Tables.3. Visualize a coluna Explicitly Associated With para determinar o número de sub-redes associadas
explicitamente.4. Selecione a tabela de rotas desejada.5. Escolha a guia Subnet Associations no painel de detalhes. As sub-redes associadas explicitamente
à tabela estão listadas na guia. Qualquer sub-rede não associada a nenhuma tabela de rotas (e,portanto, associada implicitamente à tabela de rotas principal) também é listada.
Criando uma tabela de rotas personalizadaVocê pode criar uma tabela de rotas personalizada para sua VPC usando o console da Amazon VPC.
Para criar uma tabela de rotas personalizada
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Route Tables.3. Escolha Create Route Table.4. Na caixa de diálogo Create Route Table, você tem a opção de nomear sua tabela de rotas em Name
tag. Ao fazer isso, é criada uma tag com a chave do Name e um valor que você especificar. Selecionesua VPC em VPC e escolha Yes, Create.
Como adicionar e remover rotas de uma tabelaVocê pode adicionar, excluir e modificar rotas em suas tabelas de rotas. Você só pode modificar rotas quevocê tenha adicionado.
Para modificar ou adicionar uma rota a uma tabela de rotas
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Route Tables e selecione a tabela de rotas.3. Na guia Routes, escolha Edit.4. Para modificar uma rota existente, substitua o bloco CIDR de destino ou um endereço IP único em
Destination e selecione um destino em Target. Escolha Add another route, Save.
215
Amazon Virtual Private Cloud Guia do usuárioComo trabalhar com tabelas de rotas
Para excluir uma rota de uma tabela
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Route Tables e selecione a tabela de rotas.3. Na guia Routes, escolha Edit e Remove para a rota a ser excluída.4. Selecione Save ao concluir.
Como habilitar e desabilitar a propagação de rotasA propagação de rotas permite que um gateway privado virtual propague rotas automaticamente para astabelas de rotas. Desse modo, você não precisa inserir manualmente as rotas da VPN. Você pode habilitarou desabilitar a propagação de rotas.
Para obter mais informações sobre as opções de roteamento da VPN, consulte Opções de roteamento da no Guia do usuário do .
Para habilitar a propagação de rotas
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Route Tables e selecione a tabela de rotas.3. Na guia Route Propagation, escolha Edit.4. Marque a caixa de seleção Propagate próxima ao gateway privado virtual e escolha Save.
Para desabilitar a propagação de rotas
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Route Tables e selecione a tabela de rotas.3. Na guia Route Propagation, escolha Edit.4. Desmarque a caixa de seleção Propagate e escolha Save.
Como associar uma sub-rede a uma tabela de rotasPara destinar rotas de uma tabela a uma sub-rede específica, você deve associar a tabela de rotas à sub-rede. Uma tabela de rotas pode ser associada a várias sub-redes; entretanto, uma sub-rede só pode serassociada a uma tabela de rotas por vez. Por padrão, qualquer sub-rede não associada explicitamente auma tabela está associada implicitamente à tabela de rotas principal.
Como associar uma tabela de rotas a uma sub-rede
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Route Tables e selecione a tabela de rotas.3. Na guia Subnet Associations, escolha Edit.4. Marque a caixa de seleção Associate para a sub-rede associada à tabela de rotas e escolha Save.
Como alterar a tabela de rotas de uma sub-redeVocê pode alterar com qual tabela de rotas uma sub-rede está associada.
Para alterar a associação entre uma tabela de rotas e uma sub-rede
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.
216
Amazon Virtual Private Cloud Guia do usuárioComo trabalhar com tabelas de rotas
2. No painel de navegação, escolha Subnets e selecione a sub-rede.3. Na guia Route Table, escolha Edit.4. Selecione a nova tabela de rotas com a qual associará a sub-rede na lista Change to e escolha Save.
Como dissociar uma sub-rede de uma tabela de rotasVocê pode dissociar uma sub-rede de uma tabela de rotas. Enquanto você não associa a sub-rede comoutra tabela de rotas, ela se mantém associada implicitamente à tabela de rotas principal.
Para dissociar uma sub-rede de uma tabela de rotas
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Route Tables e selecione a tabela de rotas.3. Na guia Subnet Associations, escolha Edit.4. Desmarque a caixa de seleção Associate para a sub-rede e escolha Save.
Como substituir a tabela de rotas principalVocê pode alterar qual tabela de rotas é a tabela de rotas principal em sua VPC.
Para substituir a tabela de rotas principal
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Route Tables.3. Selecione a tabela que deve ser a nova tabela de rotas principal e escolha Set as Main Table.4. Na caixa de diálogo de confirmação, escolha Yes, Set.
O procedimento a seguir descreve como remover uma associação explícita entre uma sub-rede e a tabelade rotas principal. O resultado é uma associação implícita entre a sub-rede e a tabela de rotas principal. Oprocesso é o mesmo realizado para dissociar qualquer sub-rede de uma tabela de rotas.
Para remover uma associação explícita a uma tabela de rotas principal
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Route Tables e selecione a tabela de rotas.3. Na guia Subnet Associations, escolha Edit.4. Desmarque a caixa de seleção Associate para a sub-rede e escolha Save.
Como excluir uma tabela de rotasVocê poderá excluir uma tabela de rotas somente se não houver nenhuma sub-rede associada a ela. Vocênão pode excluir a tabela de rotas principal.
Para excluir uma tabela de rotas
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Route Tables.3. Selecione a tabela de rotas e escolha Delete Route Table.4. Na caixa de diálogo de confirmação, escolha Yes, Delete.
217
Amazon Virtual Private Cloud Guia do usuárioVisão geral sobre API e comando
Visão geral sobre API e comandoVocê pode executar as tarefas descritas nesta página usando a linha de comando ou uma API. Para obtermais informações sobre a interface de linha de comando e uma lista de operações de API disponíveis,consulte Como acessar a Amazon VPC (p. 8).
Criar uma tabela de rotas personalizada
• create-route-table (AWS CLI)• New-EC2RouteTable (AWS Tools para Windows PowerShell)
Adicionar uma rota a uma tabela
• create-route (AWS CLI)• New-EC2Route (AWS Tools para Windows PowerShell)
Associar uma sub-rede a uma tabela de rotas
• associate-route-table (AWS CLI)• Register-EC2RouteTable (AWS Tools para Windows PowerShell)
Descrever uma ou mais tabelas de rotas
• describe-route-tables (AWS CLI)• Get-EC2RouteTable (AWS Tools para Windows PowerShell)
Excluir uma rota de uma tabela
• delete-route (AWS CLI)• Remove-EC2Route (AWS Tools para Windows PowerShell)
Substituir uma rota existente em uma tabela
• replace-route (AWS CLI)• Set-EC2Route (AWS Tools para Windows PowerShell)
Dissociar uma sub-rede de uma tabela de rotas
• disassociate-route-table (AWS CLI)• Unregister-EC2RouteTable (AWS Tools para Windows PowerShell)
Mudar a tabela de rotas associada a uma sub-rede
• replace-route-table-association (AWS CLI)• Set-EC2RouteTableAssociation (AWS Tools para Windows PowerShell)
Criar uma rota estática associada a uma conexão do
• create-vpn-connection-route (AWS CLI)
218
Amazon Virtual Private Cloud Guia do usuárioGateways da internet
• New-EC2VpnConnectionRoute (AWS Tools para Windows PowerShell)
Excluir uma rota estática associada a uma conexão do
• delete-vpn-connection-route (AWS CLI)• Remove-EC2VpnConnectionRoute (AWS Tools para Windows PowerShell)
Habilitar um gateway privado virtual (VGW) para propagar rotas para as tabelas de roteamento deuma VPC
• enable-vgw-route-propagation (AWS CLI)• Enable-EC2VgwRoutePropagation (AWS Tools para Windows PowerShell)
Desabilitar um VGW para não propagar rotas para as tabelas de roteamento de uma VPC
• disable-vgw-route-propagation (AWS CLI)• Disable-EC2VgwRoutePropagation (AWS Tools para Windows PowerShell)
Excluir uma tabela de rotas
• delete-route-table (AWS CLI)• Remove-EC2RouteTable (AWS Tools para Windows PowerShell)
Gateways da internetUm gateway da internet é um componente da VPC horizontalmente dimensionado, redundante e altamentedisponível que permite a comunicação entre as instâncias na VPC e a Internet. Portanto, não impõenenhum risco de disponibilidade ou restrições de largura de banda no tráfego da rede.
Um gateway da internet tem duas finalidades: fornecer um destino nas tabelas de rotas da VPC para otráfego roteável na Internet e executar a network address translation (NAT - tradução de endereços derede) para instâncias designadas com endereços IPv4 públicos.
Um gateway da internet oferece suporte para tráfego IPv4 e IPv6.
Permitir acesso à InternetPara permitir acesso da internet para instâncias em uma sub-rede da VPC e vice-versa, proceda daseguinte forma:
• Anexar um gateway da internet à VPC.• Verifique se a tabela de rotas da sua sub-rede aponta para o gateway da internet.• Certifique-se de que as instâncias na sub-rede tenham um endereço IP exclusivo globalmente (endereço
IPv4 público, endereço IP elástico ou endereço IPv6).• Certifique-se de que o controle de acesso à rede e as regras do security group permitam que o tráfego
relevante flua para e da instância.
Para usar um gateway da internet, a tabela de rotas da sua sub-rede deve conter uma rota que direcioneo tráfego vinculado à Internet ao gateway da internet. É possível avaliar a rota para todos os destinosnão explicitamente conhecidos para a tabela de rotas (0.0.0.0/0 para IPv4 ou ::/0 para IPv6). Se
219
Amazon Virtual Private Cloud Guia do usuárioPermitir acesso à Internet
preferir, avalie a rota para uma gama mais restrita de endereços IP, como, por exemplo, os endereçosIPv4 públicos dos endpoints públicos da empresa fora da AWS, ou os endereços IP elásticos de outrasinstâncias do Amazon EC2 fora da VPC. Quando a sub-rede estiver associada à uma tabela de rotas quepossui uma rota para um gateway da internet, ela é conhecida como uma sub-rede pública.
Para permitir a comunicação pela internet para o IPv4, a instância deve ter um endereço público IPv4ou um endereço IP elástico que esteja associado a um endereço IPv4 privado na instância. A instânciadetém a informação apenas do espaço de endereço IP privado (interno) definido na VPC e na sub-rede.O gateway da internet fornece logicamente o NAT individualizado em nome da instância, de modo que,quando o tráfego deixa a sub-rede da VPC e vai para a internet, o campo do endereço de resposta édefinido como o endereço IPv4 público ou o endereço IP elástico da instância, e não como o endereçoIP privado. Por outro lado, o tráfego destinado ao endereço IPv4 público ou ao endereço IP elástico dainstância tem seu endereço de destino traduzido para o endereço IPv4 privado da instância antes dotráfego ser entregue à VPC.
Para permitir a comunicação pela internet para IPv6, a VPC e a sub-rede devem ter um bloco CIDR IPv6associado, além de ser atribuído à instância um endereço IPv6 no intervalo da sub-rede. Os endereçosIPv6 são exclusivos globalmente e, portanto, públicos por padrão.
No diagrama a seguir, a sub-rede 1 na VPC está associada a uma tabela de rotas personalizada queaponta todo o tráfego IPv4 vinculado à internet para um gateway da internet. A instância possui umendereço IP elástico que permite a comunicação com a internet.
Identificador de acesso à Internet para VPCs padrão e não padrão
A tabela a seguir fornece uma visão geral para identificar se a VPC já possui os componentes necessáriospara acesso à Internet por meio de IPv4 ou IPv6.
VPC padrão VPC não padrão
Gateway da internet Sim É possível criar a VPC usando aprimeira ou a segunda opção no
220
Amazon Virtual Private Cloud Guia do usuárioCriar uma VPC com um gateway da internet
VPC padrão VPC não padrãoassistente VPC. Caso contrário,crie e anexe manualmente ogateway da internet.
Tabela de rotas com rota para ogateway da internet para tráfegoIPv4 (0.0.0.0/0)
Sim É possível criar a VPC usando aprimeira ou a segunda opção noassistente VPC. Caso contrário,crie manualmente a tabela derotas e adicione a rota.
Tabela de rotas com rota para ogateway da internet para tráfegoIPv6 (::/0)
Não É possível criar a VPC usandoa primeira ou a segunda opçãono assistente VPC, alémde especificar a opção paraassociar um bloco CIDR IPv6à VPC. Caso contrário, criemanualmente a tabela de rotas eadicione a rota.
Endereço IPv4 público atribuídoautomaticamente à instânciaexecutada na sub-rede
Sim (sub-rede padrão) Não (sub-rede não padrão)
Endereço IPv6 atribuídoautomaticamente à instânciaexecutada na sub-rede
Não (sub-rede padrão) Não (sub-rede não padrão)
Para obter mais informações sobre VPCs padrão, consulte Padrão VPC e sub-redes padrão (p. 101). Paraobter mais informações sobre como usar o assistente de VPC para criar uma VPC com um gateway dainternet, consulte Cenário 1: VPC com uma única sub-rede pública (p. 23) ou Cenário 2: VPC com sub-redes pública e privada (NAT) (p. 31).
Para obter mais informações sobre o endereçamento IP na VPC e sobre o controle da atribuição deendereços públicos IPv4 ou IPv6 às instâncias, consulte Endereçamento IP na sua VPC (p. 109).
Ao adicionar uma nova sub-rede à VPC, é preciso configurar o roteamento e a segurança desejada para asub-rede.
Criar uma VPC com um gateway da internetAs seções a seguir descrevem como criar manualmente uma sub-rede pública para oferecer suporte aoacesso à Internet.
Tarefas• Criar uma sub-rede (p. 222)• Criação e anexação de um gateway de Internet (p. 222)• Criando uma tabela de rotas personalizada (p. 222)• Atualizar as regras do security group (p. 223)• Adicionar endereços IP elásticos (p. 223)• Separar um gateway da internet da VPC (p. 224)• Excluir um gateway da internet (p. 224)• Visão geral sobre API e comando (p. 224)
221
Amazon Virtual Private Cloud Guia do usuárioCriar uma VPC com um gateway da internet
Criar uma sub-redeAdicionar uma sub-rede à VPC
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Subnets e, em seguida, Create Subnet.3. Na caixa de diálogo Create Subnet, selecione a VPC, depois, escolha a zona de disponibilidade e
especifique o bloco CIDR IPv4 para a sub-rede.4. (opcional, somente IPv6) Para IPv6 CIDR block, escolha Specify a custom IPv6 CIDR.5. Escolha Yes, Create.
Para obter mais informações sobre sub-redes, consulte VPCs e sub-redes (p. 81).
Criação e anexação de um gateway de InternetPara criar um gateway da internet e anexá-lo à VPC
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Internet Gateways (Gateways da internet) e selecione Create
internet gateway (Criar gateway da internet).3. Opcionalmente, nomeie o gateway da internet e escolha em Create (Criar).4. Selecione o gateway da internet criado e escolha Actions, Attach to VPC (Ações, anexar à VPC).5. Selecione a VPC na lista e escolha Attach (Anexar).
Criando uma tabela de rotas personalizadaAo criar uma sub-rede, associamos-la automaticamente à tabela de rotas principais para a VPC. Porpadrão, a tabela de rotas principal não contém uma rota para um gateway da internet. O procedimento aseguir cria uma tabela de rotas personalizada com uma rota que envia o tráfego destinado para fora daVPC para o gateway da internet e, em seguida, associa a rota à sub-rede.
Para criar uma tabela de rotas personalizada
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Route Tables e selecione Create Route Tables.3. Na caixa de diálogo Create Route Table, atribua um nome, opcionalmente, à tabela de rotas e
selecione a VPC e Yes, Create.4. Selecione a tabela de rotas personalizada que acabou de ser criada. O painel de detalhes exibe as
guias para trabalhar com as respectivas rotas, associações e propagação de rotas.5. Na guia Routes, selecione Edit, Add another route e adicione as rotas, conforme necessário.
Selecione Save (Salvar) ao concluir.
• Para o tráfego IPv4, especifique 0.0.0.0/0 na caixa Destination (Destino) e selecione o ID dogateway da internet na lista Target (Destino).
• Para o tráfego IPv6, especifique ::/0 na caixa Destination (Destino) e selecione o ID do gatewayda internet na lista Target (Destino).
6. Na guia Subnet Associations, escolha Edit, selecione a caixa de seleção Associate para a sub-rede eescolha Save.
Para obter mais informações, consulte Tabelas de rotas (p. 206).
222
Amazon Virtual Private Cloud Guia do usuárioCriar uma VPC com um gateway da internet
Atualizar as regras do security groupSua VPC é fornecida com um security group padrão. Cada instância executada em uma VPC éautomaticamente associada ao seu security group padrão. As configurações padrão de um security grouppadrão não permitem tráfego de entrada da internet, mas permitem todo o tráfego de saída para a internet.Portanto, para permitir que as instâncias se comuniquem com a internet, crie um novo security group quepermita que as instâncias públicas acessem a internet.
Criar um novo security group e associá-lo às instâncias
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Security Groups (Grupos de segurança), Create Security Group
(Criar grupo de segurança).3. Na caixa de diálogo Create Security Group, especifique um nome para o security group e forneça uma
descrição. Selecione o ID na lista VPC e, então, escolha Yes, Create.4. Selecione o security group. O painel de detalhes exibe informações sobre o security group, assim
como guias para trabalhar com as respectivas regras de entrada e saída.5. Na guia Inbound Rules, escolha Edit. Escolha Add Rules e complete as informações necessárias. Por
exemplo, selecione HTTP ou HTTPS na lista Type e, em Source, digite 0.0.0.0/0 para o tráfegoIPv4 ou ::/0 para o tráfego IPv6. Selecione Save (Salvar) ao concluir.
6. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.7. No painel de navegação, escolha Instances (Instâncias).8. Selecione a instância, depois Actions e Redes. Escolha Change Security Groups.9. Na caixa de diálogo Change Security Groups, desmarque o security group da caixa de seleção e
escolha um novo. Escolha Assign Security Groups.
Para obter mais informações, consulte Security groups para sua VPC (p. 131).
Adicionar endereços IP elásticosDepois de executar uma instância na sub-rede, atribua um endereço IP elástico a ela, se desejar que elaseja acessível pela internet por meio do IPv4.
Note
Se você tiver atribuído um endereço IPv4 público à instância durante a execução, a instânciaserá acessível na internet, e você não precisará atribuir um endereço IP elástico. Para obter maisinformações sobre o endereçamento IP para a instância, consulte Endereçamento IP na suaVPC (p. 109).
Para alocar um endereço IP elástico e atribuí-lo a uma instância usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Elastic IPs.3. Escolha Allocate new address.4. Escolha Allocate.
Note
Se sua conta for compatível com o EC2-Classic, escolha primeiro VPC.5. Selecione o endereço IP elástico na lista, escolha Actions e Associate address.6. Escolha Instância ou Network interface e, em seguida, selecione o ID da instância ou da interface de
rede. Selecione o endereço IP privado que será associado ao endereço IP elástico e, então, escolhaAssociar.
223
Amazon Virtual Private Cloud Guia do usuárioCriar uma VPC com um gateway da internet
Para obter mais informações, consulte Endereços Elastic IP (p. 263).
Separar um gateway da internet da VPCSe não precisar mais de acesso à Internet para as instâncias executadas em uma VPC não padrão, vocêpoderá desanexar um gateway da internet de uma VPC. Você não poderá desanexar um gateway dainternet se a VPC tiver recursos com endereços IP públicos ou endereços IP elásticos associados.
Para desanexar um gateway da internet
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Elastic IPs e selecione Elastic IP address.3. Escolha Actions e Disassociate address. Escolha Disassociate-address.4. No painel de navegação, escolha Gateways da internet.5. Selecione o gateway da internet e escolha Actions, Detach from VPC (Ações, Desanexar da VPC).6. Na caixa de diálogo Detach from VPC (Desanexar da VPC), escolha Detach (Desanexar).
Excluir um gateway da internetCaso não precise mais de um gateway da internet, exclua-o. Você não pode excluir um gateway dainternet se ele ainda estiver anexado a uma VPC.
Para excluir um gateway da internet
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Gateways da Internet.3. Selecione o gateway da internet e escolha Actions (Ações), Delete internet gateway (Excluir gateway
da internet).4. Na caixa de diálogo Delete internet gateway (Excluir gateway da internet), escolha Delete (Excluir).
Visão geral sobre API e comandoVocê pode executar as tarefas descritas nesta página usando a linha de comando ou uma API. Paraobter mais informações sobre as interfaces de linha de comando e uma lista de ações de API disponíveis,consulte Como acessar a Amazon VPC (p. 8).
Criar um gateway da internet
• create-internet-gateway (AWS CLI)• New-EC2InternetGateway (AWS Tools para Windows PowerShell)
Anexar um gateway da internet a uma VPC
• attach-internet-gateway (AWS CLI)• Add-EC2InternetGateway (AWS Tools para Windows PowerShell)
Descrever um gateway da internet
• describe-internet-gateways (AWS CLI)• Get-EC2InternetGateway (AWS Tools para Windows PowerShell)
224
Amazon Virtual Private Cloud Guia do usuárioGateways da Internet somente de saída
Desanexar um gateway da Internet de uma VPC
• detach-internet-gateway (AWS CLI)• Dismount-EC2InternetGateway (AWS Tools para Windows PowerShell)
Excluir um gateway da internet
• delete-internet-gateway (AWS CLI)• Remove-EC2InternetGateway (AWS Tools para Windows PowerShell)
Gateways da Internet somente de saídaUm Gateway da Internet somente de saída é um componente da VPC horizontalmente escalado,redundante e altamente disponível que permite a comunicação de saída pela IPv6 das instâncias na suaVPC para a Internet e impede a Internet de iniciar uma conexão IPv6 com suas instâncias.
Note
Um Gateway da Internet somente de saída é para uso apenas com tráfego IPv6. Para habilitara comunicação via Internet somente de saída pela IPv4, use um gateway NAT. Para obter maisinformações, consulte NAT Gateways (p. 228).
Tópicos• Noções básicas do Gateway da Internet somente de saída (p. 225)• Como trabalhar com os Gateways da Internet somente de saída (p. 226)• Visão geral sobre API e CLI (p. 227)
Noções básicas do Gateway da Internet somente desaídaUma instância em sua sub-rede pública pode se conectar à Internet pelo Gateway da Internet se tiverum endereço IPv4 ou um endereço IPv6 público. Da mesma forma, os recursos na Internet podem iniciaruma conexão com sua instância usando seu endereço IPv4 ou seu endereço IPv6 público; por exemplo,quando você se conecta à sua instância usando seu computador local.
Os endereços IPv6 são exclusivos globalmente e, são portanto, públicos por padrão. Se você quiserque a sua instância possa acessar a Internet, mas deseja impedir que recursos na Internet iniciem acomunicação com sua instância, será possível usar um Gateway da Internet somente de saída. Para fazerisso, crie um gateway da Internet somente de saída em sua VPC e, em seguida, adicione uma rota à suatabela de rotas que aponte todo o tráfego IPv6 (::/0) ou um intervalo específico de endereço IPv6 para oGateway da Internet somente de saída. O tráfego IPv6 na sub-rede associada à tabela de rotas é roteadopara o Gateway da Internet somente de saída.
Um Gateway da Internet somente de saída é stateful: encaminha o tráfego das instâncias da sub-rede paraa Internet ou outros serviços AWS e, em seguida, envia a resposta de volta para as instâncias.
Um Gateway da Internet somente de saída possui as seguintes características:
• Você não pode associar um security group a um Gateway da Internet somente de saída. Você pode usarsecurity groups para suas instâncias na sub-rede privada para controlar o tráfego de entrada e saídadessas instâncias.
225
Amazon Virtual Private Cloud Guia do usuárioComo trabalhar com os Gateways
da Internet somente de saída
• Você pode usar um Network ACL para controlar o tráfego de entrada e saída da sub-rede para a qual oGateway da Internet somente de saída roteia o tráfego.
No diagrama a seguir, uma VPC possui um bloco CIDR IPv6 e uma sub-rede na VPC possui um blocoCIDR IPv6. Uma tabela de rotas personalizada está associada à sub-rede 1 e aponta todo o tráfego IPv6vinculado à Internet(::/0) para um Gateway da Internet somente de saída na VPC.
Como trabalhar com os Gateways da Internet somentede saídaAs seções a seguir descrevem como criar um Gateway da Internet somente de saída para sua sub-redeprivada e configurar o roteamento da sub-rede.
Criação de um Gateway da Internet somente de saídaVocê pode criar um Gateway da Internet somente de saída para a sua VPC usando o console da AmazonVPC.
Para criar um Gateway da Internet somente de saída para a VPC
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Gateways da Internet somente de saída.3. Selecione Criar um Gateway da Internet somente de saída.4. Selecione a VPC para a qual será criado um gateway de Internet somente de saída. Escolha Criar.
Visualização do seu Gateway da Internet somente de saídaVocê pode criar um Gateway da Internet somente de saída no seu console da Amazon VPC.
226
Amazon Virtual Private Cloud Guia do usuárioVisão geral sobre API e CLI
Para ver informações sobre um Gateway da Internet somente de saída
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Gateways da Internet somente de saída.3. Selecione o Gateway da Internet somente de saída para visualizar suas informações no painel de
detalhes.
Criando uma tabela de rotas personalizadaPara enviar o tráfego destinado fora da VPC para o Gateway da Internet somente de saída, você deve criaruma tabela de rotas personalizada, adicionar uma rota que envia o tráfego para o gateway e, em seguida,associá-lo à sua sub-rede.
Para criar uma tabela de rotas personalizada e adicionar uma rota para o Gateway da Internetsomente de saída
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Tabelas de rotas, Criar rotas.3. Na caixa de diálogo Create Route Table, atribua um nome, opcionalmente, à tabela de rotas e
selecione a VPC e Yes, Create.4. Selecione a tabela de rotas personalizada que acabou de ser criada. O painel de detalhes exibe as
guias para trabalhar com as respectivas rotas, associações e propagação de rotas.5. Na guia Routes, escolha Edit, especifique ::/0 na caixa Destination, selecione o ID do Gateway da
Internet na lista Target e Save.6. Na guia Sub-rede Associations, escolha Edit e marque a caixa de seleção Associate da sub-rede.
Escolha Salvar.
Alternativamente, você pode adicionar uma rota a uma tabela de rotas existente associada à sua sub-rede.Selecione sua tabela de rotas existente e siga as etapas 5 e 6 acima para adicionar uma rota ao Gatewayda Internet somente de saída.
Para obter mais informações sobre tabelas de rotas, consulte Tabelas de rotas (p. 206).
Exclusão de um Gateway da Internet somente de saídaSe você não precisar mais de um Gateway da Internet somente de saída, é possível excluí-lo. Qualquerrota em uma tabela de rotas que aponta para o Gateway da Internet somente de saída excluídopermanece em um status blackhole até que você exclua ou atualize manualmente a rota.
Para excluir um Gateway da Internet somente de saída
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Gateways da Internet somente de saída e selecione o Gateway da
Internet somente de saída.3. Escolha Delete.4. Selecione Delete Egress Only Internet Gateway na caixa de diálogo de confirmação.
Visão geral sobre API e CLIVocê pode executar as tarefas descritas nesta página usando a linha de comando ou uma API. Para obtermais informações sobre as interfaces de linha de comando e sobre a lista de ações de API disponíveis,consulte Como acessar a Amazon VPC (p. 8).
227
Amazon Virtual Private Cloud Guia do usuárioNAT
Criar um Gateway da Internet somente de saída
• create-egress-only-internet-gateway (AWS CLI)• New-EC2EgressOnlyInternetGateway (AWS Tools para Windows PowerShell)
Descrever um Gateway da Internet somente de saída
• describe-egress-only-internet-gateways (AWS CLI)• Get-EC2EgressOnlyInternetGatewayList (AWS Tools para Windows PowerShell)
Excluir um Gateway da Internet somente de saída
• delete-egress-only-internet-gateway (AWS CLI)• Remove-EC2EgressOnlyInternetGateway (AWS Tools para Windows PowerShell)
NATVocê pode usar um dispositivo NAT para permitir que instâncias em uma sub-rede privada se conectemà Internet (por exemplo, para atualizações de software) ou a outros serviços da AWS, mas evitar quea Internet inicie uma conexão com essas instâncias. O dispositivo NAT encaminha o tráfego para asinstâncias na sub-rede privada para a Internet ou outros serviços da AWS e depois envia a respostade volta às instâncias. Quando o tráfego é encaminhado para a Internet, o endereço IPv4 de origem ésubstituído pelo endereço do dispositivo NAT; do mesmo modo, quando a o tráfego de resposta volta paraessas instâncias, o dispositivo NAT converte o endereço de volta nos endereços IPv4 privados dessasinstâncias.
Os dispositivos NAT não são compatíveis com tráfego IPv6 — em vez disso, use um InternetGateway apenas de saída. Para obter mais informações, consulte Gateways da Internet somente desaída (p. 225).
Note
Usamos o termo NAT nesta documentação para seguir a prática comum em TI, embora a funçãoreal de um dispositivo NAT seja conversão de endereços e conversão de endereços de porta(PAT).
A AWS oferece dois tipos de dispositivos NAT — um Gateway NAT ou uma Instância NAT.Recomendamos os gateways NAT porque eles oferecem maior disponibilidade e largura de banda do queas instâncias NAT. O serviço NAT Gateway é também um serviço gerenciado que não requer trabalho deadministração. Uma instância NAT é executada em uma AMI NAT. Você pode optar por usar uma instânciaNAT para finalidades especiais.
• NAT Gateways (p. 228)• Instâncias NAT (p. 245)• Comparação entre instâncias NAT e gateways NAT (p. 252)
NAT GatewaysVocê pode usar um gateway de conversão de endereços de rede (NAT) para permitir que instâncias emuma sub-rede privada se conectem à internet ou a outros serviços da AWS, mas evitar que a internet inicieuma conexão com essas instâncias. Para obter mais informações sobre NAT, consulte NAT (p. 228).
228
Amazon Virtual Private Cloud Guia do usuárioNAT Gateways
Você será cobrado para criar e usar um gateway NAT em sua conta. Serão aplicadas taxas de uso porhora do gateway NAT. Cobranças pela transferência de dados no Amazon EC2 também se aplicam. Paraobter mais informações, consulte Definição de preço da Amazon VPC.
Os gateways NAT não são compatíveis com tráfego IPv6 — em vez disso, use um gateway dainternet somente de saída. Para obter mais informações, consulte Gateways da Internet somente desaída (p. 225).
Tópicos• Noções básicas de gateway NAT (p. 229)• Como trabalhar com gateways NAT (p. 231)• Solução de problemas com gateways NAT (p. 235)• Como controlar o uso de gateways NAT (p. 239)• Marcar um gateway NAT (p. 239)• Visão geral sobre API e CLI (p. 239)• Monitoramento de gateways NAT usando o Amazon CloudWatch (p. 240)
Noções básicas de gateway NATPara criar um gateway NAT, você deve especificar uma sub-rede pública na qual o gateway NATresidirá. Para obter mais informações sobre sub-redes públicas e privadas, consulte Roteamento de sub-rede (p. 89). Também é necessário especificar um endereço IP elástico (p. 263) para associá-lo com ogateway NAT ao criá-lo. Depois que você criar um gateway NAT, você precisará atualizar a tabela de rotasassociada a uma ou mais de suas sub-redes privadas para direcionar o tráfego vinculado à Internet para ogateway NAT. Isso permite que as instâncias nas sub-redes privadas se comuniquem com a internet.
Todo gateway NAT é criado em uma Zona de disponibilidade específica e implementado com redundâncianessa zona. Existe um limite de gateways NAT que podem ser criados em uma Zona de disponibilidade.Para obter mais informações, consulte Limites do Amazon VPC (p. 308).
Note
Se você tiver recursos em várias zonas de disponibilidade e eles compartilharem um únicogateway NAT, caso a zona de disponibilidade do gateway NAT fique inativa, os recursosem outras zonas de disponibilidade perderão o acesso à internet. Para criar uma Zona dedisponibilidade com arquitetura independente, crie um gateway NAT em cada Zona dedisponibilidade e configure seu roteamento para garantir que os recursos usem o gateway NAT namesma Zona de disponibilidade.
Caso não precise mais de um gateway NAT, você pode excluí-lo. A exclusão de um gateway NAT dissociao respectivo endereço IP elástico, mas não libera o endereço de sua conta.
O diagrama a seguir mostra a arquitetura desse de uma VPC com um gateway NAT. A tabela de rotasprincipal envia tráfego de internet das instâncias na sub-rede privada para o gateway NAT. O gatewayNAT envia o tráfego para o gateway da internet usando o endereço IP elástico do gateway NAT como oendereço IP de origem.
229
Amazon Virtual Private Cloud Guia do usuárioNAT Gateways
Regras e limitações do gateway NAT
Um gateway NAT tem as características e limitações a seguir:
• Um gateway NAT comporta 5 Gbps de largura de banda e escala automaticamente até 45 Gbps. Sevocê precisar de mais, é possível distribuir a carga de trabalho dividindo os recursos em várias sub-redes e criando um gateway NAT em cada sub-rede.
• Você pode associar precisamente um endereço IP elástico ao gateway NAT. Não é possível dissociarum endereço IP elástico de um gateway NAT depois que ele é criado. Para usar outro endereço IPelástico no gateway NAT, crie um novo gateway NAT com o endereço necessário, atualize suas tabelasde rotas e, em seguida, exclua o gateway NAT existente, caso não precise mais dele.
• Um gateway NAT é compatível com os seguintes protocolos: TCP, UDP e ICMP.• Não é possível associar um security group a um gateway NAT. Você pode usar security groups para
suas instâncias em sub-redes privadas para controlar o tráfego para e proveniente dessas instâncias.• Você pode usar uma Network ACL para controlar o tráfego para e proveniente da sub-rede na qual o
gateway NAT está localizado. Uma Network ACL é aplicável ao tráfego do gateway NAT. Um gatewayNAT usa as portas 1024 a 65535. Para obter mais informações, consulte Network ACLs (p. 139).
• No momento em que um gateway NAT é criado, ele recebe uma interface de rede à qual éautomaticamente atribuído um endereço IP privado de um intervalo de endereços IP de sua sub-rede.Você pode visualizar a interface de rede do gateway NAT no console do Amazon EC2. Para obter maisinformações, consulte Viewing Details about a Network Interface. Não é possível modificar os atributosda interface de rede.
• O gateway NAT não pode ser acessado por uma conexão ClassicLink associa à sua VPC.
230
Amazon Virtual Private Cloud Guia do usuárioNAT Gateways
• Um gateway NAT comporta no máximo 55.000 conexões simultâneas para cada destino exclusivo.Esse limite também se aplica se você criar aproximadamente 900 por segundo com um único destino(aproximadamente 55.000 conexões por minuto). Se o endereço IP de destino, a porta de destino ouo protocolo (TCP/UDP/ICMP) mudar, você poderá criar 55,000 conexões suplementares. Para maisde 55.000 conexões, há uma chance maior de erros de conexão devido a erros de alocação de porta.Esses erros podem ser monitorados visualizando a métrica do ErrorPortAllocation CloudWatch doseu gateway NAT. Para obter mais informações, consulte Monitoramento de gateways NAT usando oAmazon CloudWatch (p. 240).
Migrar de uma instância NAT
Se você já tiver uma instância NAT, poderá substituí-la por um gateway NAT. Para isso, crie um gatewayNAT na mesma sub-rede de sua instância NAT e substitua a rota existente em sua tabela direcionada àinstância NAT que tem uma rota para o gateway NAT. Para usar o mesmo endereço IP elástico para ogateway NAT que está sendo usado atualmente para a instância NAT, você deve primeiro desassociar oendereço IP elástico da instância NAT e associá-lo a seu gateway NAT ao criar o gateway.
Note
Se mudar o roteamento de uma instância NAT para um gateway NAT ou se dissociar o endereçoIP elástico de sua instância NAT, qualquer conexão atual será interrompida e precisará serrestabelecida. Verifique se não há nenhuma tarefa essencial em execução (ou qualquer tarefaque seja executada por meio de uma instância NAT).
Como usar um gateway NAT com VPC endpoints, , AWS Direct Connect ouemparelhamento de VPC
Um gateway NAT não pode enviar tráfego por VPC endpoints, conexões do , AWS Direct Connect ouconexões de emparelhamento de VPC. Se as instâncias na sub-rede privada precisarem acessar recursospor meio de um VPC endpoint, de uma conexão do ou do AWS Direct Connect, use a tabela de rotas dasub-rede privada para rotear o tráfego diretamente para esses dispositivos.
Por exemplo, a tabela de rotas da sub-rede privada tem as seguintes rotas: o tráfego vinculado à internet(0.0.0.0/0) é roteado para um gateway NAT, o tráfego do Amazon S3 traffic (pl-xxxxxxxx; um intervaloespecífico de endereços IP para o Amazon S3) é roteado para um VPC endpoint e o tráfego 10.25.0.0/16é roteado para uma conexão de emparelhamento de VPC. Os intervalos de endereço IP pl-xxxxxxxx e10.25.0.0/16 são mais específicos do que 0.0.0.0/0; quando suas instâncias enviam tráfego para o AmazonS3 ou a VPC emparelhada, o tráfego é enviado para o VPC endpoint ou a conexão de emparelhamentode VPC. Quando as instâncias enviam tráfego para a internet (além dos endereços IP do Amazon S3), otráfego é enviado para o gateway NAT.
Não é possível rotear o tráfego para um gateway NAT por meio de uma conexão de emparelhamento deVPC, uma conexão do ou do AWS Direct Connect. Um gateway NAT não pode ser usado por recursos quese encontram no outro lado dessas conexões.
Melhores práticas Quando enviar tráfego para Amazon S3 ou DynamoDB
Para evitar cobranças por processamento de dados para gateways NAT ao acessar Amazon S3 eDynamoDB, configure um endpoint de gateway e faça o roteamento do tráfego através do endpoint degateway em vez do gateway NAT. Não há cobranças pelo uso de um endpoint do gateway. Para obtermais informações, consulte VPC Endpoints de gateway (p. 281).
Como trabalhar com gateways NATVocê pode usar o console da Amazon VPC para criar, visualizar e excluir um gateway NAT. Além disso,você pode usar o assistente de Amazon VPC para criar uma VPC com uma sub-rede pública, uma sub-
231
Amazon Virtual Private Cloud Guia do usuárioNAT Gateways
rede privada e um gateway NAT. Para obter mais informações, consulte Cenário 2: VPC com sub-redespública e privada (NAT) (p. 31).
Tarefas• Criando um gateway de NAT (p. 232)• Atualizando sua tabela de rotas (p. 232)• Exclusão de um gateway NAT (p. 233)• Como testar um gateway NAT (p. 233)
Criando um gateway de NAT
Para criar um gateway NAT, é necessário especificar uma sub-rede e um endereço IP elástico. Verifiquese no momento o endereço IP elástico está associado a uma instância ou a uma interface de rede. Seestiver migrando de uma instância NAT para um gateway NAT e desejar reutilizar o endereço IP elásticoda instância NAT, deverá primeiro dissociar o endereço de sua instância NAT.
Para criar um gateway NAT
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha NAT Gateways, Create NAT Gateway.3. Especifique a sub-rede na qual criará o gateway NAT e selecione o ID de alocação de um endereço IP
elástico para associá-lo ao gateway NAT. Quando concluir, escolha Create a NAT Gateway.4. O gateway NAT é exibido no console. Após alguns instantes, quando o status muda para Available,
ele estará pronto para ser usado.
Se o gateway NAT adquirir o status Failed, isso significa que ocorreu um erro durante sua criação. Paraobter mais informações, consulte O gateway NAT entra no status de falha (p. 235).
Atualizando sua tabela de rotas
Depois de criar o gateway NAT, você deve atualizar as tabelas de rotas de suas sub-redes privadas paraapontarem o tráfego da internet para o gateway NAT. Para determinar como o tráfego deve ser roteado,usamos a rota mais específica que corresponde ao tráfego (correspondência de prefixo mais longa). Paraobter mais informações, consulte Prioridade de rota (p. 210).
Para criar uma rota para um gateway NAT
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Route Tables.3. Selecione a tabela de rotas associada à sua sub-rede privada e escolha Routes, Edit.4. Escolha Add another route. Em Destination, digite 0.0.0.0/0. Em Target, selecione o ID de seu
gateway NAT.
Note
Se estiver migrando de uma instância NAT, poderá substituir a rota atual direcionada parauma instância NAT por uma rota para o gateway NAT.
5. Escolha Salvar.
Para garantir que seu gateway NAT possa acessar a internet, a tabela de rotas associada à sub-rede naqual seu gateway NAT reside deve conter uma rota que aponte o tráfego da internet para um gateway da
232
Amazon Virtual Private Cloud Guia do usuárioNAT Gateways
internet. Para obter mais informações, consulte Criando uma tabela de rotas personalizada (p. 222). Seexcluir um gateway NAT, as rotas desse gateway permanecerão com o status blackhole até o momentoem que excluir ou atualizar as rotas. Para obter mais informações, consulte Como adicionar e removerrotas de uma tabela (p. 215).
Exclusão de um gateway NAT
É possível excluir um gateway NAT usando o console da Amazon VPC. Depois que um gateway NATé excluído, sua entrada permanece visível no console da Amazon VPC durante um breve período(normalmente, uma hora) e depois é automaticamente removida. Você não consegue removê-la.
Para excluir um gateway NAT
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha NAT Gateways.3. Selecione o gateway NAT e escolha Actions, Delete NAT Gateway.4. Na caixa de diálogo de confirmação, escolha Delete NAT Gateway.
Como testar um gateway NAT
Depois de criar o gateway NAT e atualizar as tabelas de rotas, você poderá executar ping na internetde uma instância na sua sub-rede privada para testar se ela pode se conectar à internet. Para obter umexemplo de como fazer isso, consulte Como testar a conexão com a Internet (p. 233).
Se não for possível conectar-se à internet, você também poderá executar os testes a seguir paradeterminar se o tráfego da internet está sendo roteado através do gateway NAT:
• Você pode rastrear a rota do tráfego de uma instância em sua sub-rede privada. Para isso, execute ocomando traceroute em uma instância Linux em sua sub-rede privada. Na saída, você deve ver oendereço IP privado do gateway NAT em um dos saltos (normalmente, no primeiro salto).
• Use um site ou uma ferramenta de terceiros que exiba o endereço IP de origem quando você se conectaa ele de uma instância de sua sub-rede privada. O endereço IP de origem deve ser o endereço IPelástico de seu gateway NAT. Você pode obter o endereço IP elástico e o endereço IP privado de seugateway NAT visualizando as respectivas informações na página Gateways NAT no console da AmazonVPC.
Se os testes anteriores falharem, consulte Solução de problemas com gateways NAT (p. 235).
Como testar a conexão com a Internet
O exemplo a seguir demonstra como você testa se a instância em uma sub-rede privada pode conectar-secom a internet.
1. Execute uma instância em sua sub-rede pública (você a usa como servidor bastion). Para obtermais informações, consulte Inicialização de uma instância em sua sub-rede (p. 94). No assistente deexecução, você deve selecionar uma AMI do Amazon Linux e atribuir um endereço IP público à suainstância. Confirme se as regras de seu security group permitem tráfego SSH de entrada do intervalode endereços IP de sua rede local (você pode usar também 0.0.0.0/0 nesse teste) e tráfego SSH desaída para um intervalo de endereços IP de sua sub-rede privada.
2. Execute uma instância em sua sub-rede privada. No assistente de execução, selecione uma AMI doAmazon Linux. Não atribua um endereço IP público à sua instância. Confirme se as regras de seusecurity group permitem tráfego SSH de entrada do intervalo de endereços IP privados da instância quevocê executou na sub-rede pública e todos os tráfegos ICMP de saída. Você deve escolher o mesmopar de chaves que usou para executar sua instância na sub-rede pública.
233
Amazon Virtual Private Cloud Guia do usuárioNAT Gateways
3. Configure o encaminhamento de agente SSH no computador local e conecte-se ao host bastion na sub-rede pública. Para obter mais informações, consulte Para configurar o encaminhamento de agente SSHpara Linux ou macOS (p. 234) ou Para configurar o encaminhamento de agente SSH para Windows(PuTTY) (p. 234).
4. No host bastion, conecte-se à instância na sub-rede privada e teste a conexão com a internet nainstância na sub-rede privada. Para obter mais informações, consulte Para testar a conexão com ainternet (p. 234).
Para configurar o encaminhamento de agente SSH para Linux ou macOS
1. Em seu computador local, adicione sua chave privada para o agente de autenticação.
Para o Linux, use o comando a seguir:
ssh-add -c mykeypair.pem
Para o macOS, use o comando a seguir:
ssh-add -K mykeypair.pem
2. Conecte-se à sua instância na sub-rede pública usando a opção -A para permitir o encaminhamentode agente SSH e use o endereço público da instância; por exemplo:
ssh -A [email protected]
Para configurar o encaminhamento de agente SSH para Windows (PuTTY)
1. Faça download e instale o Pageant na página de download PuTTY, se ele ainda não estiver instalado.2. Converta sua chave privada no formato .ppk. Para obter mais informações, consulte Converter sua
chave privada usando o PuTTYgen no Guia do usuário do Amazon EC2 para instâncias do Linux.3. Inicie o Pageant, clique com o botão direito no ícone do Pageant na barra de tarefas (ele pode estar
oculto) e escolha Add Key. Selecione o arquivo .ppk que você criou, digite a senha se necessário eescolha Open.
4. Inicie a sessão PuTTY session e conecte-se à sua instância na sub-rede pública usando o respectivoendereço IP. Para obter mais informações, consulte Starting a PuTTY Session. Na categoria Auth,selecione a opção Allow agent forwarding e deixe a caixa Private key file for authentication em branco.
Para testar a conexão com a internet
1. Em sua instância na sub-rede pública, conecte-se à sua instância na sub-rede privada usando orespectivo endereço IP privado; por exemplo:
2. Na instância privada, teste se é possível conectar-se à internet executando o comando ping para umsite que tenha o ICMP habilitado, por exemplo:
ping ietf.org
PING ietf.org (4.31.198.44) 56(84) bytes of data.64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=47 time=86.0 ms64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=47 time=75.6 ms
234
Amazon Virtual Private Cloud Guia do usuárioNAT Gateways
...
Pressione Ctrl+C no teclado para cancelar o comando ping. Se o comando ping falhar, consulte Asinstâncias na sub-rede privada não conseguem acessar a Internet (p. 237).
3. (Opcional) Se você não precisar mais das instâncias, encerre-as. Para obter mais informações,consulte Encerrar sua instância no Guia do usuário do Amazon EC2 para instâncias do Linux.
Solução de problemas com gateways NATOs tópicos a seguir ajudam a solucionar problemas comuns que você pode encontrar ao criar ou usar umgateway NAT.
Problemas• O gateway NAT entra no status de falha (p. 235)• Você atingiu o limite de seu endereço IP elástico ou gateway NAT (p. 236)• A zona de disponibilidade é incompatível (NotAvailableInZone) (p. 237)• Você criou um gateway NAT e ele não está mais visível (p. 237)• O gateway NAT não responde a um comando ping (p. 237)• As instâncias na sub-rede privada não conseguem acessar a Internet (p. 237)• A conexão com um endpoint TCP específico falha (p. 238)• O resultado do traceroute não exibe endereço IP privado do gateway NAT (p. 238)• Conexão com a Internet cai após 350 segundos (p. 239)• Não é possível estabelecer uma conexão IPsec (p. 239)• Não é possível iniciar mais conexões para um destino (p. 239)
O gateway NAT entra no status de falha
Se você criar um gateway NAT e ele entrar no status Failed, isso significa que ocorreu um erro quandoele foi criado. Para visualizar a mensagem de erro, acesse o console da Amazon VPC, escolha NATGateways, selecione seu gateway NAT e visualize a mensagem de erro na caixa Status no painel dedetalhes.
Note
O gateway NAT que falhou é excluído automaticamente após um breve período; normalmente, emtorno de uma hora.
A tabela a seguir lista as possíveis causas da falha, tal como indicado no console da Amazon VPC. Depoisde usar quaisquer etapas de correção indicadas, você pode tentar criar o gateway NAT novamente.
Erro exibido Motivo Etapas de correção
Subnet has insufficient freeaddresses to create this NATgateway
A sub-rede que você especificounão tem nenhum endereço IPprivado disponível. O gatewayNAT requer uma interface derede com endereço IP privadoalocado no intervalo da sub-rede.
Você pode verificar quantosendereços IP estão disponíveisna sub-rede acessando apágina Subnets (Sub-redes)no console da Amazon VPC evisualizando a caixa AvailableIPs (IPs disponíveis) no painelde detalhes da sua sub-rede.Para criar endereços IP livres em
235
Amazon Virtual Private Cloud Guia do usuárioNAT Gateways
Erro exibido Motivo Etapas de correçãosua sub-rede, você pode excluirinterfaces de rede não usadas ouencerrar instâncias das quais nãonecessita.
Network vpc-xxxxxxxx has noInternet gateway attached
É necessário criar um gatewayNAT em uma VPC com umgateway da internet.
Crie e associe um gateway dainternet à VPC. Para obter maisinformações, consulte Criaçãoe anexação de um gateway deInternet (p. 222).
Elastic IP address eipalloc-xxxxxxxx could not be associatedwith this NAT gateway
O endereço IP elástico que vocêespecificou não existe ou não foipossível encontrá-lo.
Examine o ID de alocação doendereço IP elástico para verse você a inseriu corretamente.Confirme se você especificou umendereço IP elástico que estána mesma região em que estácriando o gateway NAT.
Elastic IP address eipalloc-xxxxxxxx is already associated
O endereço IP elástico que vocêespecificou já está associadoa outro recurso e não pode serassociado ao gateway NAT.
Você pode verificar qual recursoestá associado ao endereço IPelástico acessando a páginaElastic IPs (IPs elásticos)no console da Amazon VPCe visualizando os valoresespecificados no ID da instânciaou no ID da interface de rede. Sevocê não precisar do endereçoIP elástico para aquele recurso,poderá dissociá-lo. Outra opçãoé alocar um novo endereço IPelástico à sua conta. Para obtermais informações, consulteComo trabalhar com endereçosIP elásticos (p. 264).
Network interface eni-xxxxxxxx,created and used internally bythis NAT gateway is in an invalidstate. Tente novamente.
Houve um problema ao criarou usar a interface de rede dogateway NAT.
Não é possível corrigir esse erro.Tente criar um gateway NATnovamente.
Você atingiu o limite de seu endereço IP elástico ou gateway NAT
Se tiver atingido o limite de endereços IP elásticos, você poderá desassociar um endereço IP elástico deoutro recurso ou solicitar um aumento de limite usando o formulário de limites da Amazon VPC.
Se você tiver atingido o limite de seu gateway NAT, poderá usar uma das seguintes opções:
• Solicitar um aumento de limite usando o formulário Amazon VPC Limits. O limite do gateway NATimposto pela Zona de disponibilidade.
• Verifique o status de seu gateway NAT. O status Pending, Available ou Deleting é contado emrelação ao seu limite. Se você tiver excluído um gateway NAT recentemente, espere alguns minutospara o status passar de Deleting para Deleted e tente criar um novo gateway NAT.
• Se não precisar de seu gateway NAT em uma Zona de disponibilidade específica, tente criar umgateway NAT em uma Zona de disponibilidade em que você não tenha atingido o limite.
236
Amazon Virtual Private Cloud Guia do usuárioNAT Gateways
Para obter mais informações, consulte Limites do Amazon VPC (p. 308).
A zona de disponibilidade é incompatível (NotAvailableInZone)
Em alguns casos, você pode estar tentando criar uma gateway NAT em uma Zona de disponibilidaderestringida — uma zona em que nossa capacidade de expandir é restringida. Não podemos comportargateways NAT nessas zonas. Você pode criar um gateway NAT em outra Zona de disponibilidade e usá-lopara sub-redes privadas na zona restringida. Além disso, você pode mover seus recursos para uma Zonade disponibilidade não restringida para que esses recursos e seu gateway NAT fiquem na mesma Zona dedisponibilidade.
Você criou um gateway NAT e ele não está mais visível
Talvez tenha havido um erro ao criar o gateway NAT e ele falhou. Um gateway NAT com um status defailed fica visível no console da Amazon VPC por um breve período (normalmente, uma hora) depoisdo qual ele é excluído automaticamente. Examine as informações em O gateway NAT entra no status defalha (p. 235) e tente criar um novo gateway NAT.
O gateway NAT não responde a um comando ping
Se tentar executar ping em um endereço IP elástico ou em um endereço IP privado do gateway NAT nainternet (por exemplo, no computador doméstico) ou em uma instância na VPC, você não receberá umaresposta. O gateway NAT só transfere tráfego de uma instância em uma sub-rede privada para a internet.
Para testar se um gateway NAT está funcionando, consulte Como testar um gateway NAT (p. 233).
As instâncias na sub-rede privada não conseguem acessar a Internet
Se você seguiu as etapas anteriores para testar o gateway NAT e o comando ping falhar ou as instânciasnão puderem acessar a internet, verifique as informações a seguir:
• Verifique se o gateway NAT encontra-se no estado Available. No console da Amazon VPC, acessea página NAT Gateways e visualize as informações de status no painel de detalhes. Se o gateway NATestiver no estado de falha, pode ter havido um erro no momento de criá-lo. Para obter mais informações,consulte O gateway NAT entra no status de falha (p. 235).
• Verifique se você configurou corretamente as tabelas de rotas:• O gateway NAT deve estar em uma sub-rede pública com uma tabela de rotas que roteia o tráfego da
internet para um gateway da internet. Para obter mais informações, consulte Criando uma tabela derotas personalizada (p. 222).
• A instância deve estar em uma sub-rede privada com uma tabela de rotas que roteia o tráfego dainternet para o gateway NAT. Para obter mais informações, consulte Atualizando sua tabela derotas (p. 232).
• Verifique se não existe nenhuma outra entrada na tabela de rotas que roteia todo ou parte do tráfegoda internet para outro dispositivo, e não para o gateway NAT.
• Verifique se as regras do security group para a instância privada permitem tráfego de saída pela internet.Para o comando ping funcionar, as regras devem também permitir tráfego ICMP de saída.
Note
O gateway NAT propriamente dite permite tráfego de saída e tráfego recebido em resposta auma solicitação de saída (por isso, ele é stateful).
• Verifique se as Network ACLs associadas à sub-rede privada e às sub-redes públicas não têm regrasque bloqueiam o tráfego de entrada e saída de internet. Para o comando ping funcionar, as regrasdevem também permitir tráfego ICMP de entrada e saída.
237
Amazon Virtual Private Cloud Guia do usuárioNAT Gateways
Note
Você pode permitir logs de fluxo para ajudá-lo a diagnosticar conexões encerradas por causade regras de Network ACL ou security group. Para obter mais informações, consulte VPC FlowLogs (p. 188).
• Se estiver usando o comando ping, execute ping em um site habilitado para ICMP. Se não, você nãoreceberá pacotes de resposta. Para testar, execute o mesmo comando ping no terminal de linha decomando de seu computador.
• Verifique se sua instância pode executar ping em outros recursos; por exemplo, outras instâncias nasub-rede privada (supondo que as regras de security group permitam isso).
• Verifique se sua conexão está usando somente o protocolo TCP, UDP ou ICMP.
A conexão com um endpoint TCP específico falha
Se uma conexão TCP com um host ou endpoint específico estiver falhando, mesmo que as conexõesTCP com outros endpoints estiverem funcionando normalmente, verifique se o endpoint ao qual você estátentando conectar-se está respondendo com pacotes TCP fragmentados. No momento, um gateway NATnão comporta a fragmentação de IP para TCP. Para obter mais informações, consulte Comparação entreinstâncias NAT e gateways NAT (p. 252).
Para verificar se o endpoint está enviando pacotes TCP fragmentados, use uma instância em uma sub-rede pública com um endereço IP público para fazer o seguinte:
• Ativar uma resposta grande o suficiente no endpoint específico para provocar fragmentação.• Use o utilitário Use the tcpdump para verificar se o endpoint está enviando pacotes fragmentados.
Important
Você deve usar uma instância em uma sub-rede pública para executar essas verificações; nãoé possível usar a instância na qual a conexão original estava falhando ou uma instância em umasub-rede privada subjacente a um gateway NAT ou a uma instância NAT.
Se o endpoint estiver enviando pacotes TCP fragmentados, você poderá usar uma instância NAT, em vezde um gateway NAT.
Note
O gateway NAT também não comporta fragmentação de IP para o protocolo ICMP. Asferramentas de diagnóstico que enviam ou recebem grandes pacotes ICMP relatarão perdade pacote. Por exemplo, o comando ping -s 10000 example.com não funciona com umgateway NAT.
O resultado do traceroute não exibe endereço IP privado do gateway NAT
A instância pode acessar a internet, mas quando você executa o comando traceroute, o resultado nãoexibe o endereço IP privado do gateway NAT. Nesse caso, a instância está acessando a internet por meiode um dispositivo diferente, como um gateway da internet. Na tabela de rotas da sub-rede na qual suainstância está localizada, verifique as informações a seguir:
• Verifique se existe uma rota que envia tráfego de internet para o gateway NAT.• Verifique se não existe mais de uma rota específica enviando tráfego de internet para outros
dispositivos, como um gateway privado virtual ou um gateway da internet.
238
Amazon Virtual Private Cloud Guia do usuárioNAT Gateways
Conexão com a Internet cai após 350 segundosSe uma conexão que usa um gateway NAT ficar ociosa por 350 segundos ou mais, ela expirará. Paraevitar a perda da conexão, você pode iniciar mais tráfego pela conexão ou habilitar o keepalive de TCP nainstância com um valor menor que 350 segundos.
Não é possível estabelecer uma conexão IPsecOs gateways NAT não são compatíveis com o protocolo IPsec. No entanto, você pode usar o NAT-Traversal (NAT-T) para encapsular o tráfego IPsec na UDP, que é um protocolo compatível com gatewaysNAT. Lembre-se de testar sua configuração de NAT-T e de IPsec para verificar se o tráfego IPsec não éinterrompido.
Não é possível iniciar mais conexões para um destinoTalvez você tenha atingido o limite de conexões simultâneas. Para obter mais informações, consulteRegras e limitações do gateway NAT (p. 230). Se as instâncias na sub-rede privada criarem um grandenúmero de conexões, você poderá atingir esse limite. Você pode executar uma das seguintes ações:
• Criar um gateway NAT por Zona de disponibilidade e distribuir seus clientes nessas zonas.• Criar outros gateways NAT na sub-rede pública e distribuir seus clientes em várias sub-redes privadas,
cada uma com uma rota para um gateway NAT diferente.• Limitar o número de conexões que seus clientes podem criar para o destino.• Para liberar a capacidade, feche as conexões ociosas.
Como controlar o uso de gateways NATPor padrão, os usuários do IAM não têm permissão para trabalhar com gateways NAT. Você pode criaruma política de usuário do IAM que conceda permissão aos usuários para criar, descrever e excluirgateways NAT. No momento, não oferecemos permissões de recurso para nenhuma ec2:*NatGateway*operação de API. Para obter mais informações sobre políticas do IAM para Amazon VPC, consulte Comocontrolar o acesso aos recursos do Amazon VPC (p. 173).
Marcar um gateway NATVocê pode marcar o gateway NAT para ajudar a identificá-lo ou categorizá-lo de acordo com asnecessidades da organização. Para obter informações sobre trabalhar com tags, consulte Marcar osrecursos do Amazon EC2 no Guia do usuário do Amazon EC2 para instâncias do Linux.
As tags de alocação de custos são compatíveis com gateways NAT, portanto, você também pode usartags para organizar a conta da AWS e refletir sua própria estrutura de custo. Para obter mais informações,consulte Uso de tags de alocação de custos no Guia do usuário do AWS Billing and Cost Management.Para obter mais informações sobre como configurar um relatório de alocação de custos com tags, consulteRelatório mensal de alocação de custos em Sobre o faturamento de conta da AWS.
Visão geral sobre API e CLIVocê pode executar as tarefas descritas nesta página usando a linha de comando ou uma API. Para obtermais informações sobre as interfaces de linha de comando e uma lista de operações de API disponíveis,consulte Como acessar a Amazon VPC (p. 8).
Criar um gateway NAT
• create-nat-gateway (AWS CLI)• New-EC2NatGateway (AWS Tools para Windows PowerShell)• CreateNatGateway (API de consulta do Amazon EC2)
239
Amazon Virtual Private Cloud Guia do usuárioNAT Gateways
Marcar um gateway NAT
• create-tags (AWS CLI)• New-EC2Tag (AWS Tools para Windows PowerShell)• CreateTags (API de consulta do Amazon EC2)
Descrever um gateway NAT
• describe-nat-gateways (AWS CLI)• Get-EC2NatGateway (AWS Tools para Windows PowerShell)• DescribeNatGateways (API de consulta do Amazon EC2)
Excluir um gateway NAT
• delete-nat-gateway (AWS CLI)• Remove-EC2NatGateway (AWS Tools para Windows PowerShell)• DeleteNatGateway (API de consulta do Amazon EC2)
Monitoramento de gateways NAT usando o Amazon CloudWatchVocê pode monitorar o gateway NAT usando o CloudWatch que coleta informações do gateway NAT ecria métricas legíveis quase em tempo real. Você pode usar essas informações para monitorar e resolverproblemas do gateway NAT. Os dados de métricas do gateway NAT são fornecidos em uma frequência deum minuto, e as estatísticas são gravadas por um período de 15 meses.
Para obter mais informações sobre o Amazon CloudWatch, consulte Guia do usuário do AmazonCloudWatch. Para obter mais informações sobre definição de preço;, consulte Definição de preço doAmazon CloudWatch.
Métricas e dimensões do gateway NAT
As métricas a seguir estão disponíveis para os gateways NAT.
Métrica Descrição
ActiveConnectionCount O número total de conexões TCP simultâneas eativos por meio do gateway NAT.
O valor zero indica que não há conexão ativas pormeio do gateway NAT.
Unidade: contagem
Statistics: a estatística mais útil é Max.
BytesInFromDestination O número de bytes recebidos pelo gateway NATdo destino.
Se o valor para BytesOutToSource for menorque o valor de BytesInFromDestination,talvez haja perda de dados durante oprocessamento de gateway NAT ou tráfego ativobloqueado pelo gateway NAT.
240
Amazon Virtual Private Cloud Guia do usuárioNAT Gateways
Métrica DescriçãoUnidade: bytes
Statistics: a estatística mais útil é Sum.
BytesInFromSource O número de bytes recebidos pelo gateway NATdos clientes na VPC.
Se o valor de BytesOutToDestination formenor que o valor de BytesInFromSource, podehaver perda de dados durante o processamento dogateway NAT.
Unidade: bytes
Statistics: a estatística mais útil é Sum.
BytesOutToDestination O número de bytes enviados por meio do gatewayNAT ao destino.
Um valor maior que zero indica que hátráfego fluindo dos clientes que estão atrás dogateway NAT para a Internet. Se o valor deBytesOutToDestination for menor que o valorde BytesInFromSource, pode haver perda dedados durante o processamento do gateway NAT.
Unidade: bytes
Statistics: a estatística mais útil é Sum.
BytesOutToSource O número de bytes enviados por meio do gatewayNAT para os clientes na VPC.
Um valor maior que zero indica que há tráfegofluindo da Internet para os clientes queestão atrás do gateway NAT. Se o valor paraBytesOutToSource for menor que o valor deBytesInFromDestination, talvez haja perda dedados durante o processamento de gateway NATou tráfego ativo bloqueado pelo gateway NAT.
Unidade: bytes
Statistics: a estatística mais útil é Sum.
ConnectionAttemptCount O número de tentativas de conexão feita por meiodo gateway NAT.
Se o valor de ConnectionEstablishedCountfor menor que o valor deConnectionAttemptCount, os clientes atrásdo gateway NAT tentaram estabelecer novasconexões para as quais não houve resposta.
Unidade: contagem
Statistics: a estatística mais útil é Sum.
241
Amazon Virtual Private Cloud Guia do usuárioNAT Gateways
Métrica Descrição
ConnectionEstablishedCount O número de conexões estabelecidas por meio dogateway NAT.
Se o valor de ConnectionEstablishedCountfor menor que o valor deConnectionAttemptCount, os clientes atrásdo gateway NAT tentaram estabelecer novasconexões para as quais não houve resposta.
Unidade: contagem
Statistics: a estatística mais útil é Sum.
ErrorPortAllocation O número de vezes que o gateway NAT nãoconseguiu alocar uma porta de origem.
Um valor maior de zero indica que muitasconexões simultâneas são abertas por meio dogateway NAT.
Unidade: contagem
Statistics: a estatística mais útil é Sum.
IdleTimeoutCount O número de conexões que fizeram a transição doestado ativo para o estado inativo. Uma conexãoativa faz a transição para estado inativo casonão tenha sido fechada corretamente e não hajaatividade por pelo menos 350 segundos.
Um valor maior que zero indica que há conexõesque foram movidas para um estado inativo. Se ovalor de IdleTimeoutCount aumentar, podeser que os clientes atrás do gateway NAT estejamreutilizando conexões obsoletas.
Unidade: contagem
Statistics: a estatística mais útil é Sum.
PacketsDropCount O número de pacotes removidos pelo gatewayNAT.
Um valor maior que zero pode indicar um problematemporário contínuo com o gateway NAT. Seesse valor for alto, consulte o painel de status deserviços da AWS.
Unidade: contagem
Statistics: a estatística mais útil é Sum.
242
Amazon Virtual Private Cloud Guia do usuárioNAT Gateways
Métrica Descrição
PacketsInFromDestination O número de pacotes recebidos pelo gateway NATdo destino.
Se o valor para PacketsOutToSource for menorque o valor de PacketsInFromDestination,talvez haja perda de dados durante oprocessamento de gateway NAT ou tráfego ativobloqueado pelo gateway NAT.
Unidade: contagem
Statistics: a estatística mais útil é Sum.
PacketsInFromSource O número de pacotes recebidos pelo gateway NATdos clientes na VPC.
Se o valor de PacketsOutToDestination formenor que o valor de PacketsInFromSource,pode haver perda de dados durante oprocessamento do gateway NAT.
Unidade: contagem
Statistics: a estatística mais útil é Sum.
PacketsOutToDestination O número de pacotes enviados por meio dogateway NAT ao destino.
Um valor maior que zero indica que hátráfego fluindo dos clientes que estão atrás dogateway NAT para a Internet. Se o valor dePacketsOutToDestination for menor que ovalor de PacketsInFromSource, pode haverperda de dados durante o processamento dogateway NAT.
Unidade: contagem
Statistics: a estatística mais útil é Sum.
PacketsOutToSource O número de pacotes enviados por meio dogateway NAT para os clientes na VPC.
Um valor maior que zero indica que há tráfegofluindo da Internet para os clientes queestão atrás do gateway NAT. Se o valor paraPacketsOutToSource for menor que o valor dePacketsInFromDestination, talvez haja perdade dados durante o processamento de gatewayNAT ou tráfego ativo bloqueado pelo gateway NAT.
Unidade: contagem
Statistics: a estatística mais útil é Sum.
Para filtrar os dados das métricas, use a dimensão a seguir.
243
Amazon Virtual Private Cloud Guia do usuárioNAT Gateways
Dimensão Descrição
NatGatewayId Filtre os dados da métrica pelo ID do gateway NAT.
Visualização de métricas do CloudWatch do gateway NATAs métricas do gateway NAT são enviadas ao CloudWatch em intervalos de um minuto. Você podevisualizar as métricas dos gateways NAT da maneira a seguir.
Para visualizar as métricas usando o console do CloudWatch
As métricas são agrupadas primeiro pelo namespace do serviço e, em seguida, por várias combinações dedimensão dentro de cada namespace.
1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.2. No painel de navegação, selecione Métricas.3. Em All metrics, escolha o namespace de métrica NAT gateway.4. Para visualizar as métricas, selecione a dimensão de métrica.
Para visualizar métricas usando a AWS CLI
Em um prompt de comando, use o seguinte comando para listar as métricas que estão disponíveis para oserviço de gateway NAT:
aws cloudwatch list-metrics --namespace "AWS/NATGateway"
Criar alarmes do CloudWatch para monitorar um gateway NATVocê pode criar um alarme do CloudWatch que envia uma mensagem de Amazon SNS quando o alarmemudar de estado. Um alarme observa uma única métrica por um período tempo que você especifica. Eleenvia uma notificação a um tópico do Amazon SNS com base no valor da métrica relativo a um limiteespecificado em um número de períodos de tempo.
Por exemplo, você pode criar um alarme que monitore a quantidade de tráfego de entrada ou de saída dogateway NAT. O alarme a seguir monitora a quantidade de tráfego de saída de clientes na VPC atravésdo gateway NAT para a internet. Ele envia uma notificação quando o número de bytes atinge um limite de5.000.000 em um período de 15 minutos.
Para criar um alarme para o tráfego de saída através do gateway NAT
1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.2. No painel de navegação, escolha Alarms, Create Alarm.3. Escolha NAT gateway.4. Selecione o gateway NAT e a métrica BytesOutToDestination e escolha Next.5. Configure o alarme como a seguir e escolha Create Alarm ao concluir:
• Em Alarm Threshold, insira um nome e uma descrição para o alarme. Em Whenever, escolha >= einsira 5000000. Insira 1 em períodos consecutivos.
• Em Actions, selecione uma lista de notificações existente ou escolha New list para criar uma nova.• Em Alarm Preview, selecione um período de 15 minutos e especifique a estatística Sum.
Você pode cria um alarme que monitora a métrica ErrorPortAllocation e envia uma notificaçãoquando o valor for maior que zero (0) por três períodos de cinco minutos consecutivos.
244
Amazon Virtual Private Cloud Guia do usuárioInstâncias NAT
Para criar um alarme para monitorar erros de alocação de porta
1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.2. No painel de navegação, escolha Alarms, Create Alarm.3. Escolha NAT Gateway.4. Selecione o gateway NAT e a métrica ErrorPortAllocation e escolha Next.5. Configure o alarme como a seguir e escolha Create Alarm ao concluir:
• Em Alarm Threshold, insira um nome e uma descrição para o alarme. Em Whenever, escolha > einsira 0. Insira 3 em períodos consecutivos.
• Em Actions, selecione uma lista de notificações existente ou escolha New list para criar uma nova.• Em Alarm Preview, selecione um período de 5 minutos e especifique a estatística Maximum.
Para obter mais exemplos sobre como criar alarmes, consulte Criar alarmes do Amazon CloudWatch noGuia do usuário do Amazon CloudWatch.
Instâncias NATVocê pode usar uma instância de conversão de endereços de rede (NAT) em uma sub-rede públicaem sua VPC para permitir que as instâncias na sub-rede privada iniciem tráfego IPv4 de saída para aInternet ou outros serviços da AWS, mas impedir que elas recebam tráfego de saída iniciado por alguémna Internet.
Para obter mais informações sobre sub-redes públicas e privadas, consulte Roteamento de sub-rede (p. 89). Para obter mais informações sobre NAT, consulte NAT (p. 228).
NAT não é compatível com tráfego IPv6 — em vez disso, use um Internet Gateway apenas de saída. Paraobter mais informações, consulte Gateways da Internet somente de saída (p. 225).
Note
Além disso, você pode usar um gateway NAT, que consiste e um serviço NAT gerenciado queoferece maior disponibilidade e maior largura de banda e requer menor empenho administrativo.Para casos de uso comuns, é recomendável usar um gateway NAT, em vez de uma instânciaNAT. Para obter mais informações, consulte NAT Gateways (p. 228) e Comparação entreinstâncias NAT e gateways NAT (p. 252).
Tópicos• Noções básicas sobre a instância NAT (p. 245)• Configuração da instância NAT (p. 247)• Como criar um security group NATSG (p. 248)• Como desativar as verificações de origem/destino (p. 249)• Atualização da tabela de rotas principal (p. 250)• Como testar a configuração da instância NAT (p. 250)
Noções básicas sobre a instância NATA figura a seguir mostra noções básicas sobre instância NAT. A tabela de rotas principal está associada àsub-rede privada e envia tráfego das instâncias na sub-rede privada à instância NAT na sub-rede pública.A instância NAT envia tráfego ao Internet Gateway para a VPC. O tráfego é atribuído ao endereço IPelástico da instância NAT. A instância NAT especifica um número de porta alto para a resposta; quandouma resposta retorna, a instância NAT a envia a uma instância na sub-rede privada com base no númeroda porta para a resposta.
245
Amazon Virtual Private Cloud Guia do usuárioInstâncias NAT
A Amazon fornece AMIs do Amazon Linux que são configuradas para que sejam executadas comoinstância NAT. Como essas AMIs incluem a string amzn-ami-vpc-nat no nome, é possível procurá-lasno console do Amazon EC2.
Ao executar uma instância em uma AMI NAT, a configuração a seguir ocorre na instância:
• O encaminhamento IPv4 é ativado e os redirecionamentos de ICMP são desativados em /etc/sysctl.d/10-nat-settings.conf
• Um script localizado em /usr/sbin/configure-pat.sh é executado na inicialização e configura omascaramento de IP de iptables.
Note
Recomendamos sempre usar a versão mais recente da AMI do NAT para aproveitar asatualizações da configuração.Se você adicionar e remover blocos CIDR IPv4 secundários na VPC, assegure-se de usar aversão da AMI amzn-ami-vpc-nat-hvm-2017.03.1.20170623-x86_64-ebs ou posterior.
O limite da instância NAT depende do limite desse tipo de instância na região. Para obter maisinformações, consulte Perguntas frequentes sobre o EC2. Para obter uma lista de AMIs NAT disponíveis,consulte a matriz da Amazon Linux AMI.
246
Amazon Virtual Private Cloud Guia do usuárioInstâncias NAT
Configuração da instância NATVocê pode usar o assistente de VPC para configurar uma VPC com a instância NAT; para obter maisinformações, consulte Cenário 2: VPC com sub-redes pública e privada (NAT) (p. 31). O assistenteexecuta vários passos de configuração para você, como a execução de uma instância NAT e aconfiguração do roteamento. Entretanto, se você preferir, poderá criar e configurar manualmente uma VPCe uma instância NAT usando as etapas a seguir.
1. Crie uma VPC com duas sub-redes.Note
As etapas a seguir destinam-se à criação e configuração manuais de uma VPC, e não àcriação de uma VPC com o assistente de VPC.
a. Crie uma VPC (consulte Criar uma VPC (p. 91))b. Crie duas sub-redes (consulte Criar uma sub-rede (p. 222))c. Anexar um Internet Gateway à VPC (consulte Criação e anexação de um gateway de
Internet (p. 222))d. Crie uma tabela de rotas personalizada que envie o tráfego destinado fora da VPC para o Internet
Gateway e depois a associe a uma sub-rede, tornando-a uma sub-rede pública (consulte Criandouma tabela de rotas personalizada (p. 222))
2. Crie um security group NATSG (consulte Como criar um security group NATSG (p. 248)). Vocêespecificará esse security group ao executar a instância NAT.
3. Execute uma instância dentro da sua sub-rede pública de uma AMI configurada para ser executadacomo uma instância NAT. A Amazon fornece AMIs do Amazon Linux que são configuradas para quesejam executadas como instância NAT. Como essas AMIs incluem a string amzn-ami-vpc-nat nonome, é possível procurá-las no console do Amazon EC2.
a. Abra o console do Amazon EC2.b. No painel, escolha o botão Launch Instance e conclua o assistente como se segue:
i. Na página Choose an Amazon Machine Image (AMI), selecione a categoria Community AMIse procure por amzn-ami-vpc-nat. Na lista de resultados, todo nome de AMI inclui a versãopara permitir que você selecione a AMI mais recente; por exemplo, 2013.09. Escolha Select.
ii. Na página Choose an Instance Type, selecione o tipo de instância e escolha Next: ConfigureInstance Details.
iii. Na página Configure Instance Details, selecione a VPC que você criou na lista Network eselecione sua sub-rede pública na lista Subnet.
iv. (Opcional) Marque a caixa de seleção Public IP para solicitar que sua instância NAT recebaum endereço IP público. Se preferir não atribuir um endereço IP público no momento, poderáalocar um endereço IP elástico e atribuí-lo à sua instância depois que ela for executada. Paraobter mais informações sobre como atribuir um IP público na execução, consulte Atribuiçãode um endereço de público IPv4 durante a inicialização de instância (p. 113). Escolha Next:Add Storage.
v. Você pode optar por adicionar armazenamento à sua instância e na página seguinte podeadicionar tags. Escolha Next: Configure Security Group ao concluir.
vi. Na página Configure Security Group, selecione a opção Select an existing security group edepois o security group NATSG que você criou. Escolha Review and Launch.
vii. Revise as configurações que você escolheu. Faça qualquer alteração que precisar e escolhaLaunch para escolher um par de chaves e executar sua instância.
4. (Opcional) Conecte-se à instância NAT, faça qualquer alteração necessária e crie uma AMIconfigurada para ser executada como uma instância NAT. Você pode usar essa AMI na próximavez em que precisar executar uma instância NAT. Para obter mais informações, consulte Criar AMIsbaseadas no Amazon EBS no Guia do usuário do Amazon EC2 para instâncias do Linux.
247
Amazon Virtual Private Cloud Guia do usuárioInstâncias NAT
5. Desative o atributo SrcDestCheck da instância NAT (consulte Como desativar as verificações deorigem/destino (p. 249))
6. Se não atribuir um endereço IP público à instância NAT durante a execução (etapa 3), precisaráassociar a ela um endereço IP elástico.
a. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.b. No painel de navegação, escolha Elastic IPs e Allocate new address.c. Escolha Allocate.d. Selecione o endereço IP elástico na lista e escolha Actions, Associate address.e. Selecione o recurso da interface de rede e a interface de rede para a instância NAT. Selecione o
endereço para associar com o endereço IP elástico na lista Private IP e escolha Associate.7. Atualize a tabela de rotas principal para enviar tráfego para a instância NAT. Para obter mais
informações, consulte Atualização da tabela de rotas principal (p. 250).
Como executar uma instância NAT usando a linha de comandoPara executar uma instância NAT na sub-rede, use um dos seguintes comandos: Para obter maisinformações, consulte Como acessar a Amazon VPC (p. 8).
• run-instances (AWS CLI)• New-EC2Instance (AWS Tools para Windows PowerShell)
Para obter o ID de uma AMI configurada para ser executada como uma instância NAT, use um comandopara descrever as imagens e filtros para retornar resultados somente para as AMIs pertencentes à Amazone que tenham a string amzn-ami-vpc-nat no respectivo nome. O exemplo a seguir usa a AWS CLI:
aws ec2 describe-images --filter Name="owner-alias",Values="amazon" --filter Name="name",Values="amzn-ami-vpc-nat*"
Como criar um security group NATSGDefina o security group NATSG tal como descrito na tabela a seguir para permitir que sua instância NATreceba tráfego vinculado à Internet de instâncias em uma sub-rede privada, bem como tráfego SSHproveniente de sua rede. A instância NAT pode também enviar tráfego à Internet, as instâncias na sub-rede privada podem obter atualizações de software.
NATSG: regras recomendadas
Inbound
Source Protocol Port Range Comments
10.0.1.0/24 TCP 80 Permite tráfego HTTP de entrada deservidores na sub-rede privada.
10.0.1.0/24 TCP 443 Permite tráfego HTTPS de entradade servidores na sub-rede privada.
Intervalo de endereços IPpúblicos da sua rede doméstica
TCP 22 Permite acesso SSH de entrada desua rede doméstica à instância NAT(por meio do Internet Gateway).
Outbound
Destination Protocol Port Range Comments
248
Amazon Virtual Private Cloud Guia do usuárioInstâncias NAT
0.0.0.0/0 TCP 80 Permite acesso HTTP de saída àInternet
0.0.0.0/0 TCP 443 Permite acesso HTTPS de saída àInternet
Para criar um security group NATSG
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Security Groups (Grupos de segurança), Create Security Group
(Criar grupo de segurança).3. Na caixa de diálogo Create Security Group, especifique NATSG como nome do security group e
forneça uma descrição. Selecione o ID de sua VPC na lista VPC e escolha Yes, Create.4. Selecione o security group NATSG que você acabou de criar. O painel de detalhes exibe informações
sobre security group, bem como guias para trabalhar com as respectivas regras de entrada e saída.5. Adicione regras de tráfego de entrada usando a guia Inbound Rules da seguinte forma:
a. Selecione Edit.b. Escolha Add another rule e selecione HTTP na lista Type. No campo Source, especifique o
intervalo de endereços IP de sua sub-rede privada.c. Escolha Add another rule e selecione HTTPS na lista Type. No campo Source, especifique o
intervalo de endereços IP de sua sub-rede privada.d. Escolha Add another rule e selecione SSH na lista Type. No campo Source, especifique o
intervalo de endereços IP públicos de sua rede.e. Escolha Salvar.
6. Adicione regras de tráfego de saída usando a guia Outbound Rules da seguinte forma:
a. Selecione Edit.b. Escolha Add another rule e selecione HTTP na lista Type. No campo Destination, especifique
0.0.0.0/0
c. Escolha Add another rule e selecione HTTPS na lista Type. No campo Destination, especifique0.0.0.0/0
d. Escolha Salvar.
Para obter mais informações, consulte Security groups para sua VPC (p. 131).
Como desativar as verificações de origem/destinoPor padrão, toda Instância EC2 executa verificações origem/destino. Isso significa que a instância deveser a origem ou o destino de qualquer tráfego que ela envia ou recebe. Entretanto, a instância NAT devepoder enviar e receber tráfego quando ela não é a origem nem o destino. Por isso, você deve desativar asverificações de origem/destino na instância NAT.
Você pode desativar o atributo SrcDestCheck para a instância NAT em execução ou encerrada usando oconsole ou a linha de comando.
Para desativar a verificação de origem/destino usando o console
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, escolha Instances (Instâncias).3. Selecione a instância NAT e escolha Actions (Ações) e depois Networking (Rede) e Change Source/
Dest (Alterar origem/destino). Check.
249
Amazon Virtual Private Cloud Guia do usuárioInstâncias NAT
4. Para a instância NAT, verifique se esse atributo está desativado. Do contrário, escolha Yes, Disable.5. Se a instância NAT tiver uma interface de rede secundária, escolha-a em Network interfaces
(Interfaces de rede) na guia Description (Descrição) e escolha o ID da interface para ir para a páginade interfaces de rede. Escolha Actions (Ações), Change Source/Dest (Alterar origem/destino). Marque,desabilite a configuração e escolha Salvar.
Para desativar a verificação de origem/destino usando a linha de comando
Você pode usar um dos comandos a seguir. Para obter mais informações, consulte Como acessar aAmazon VPC (p. 8).
• modify-instance-attribute (AWS CLI)• Edit-EC2InstanceAttribute (AWS Tools para Windows PowerShell)
Atualização da tabela de rotas principalComo a sub-rede privada em sua VPC não está associada a uma tabela de rotas personalizada, ela usaa tabela de rotas principal. Por padrão, a tabela de rotas principal permite que as instâncias em sua VPCcomuniquem-se entre si. Você deve adicionar a rota que envia todos os outros tráfegos da sub-rede àinstância NAT.
Para atualizar a tabela de rotas principal
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Route Tables.3. Selecione a tabela de rotas principal de sua VPC (a coluna Main exibe Yes). O painel de detalhes
exibe as guias para trabalhar com as respectivas rotas, associações e propagação de rotas.4. Na guia Routes, escolha Edit, especifique 0.0.0.0/0 na caixa Destination, selecione o ID da
instância NAT na lista Target e escolha Save.5. Na guia Subnet Associations, escolha Edit e marque a caixa de seleção Associate para a sub-rede.
Escolha Salvar.
Para obter mais informações, consulte Tabelas de rotas (p. 206).
Como testar a configuração da instância NATAssim que executar uma instância NAT e concluir as etapas anteriores de configuração, poderá testarse uma instância em sua sub-rede privada pode acessar a Internet por meio da instância NAT usando ainstância NAT como um servidor bastion. Para isso, atualize as regras de security group da instância NATpara permitir tráfego ICMP de entrada e saída e permitir tráfego SSH de saída, execute a instância em suasub-rede privada, configure o encaminhamento de agente SSH para acessar as instâncias em sua sub-rede privada, conecte-se à sua instância e teste a conectividade com a Internet.
Para atualizar o security group de sua instância NAT
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, selecione Security Groups (Grupos de segurança).3. Encontre o security group associado à sua instância NAT e escolha Edit na guia Inbound.4. Escolha Add Rule (Adicionar regra), selecione All ICMP - IPv4 (Todo ICMP - IPv4) na lista Type (Tipo)
e Custom (Personalizada) na lista Source (Origem). Insira o intervalo de endereços IP para sua sub-rede privada; por exemplo 10.0.1.0/24. Escolha Salvar.
250
Amazon Virtual Private Cloud Guia do usuárioInstâncias NAT
5. Na guia Outbound, escolha Edit.6. Escolha Add Rule (Adicionar regra), selecione SSH na lista Type (Tipo) e Custom (Personalizada)
na lista Source (Origem). Insira o intervalo de endereços IP para sua sub-rede privada; por exemplo10.0.1.0/24. Escolha Salvar.
7. Escolha Add Rule (Adicionar regra), selecione All ICMP - IPv4 (Todo ICMP - IPv4) na lista Type (Tipo)e Custom (Personalizado) na lista Destination (Destino). Insira 0.0.0.0/0 e escolha Save.
Para executar uma instância em sua sub-rede privada
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, escolha Instances (Instâncias).3. Execute uma instância em sua sub-rede privada. Para obter mais informações, consulte Inicialização
de uma instância em sua sub-rede (p. 94). Lembre-se de configurar as opções a seguir no assistentede execução e escolha Launch:
• Na página Choose an Amazon Machine Image (AMI), selecione Amazon Linux AMI na categoriaQuick Start.
• Na página Configure Instance Details, selecione sua sub-rede privada na lista Subnet e não atribuaum endereço IP público à sua instância.
• Na página Configure Security Group, seu security group deve incluir uma regra de entrada quepermita acesso SSH do endereço IP privado de sua instância NAT ou do intervalo de endereços IPde sua sub-rede pública e deve haver uma regra de saída que permita tráfego ICMP de saída.
• Na caixa de diálogo Select an existing key pair or create a new key pair, selecione o mesmo par dechaves usado para executar a instância NAT.
Para configurar o encaminhamento de agente SSH para Linux ou OS X
1. Em seu computador local, adicione sua chave privada para o agente de autenticação.
Para o Linux, use o comando a seguir:
ssh-add -c mykeypair.pem
Para o OS X, use o comando a seguir:
ssh-add -K mykeypair.pem
2. Conecte-se à sua instância NAT usando a opção -A para permitir encaminhamento de agente SSH;por exemplo:
ssh -A [email protected]
Para configurar o encaminhamento de agente SSH para Windows (PuTTY)
1. Faça download e instale o Pageant na página de download PuTTY, se ele ainda não estiver instalado.2. Converta sua chave privada no formato .ppk. Para obter mais informações, consulte Converting Your
Private Key Using PuTTYgen.3. Inicie o Pageant, clique com o botão direito no ícone do Pageant na barra de tarefas (ele pode estar
oculto) e escolha Add Key. Selecione o arquivo .ppk que você criou, insira a senha se necessário eescolha Open.
4. Inicie uma seção PuTTY para se conectar à sua instância NAT. Na categoria Auth, selecione a opçãoAllow agent forwarding e deixe o campo Private key file for authentication vazio.
251
Amazon Virtual Private Cloud Guia do usuárioComparação entre instâncias NAT e gateways NAT
Para testar a conexão com a Internet
1. Teste se sua instância NAT consegue se comunicar com a Internet executando o comando ping paraum site habilitado para ICMP; por exemplo:
ping ietf.org
PING ietf.org (4.31.198.44) 56(84) bytes of data.64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=48 time=74.9 ms64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=48 time=75.1 ms...
Pressione Ctrl+C no teclado para cancelar o comando ping.2. Em sua instância NAT, conecte-se à sua instância na sub-rede privada usando o respectivo endereço
IP privado; por exemplo:
3. Em sua instância privada, teste se você consegue se conectar à Internet executando o comandoping:
ping ietf.org
PING ietf.org (4.31.198.44) 56(84) bytes of data.64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=47 time=86.0 ms64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=47 time=75.6 ms...
Pressione Ctrl+C no teclado para cancelar o comando ping.
Se o comando ping falhar, verifique as seguintes informações:
• Verifique se as regras de security group de sua instância NAT permitem tráfego ICMP de entrada desua sub-rede privada. Se não, sua instância NAT não conseguirá receber o comando ping de suainstância privada.
• Verifique se você configurou corretamente as tabelas de rotas. Para obter mais informações,consulte Atualização da tabela de rotas principal (p. 250).
• Lembre-se de desativar a verificação de origem/destino para sua instância NAT. Para obter maisinformações, consulte Como desativar as verificações de origem/destino (p. 249).
• Lembre-se também de que você deve executar ping em um site habilitado para ICMP. Se não, vocênão receberá pacotes de resposta. Para testar, execute o mesmo comando ping no terminal delinha de comando de seu computador.
4. (Opcional) Encerre sua instância privada se não precisar mais dela. Para obter mais informações,consulte Encerrar sua instância no Guia do usuário do Amazon EC2 para instâncias do Linux.
Comparação entre instâncias NAT e gateways NATA seguir se encontra um resumo detalhado das diferenças entre instâncias NAT e gateways NAT.
Atributo gateway NAT Instância do NAT
DisponibilidadeAltamente disponível. Em cada Zona dedisponibilidade são implementados gateways
Use um script para gerenciar o failoverentre as instâncias.
252
Amazon Virtual Private Cloud Guia do usuárioComparação entre instâncias NAT e gateways NAT
Atributo gateway NAT Instância do NATNAT com redundância. Crie um gatewayNAT em cada Zona de disponibilidade paraassegurar uma arquitetura independente dezona.
Largurade banda
Pode escalar até 45 Gbps. Depende da largura de banca do tipo dainstância.
ManutençãoGerenciado pela AWS. Não há necessidadede realizar manutenção.
Gerenciada por você. Por exemplo,instalação de atualizações de softwareou patches de sistema operacional nainstância.
DesempenhoO software é otimizado por meio dogerenciamento do tráfego NAT.
Uma Amazon Linux AMI genérica que éconfigurada para executar NAT.
Custos A cobrança depende do número de gatewaysNAT que você usar, do tempo de uso e daquantidade de dados enviados por meio dosgateways NAT.
A cobrança depende do número deinstâncias NAT que você usar, do tempo deuso e do tipo e tamanho da instância.
Tipo etamanho
Produto invariável; não há necessidade detomar decisões sobre tipo nem tamanho.
Escolha um tipo e tamanho adequados deinstância de acordo com sua previsão decarga de trabalho.
EndereçosIPpúblicos
Escolha o endereço IP elástico para associara um gateway NAT no momento de criá-lo.
Use um endereço IP elástico ou umendereço IP público com uma instânciaNAT. Você pode alterar o endereço IPpúblico a qualquer momento associando umnovo endereço IP elástico à instância.
EndereçosIPprivados
Selecionados automaticamente no intervalode endereços IP da sub-rede quando vocêcria o gateway.
Atribua um endereço IP privado específicodo intervalo de endereços IP da sub-redequando você executar a instância.
Securitygroups
Não pode ser associado a um gateway NAT.Você pode associar security groups aos seusrecursos subjacentes ao gateway NAT paracontrolar o tráfego de entrada e de saída.
Associe à sua instância NAT e aos recursossubjacentes à sua instância NAT paracontrolar o tráfego de entrada e de saída.
NetworkACLs
Use uma Network ACL para controlar otráfego para e proveniente da sub-rede naqual seu gateway NAT reside.
Use uma Network ACL para controlar otráfego para e proveniente da sub-rede naqual instância NAT reside.
Logs defluxo
Use logs de fluxo para capturar o tráfego. Use logs de fluxo para capturar o tráfego.
Encaminhamentode portas
Não suportado. Personalize manualmente a configuraçãopara comportar encaminhamento de portas.
Servidoresbastion
Não suportado. Use um servidores bastion.
Métricasde tráfego
Exibir Métricas do CloudWatch para ogateway NAT (p. 240).
Visualizar Métricas do CloudWatch para ainstância.
253
Amazon Virtual Private Cloud Guia do usuárioConjuntos de opções de DHCP
Atributo gateway NAT Instância do NAT
Comportamentodo tempolimite
Quando uma conexão atinge o tempo limite,uma gateway NAT retorna um pacote RST aqualquer recurso subjacente ao gateway NATque tenta dar continuidade à conexão (elenão envia um pacote FIN).
Quando uma conexão atinge o tempo limite,uma instância NAT envia um pacote FINa qualquer recurso subjacente à instânciaNAT para encerrar a conexão.
Fragmentaçãode IP
Comporta encaminhamento de pacotesfragmentados de IP para o protocolo UDP.
Não comporta fragmentação para osprotocolos TCP e ICMP. Os pacotesfragmentados para esses protocolos sãointerrompidos.
Comporta remontagem de pacotes of IPfragmentados para os protocolos UDP, TCPe ICMP.
Conjuntos de opções de DHCPO DHCP (Dynamic Host Configuration Protocol) fornece um padrão para transmitir informações deconfiguração aos hosts em uma rede TCP/IP. O campo options de uma mensagem DHCP contém osparâmetros de configuração. Alguns desses parâmetros são o nome de domínio, o servidor de nomes dedomínio e o netbios-node-type.
Você pode configurar conjuntos de opções DHCP para suas nuvens privadas virtuais (VPCs).
Tópicos• Visão geral dos conjuntos de opções DHCP (p. 254)• Servidor DNS da Amazon (p. 256)• Alteração das opções DHCP (p. 256)• Como trabalhar com conjuntos de opções DHCP (p. 257)• Visão geral sobre API e comando (p. 258)
Visão geral dos conjuntos de opções DHCPAs instâncias do Amazon EC2 que você inicia em uma VPC não padrão são privadas por padrão; elasnão são atribuídas a um endereço público IPv4, a menos que você especificamente atribua um durante ainicialização ou modifique o atributo de endereço IPv4 público da sub-rede. Por padrão, todas as instânciasem uma VPC não padrão recebem um nome de host não resolvido que a AWS atribui (por exemplo,ip-10-0-0-202). Você pode atribuir seu próprio nome de domínio às suas instâncias e usar até quatro deseus próprios servidores DNS. Para fazer isso, você deve especificar um conjunto especial de opçõesDHCP para usar com a VPC.
A tabela a seguir lista todas as opções suportadas para um conjunto de opções DHCP. Você podeespecificar apenas as opções necessárias no seu conjunto de opções DHCP. Para obter mais informaçõessobre as opções, consulte RFC 2132.
Nome da opção DHCP Descrição
domain-name-servers Os endereços IP de até quatro servidores denomes de domínio ou AmazonProvidedDNS. Oconjunto de opções DHCP padrão especifica oAmazonProvidedDNS. Se estiver especificandomais de um servidor de nomes de domínio, separe-
254
Amazon Virtual Private Cloud Guia do usuárioVisão geral dos conjuntos de opções DHCP
Nome da opção DHCP Descriçãoos com vírgulas. Embora você possa especificaraté quatro servidores de nomes de domínio,observe que alguns sistemas operacionais podemimpor limites inferiores.
Se você deseja que sua instância recebaum nome de host DNS personalizado comoespecificado em domain-name, é necessáriodefinir domain-name-servers para um servidorDNS personalizado.
domain-name Se você estiver usando AmazonProvidedDNSem us-east-1, especifique ec2.internal.Se você estiver usando AmazonProvidedDNSem outra região, especifique aregião.compute.internal (por exemplo, ap-northeast-1.compute.internal). Casocontrário, especifique um nome de domínio (porexemplo, example.com). Este valor é usado paracompletar nomes de host DNS não qualificados.Para obter mais informações sobre os nomes dehost do DNS e suporte a DNS na VPC, consulteComo usar DNS com sua VPC (p. 259)
Important
Alguns sistemas operacionais Linuxaceitam vários nomes de domínioseparados por espaços. No entanto,outros sistemas operacionais Linuxe Windows tratam o valor como umdomínio único, o que resulta emum comportamento inesperado. Seo seu conjunto de opções DHCPestiver associado a uma VPC quetenha instâncias com vários sistemasoperacionais, especifique apenas umnome de domínio.
ntp-servers Os endereços IP de até quatro servidoresNTP (Network Time Protocol). Para obter maisinformações, consulte a seção 8.3 do RFC 2132.
netbios-name-servers Os endereços IP de até quatro servidores denomes NetBIOS.
netbios-node-type O tipo de nó NetBIOS (1, 2, 4 ou 8).Recomendamos que você especifique 2 (ponto aponto ou P-nó). A transmissão e o multicast nãosão compatíveis no momento. Para obter maisinformações sobre esses tipos de nó, consultea seção 8.7 do RFC 2132 e a seção 10 do RFC1001.
255
Amazon Virtual Private Cloud Guia do usuárioServidor DNS da Amazon
Servidor DNS da AmazonQuando você cria uma VPC, criamos automaticamente um conjunto de opções DHCP e as associamosa VPC. Esse conjunto inclui duas opções: domain-name-servers=AmazonProvidedDNS e domain-name=domain-name-for-your-region. O AmazonProvidedDNS é um servidor DNS da Amazon e estaopção habilita o DNS para instâncias que precisam se comunicar através do Gateway da Internet da VPC.A string AmazonProvidedDNS mapeia para um servidor DNS executado em um endereço IP reservado nabase do intervalo de rede IPv4 da VPC, mais dois. Por exemplo, o servidor DNS em uma rede 10.0.0.0/16está localizado em 10.0.0.2. Para VPCs com vários blocos CIDR IPv4, o endereço IP de servidor DNS estálocalizado no bloco CIDR principal.
Quando você inicia uma instância em uma VPC, fornecemos a instância um nome de host DNS privadoe um nome de host DNS público se a instância recebe um endereço público IPv4. Se domain-name-servers em suas opções DHCP estiverem configurados como AmazonProvidedDNS, o nome de hostDNS público adquirirá o formato ec2-public-ipv4-address.compute-1.amazonaws.com paraa região us-east-1 e ec2-public-ipv4-address.region.compute.amazonaws.com para outrasregiões. O nome do host privado adquire a forma ip-private-ipv4-address.ec2.internal paraa região us-east-1 e ip-private-ipv4-address.region.compute.internal para outras regiões.Para alterá-los para nomes de host DNS personalizados, você deve configurar domain-name-serverspara um servidor DNS personalizado.
O servidor DNS da Amazon em sua VPC é usado para resolver os nomes de domínio DNS que vocêespecifica em uma zona hospedada privada em Route 53. Para obter mais informações sobre zonashospedadas privadas, consulte Trabalhar com zonas hospedadas privadas no Guia do desenvolvedor doAmazon Route 53.
Os serviços que utilizam o framework Hadoop, como o Amazon EMR, requerem instâncias para resolverseus próprios nomes de domínio totalmente qualificados (FQDN). Nesses casos, a resolução do DNS podefalhar se a opção domain-name-servers estiver configurada para um valor personalizado. Para garantiruma resolução de DNS adequada, considere adicionar um encaminhador condicional no seu servidor DNSpara encaminhar consultas para o domínio region-name.compute.internal para o servidor DNSda Amazon. Para obter mais informações, consulte Configuração de uma VPC para hospedar clusters noGuia de gerenciamento do Amazon EMR.
Note
Você pode usar o endereço IP do servidor DNS da Amazon 169.254.169.253, embora algunsservidores não permitam seu uso. O Windows Server 2008, por exemplo, não permite o uso deum servidor DNS localizado no intervalo de rede 169.254.x.x.
Alteração das opções DHCPDepois de criar um conjunto de opções DHCP, você não pode modificá-las. Se você quiser que sua VPCuse um conjunto diferente de opções DHCP, será necessário criar um novo conjunto e associá-lo a suaVPC. Você também pode configurar sua VPC para não usar nenhuma opção DHCP.
Você pode ter vários conjuntos de opções DHCP, mas você pode associar apenas um conjunto de opçõesDHCP a uma VPC por vez. Se você excluir uma VPC, o conjunto de opções DHCP associada a VPCtambém será excluído.
Depois de associar um novo conjunto de opções DHCP a uma VPC, todas as instâncias existentes e todasas novas instâncias que você inicia na VPC usam essas opções. Você não precisa reiniciar ou inicializarnovamente as instâncias. Eles automaticamente recuperam as mudanças dentro de algumas horas,dependendo da frequência com que a instância renova sua concessão DHCP. Caso deseje, é possívelrenovar explicitamente a concessão usando o sistema operacional na instância.
256
Amazon Virtual Private Cloud Guia do usuárioComo trabalhar com conjuntos de opções DHCP
Como trabalhar com conjuntos de opções DHCPEsta seção mostra como trabalhar com conjuntos de opções DHCP.
Tarefas• Criação de um conjunto de opções DHCP (p. 257)• Alteração do conjunto de opções DHCP que uma VPC usa (p. 257)• Alteração de uma VPC para não usar opções DHCP (p. 258)• Exclusão de um conjunto de opções DHCP (p. 258)
Criação de um conjunto de opções DHCPVocê pode criar tantos conjuntos de opções DHCP adicionais quanto quiser. No entanto, você só podeassociar uma VPC a um conjunto de opções DHCP por vez. Depois de criar um conjunto de opçõesDHCP, você deve configurar sua VPC para usá-la. Para obter mais informações, consulte Alteração doconjunto de opções DHCP que uma VPC usa (p. 257).
Para criar um conjunto de opções DHCP
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Conjuntos de opções DHCP e, então, selecione Criar conjuntos de
opções DHCP.3. Na caixa de diálogo, insira valores para as opções que você deseja usar e selecione Yes, Create.
Important
Se a sua VPC tiver um Gateway da Internet, certifique-se de especificar o seu próprioservidor DNS ou o servidor DNS da Amazon (AmazonProvidedDNS) para o valor deServidores de nomes de domínio. Caso contrário, as instâncias que precisam se comunicarcom a Internet não terão acesso ao DNS.
O novo conjunto de opções DHCP aparece na sua lista de opções DHCP.4. Anote o ID do novo conjunto de opções DHCP (dopt-xxxxxxxx). Você precisará disso para associar o
novo conjunto de opções a sua VPC.
Embora você tenha criado um conjunto de opções DHCP, será necessário associá-lo a VPC para que asopções tenham efeito. Você pode criar vários conjuntos de opções DHCP, mas é possível associar apenasum conjunto de opções DHCP a sua VPC ao mesmo tempo.
Alteração do conjunto de opções DHCP que uma VPC usaVocê pode alterar qual o conjunto de opções DHCP que sua VPC usa. Se você desejar que a VPC nãouse opções DHCP, consulte Alteração de uma VPC para não usar opções DHCP (p. 258).
Note
O procedimento a seguir pressupõe que você já criou o conjunto de opções DHCP para o qualdeseja alterar. Caso contrário, crie o conjunto de opções agora. Para obter mais informações,consulte Criação de um conjunto de opções DHCP (p. 257).
Para alterar o conjunto de opções DHCP associado a uma VPC
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.
257
Amazon Virtual Private Cloud Guia do usuárioVisão geral sobre API e comando
2. No painel de navegação, escolha Your VPCs.3. Selecione a VPC e selecione Edit DHCP Options Set na lista Ações.4. Na lista Conjunto de opções DHCP, selecione um conjunto de opções da lista e selecione Save.
Depois de associar um novo conjunto de opções DHCP à VPC, todas as instâncias existentes e todas asnovas instâncias iniciadas nessa VPC usam as opções. Você não precisa reiniciar ou executar novamenteas instâncias. Eles automaticamente recuperam as mudanças dentro de algumas horas, dependendoda frequência com que a instância renova sua concessão DHCP. Se você quiser, é possível renovarexplicitamente a concessão usando o sistema operacional na instância.
Alteração de uma VPC para não usar opções DHCPVocê pode configurar sua VPC para não usar nenhum conjunto de opções DHCP.
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Your VPCs.3. Selecione a VPC e selecione Edit DHCP Options Set na lista Ações.4. Na lista DHCP Options Set, selecione No DHCP Options Set da lista e, em seguida, selecione Save.
Você não precisa reiniciar ou inicializar novamente as instâncias. Eles automaticamente recuperamas mudanças dentro de algumas horas, dependendo da frequência com que a instância renova suaconcessão DHCP. Caso deseje, é possível renovar explicitamente a concessão usando o sistemaoperacional na instância.
Exclusão de um conjunto de opções DHCPQuando você não precisa mais de um conjunto de opções DHCP, use o procedimento a seguir para excluí-lo. A VPC não deve estar usando o conjunto de opções.
Para excluir um conjunto de opções DHCP
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha DHCP Options Sets.3. Selecione o conjunto de opções DHCP para excluir e selecione Excluir.4. Na caixa de diálogo de confirmação, escolha Yes, Delete.
Visão geral sobre API e comandoVocê pode executar as tarefas descritas nesta página usando a linha de comando ou uma API. Para obtermais informações sobre as interfaces de linha de comando e uma lista de APIs disponíveis, consulte Comoacessar a Amazon VPC (p. 8).
Criar um conjunto de opções DHCP para a sua VPC
• create-dhcp-options (AWS CLI)• New-EC2DhcpOption (AWS Tools para Windows PowerShell)
Associar um conjunto de opções DHCP com a VPC especificada ou nenhuma opção DHCP
• associate-dhcp-options (AWS CLI)• Register-EC2DhcpOption (AWS Tools para Windows PowerShell)
258
Amazon Virtual Private Cloud Guia do usuárioDNS
Descreve um ou mais conjuntos de opções DHCP
• describe-dhcp-options (AWS CLI)• Get-EC2DhcpOption (AWS Tools para Windows PowerShell)
Exclui um conjunto de opções DHCP
• delete-dhcp-options (AWS CLI)• Remove-EC2DhcpOption (AWS Tools para Windows PowerShell)
Como usar DNS com sua VPCDomain Name System (DNS) é um padrão por meio do qual os nomes usados na Internet sãodeterminados de acordo com os endereços IP correspondentes. O nome de host DNS é aquele que éatribuído exclusiva e absolutamente a um computador; ele é formado por um nome de host e um nomede domínio. Os servidores de DNS determinam os nomes de host DNS de acordo com os endereços IPcorrespondentes.
Os endereços IPv4 públicos habilitam a comunicação pela Internet, enquanto os endereços IPv4 privadoshabilitam a comunicação na rede da instância (EC2-Classic ou VPC). Para obter mais informações,consulte Endereçamento IP na sua VPC (p. 109).
Fornecemos um servidor de DNS da Amazon. Para usar um servidor de DNS próprio, crie um novoconjunto de opções de DHCP para sua VPC. Para obter mais informações, consulte Conjuntos de opçõesde DHCP (p. 254).
Tópicos• Nomes de host DNS (p. 259)• Suporte a DNS em sua VPC (p. 260)• Limites do DNS (p. 261)• Visualização de nomes de host DNS para a Instância EC2 (p. 261)• Atualização do suporte a DNS para sua VPC (p. 262)• Como usar zonas hospedadas privadas (p. 263)
Nomes de host DNSQuando você executa uma instância em uma VPC padrão, fornecemos à instância nomes de host DNSpúblico e privado que correspondem aos endereços IPv4 públicos e aos endereços IPv4 privados dainstância. Quando você executa uma instância em uma VPC não padrão, fornecemos à instância um nomede host DNS privado e podemos fornecer um nome de host DNS público, dependendo dos atributos deDNS (p. 260) que você especifica para a VPC e de sua instância ter ou não um endereço IPv4 público.
O nome de host DNS privado (interno) fornecido pela Amazon é determinado de acordo com o endereçoIPv4 privado da instância e assume a forma ip-private-ipv4-address.ec2.internal para a regiãous-east-1 e ip-private-ipv4-address.region.compute.internal para outras regiões (ondeprivate-ipv4-address é o endereço IP de consulta inversa). Você pode usar o nome de host DNSprivado para comunicação entre instâncias na mesma rede, mas não podemos determinar o nome de hostDNS fora da rede em que a instância se encontra.
Um nome de host DNS público (externo) assume a forma ec2-public-ipv4-address.compute-1.amazonaws.com para a região us-east-1 e ec2-public-ipv4-address.region.compute.amazonaws.com para outras regiões. Determinamos o nome de host DNS
259
Amazon Virtual Private Cloud Guia do usuárioSuporte a DNS em sua VPC
público de acordo com o endereço IPv4 público da instância fora da rede da instância e com o endereçoIPv4 privado da instância dentro da rede da instância.
Não fornecemos nomes de host DNS para endereços IPv6.
Suporte a DNS em sua VPCSua VPC tem atributos que determinam se sua instância recebe nomes de host DNS públicos e se oservidor de DNS da Amazon comporta resolução de DNS.
Atributo Descrição
enableDnsHostnames Indica se as instâncias executadas na VPCrecebem nomes de host DNS públicos.
Se esse atributo for true, as instâncias na VPCreceberão nomes de host DNS públicos, massomente se o atributo enableDnsSupporttambém for definido como true.
enableDnsSupport Indica se a VPC conta com suporte de resoluçãode DNS.
Se o atributo for false, o servidor de DNSfornecido pela Amazon na VPC que determinanomes de host DNS públicos para endereços IPnão estará habilitado.
Se o atributo for true, haverá consultas aoservidor de DNS fornecido pela Amazon noendereço IP 169.254.169.253 ou no endereço IPreservado na base do intervalo de rede IPv4 daVPC "mais dois". Para obter mais informações,consulte Servidor DNS da Amazon (p. 256).
Se ambos os atributos estiverem definidos como true, ocorrerá o seguinte:
• Sua instância receberá um nome de host DNS público.• O servidor de DNS fornecido pela Amazon poderá determinar nomes de host DNS privados.
Se um ou ambos os atributos estiverem definidos como false, ocorrerá o seguinte:
• Sua instância não recebe um nome de host de DNS público que pode ser visualizado no console doAmazon EC2 ou descrito por uma ferramenta de linha de comando ou um SDK da AWS.
• O servidor de DNS fornecido pela Amazon não poderá determinar nomes de host DNS privados.• Sua instância receberá um nome de host DNS privado personalizado se você tiver especificado um
nome de domínio personalizado em seu conjunto de opções de DHCP (p. 254). Se não estiver usandoo servidor de DNS fornecido pela Amazon, seus servidores de nomes de domínio personalizadosdeverão determinar o nome de host do modo apropriado.
Por padrão, ambos os atributos são definidos como true em uma VPC padrão ou em uma VPC criadapelo assistente. Por padrão, somente o atributo enableDnsSupport é definido como true em uma VPCcriada na página Your VPCs (Suas VPCs) do console da VPC ou por meio da AWS CLI, API ou SDK daAWS.
260
Amazon Virtual Private Cloud Guia do usuárioLimites do DNS
Important
Se você usar nomes de domínio de DNS padronizados, definidos em uma zona hospedadaprivada no Amazon Route 53, os atributos enableDnsHostnames e enableDnsSupportdeverão ser definidos como true.
O servidor de DNS da Amazon pode determinar nomes de host privados para endereços IPv4 privados,para todos os espaços de endereço, inclusive quando o intervalo de endereços IPv4 de sua VPC não seencaixar nos intervalos de endereços IPv4 privados especificados pela RFC 1918.
Important
Se tiver criado sua VPC antes de outubro de 2016, o servidor de DNS da Amazon não poderádeterminar nomes de host DNS privados se o intervalo de endereços IPv4 de sua VPC não seencaixar nos intervalos de endereços IPv4 privados especificados pela RFC 1918. Se desejapermitir que o servidor de DNS da Amazon determine nomes de host DNS privados para essesendereços, entre em contato com o AWS Support.
Se ativar o suporte a nomes de host DNS e DNS em uma VPC que anteriormente não recebia suporte,uma instância que você já tiver executado nessa VPC obterá um nome de host DNS público se tiver umendereço IPv4 público ou um endereço IP elástico.
Limites do DNSCada instância Amazon EC2 limita o número de pacotes que podem ser enviados para o servidor DNSfornecido pela Amazon no número máximo de 1024 pacotes por segundo por interface de rede. Este limitenão pode ser aumentado. O número de consultas DNS por segundo suportado pelo servidor DNS daAmazon varia dependendo do tipo da consulta, do tamanho da resposta e do protocolo em uso. Para obtermais informações e recomendações para uma arquitetura DNS escalável, consulte o whitepaper HybridCloud DNS Solutions for Amazon VPC.
Visualização de nomes de host DNS para a InstânciaEC2Você pode visualizar os nomes de host DNS para uma instância em execução ou uma interface de redeusando o console do Amazon EC2 ou a linha de comando.
InstânciaPara visualizar nomes de host DNS para uma instância por meio do console
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, escolha Instances (Instâncias).3. Selecione sua instância na lista.4. No painel de detalhes, os campos Public DNS (IPv4) e Private DNS exibem os nomes de host DNS,
se aplicável.
Para visualizar nomes de host DNS para uma instância por meio da linha de comando
Você pode usar um dos comandos a seguir. Para obter mais informações sobre essas interfaces de linhade comando, consulte Como acessar a Amazon VPC (p. 8).
• describe-instances (AWS CLI)• Get-EC2Instance (AWS Tools para Windows PowerShell)
261
Amazon Virtual Private Cloud Guia do usuárioAtualização do suporte a DNS para sua VPC
Interface de redePara visualizar o nome de host DNS privado para uma interface de rede por meio do console
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, selecione Network Interfaces.3. Selecione a interface de rede na lista.4. No painel de detalhes, o campo Private DNS (IPv4) DNS privado (IPv4) exibe o nome do host DNS
privado.
Para visualizar nomes de host DNS para uma interface de rede por meio da linha de comando
Você pode usar um dos comandos a seguir. Para obter mais informações sobre essas interfaces de linhade comando, consulte Como acessar a Amazon VPC (p. 8).
• describe-network-interfaces (AWS CLI)• Get-EC2NetworkInterface (AWS Tools para Windows PowerShell)
Atualização do suporte a DNS para sua VPCVocê pode visualizar e atualizar os atributos de suporte a DNS para sua VPC usando o console daAmazon VPC.
Para descrever e atualizar o suporte a DNS para uma VPC por meio do console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Your VPCs.3. Selecione uma VPC na lista.4. Reveja as informações na guia Summary. Nesse exemplo, ambas as configurações estão habilitadas.
5. Para atualizar essas configurações, escolha Actions e Edit DNS Resolution ou Edit DNS Hostnames.Na caixa de diálogo que é aberta, selecione Yes (Sim) ou No (Não) e depois selecione Save (Salvar).
Para descrever um suporte a DNS para uma VPC por meio da linha de comando
Você pode usar um dos comandos a seguir. Para obter mais informações sobre essas interfaces de linhade comando, consulte Como acessar a Amazon VPC (p. 8).
• describe-vpc-attribute (AWS CLI)• Get-EC2VpcAttribute (AWS Tools para Windows PowerShell)
Para atualizar um suporte a DNS para uma VPC por meio da linha de comando
Você pode usar um dos comandos a seguir. Para obter mais informações sobre essas interfaces de linhade comando, consulte Como acessar a Amazon VPC (p. 8).
• modify-vpc-attribute (AWS CLI)• Edit-EC2VpcAttribute (AWS Tools para Windows PowerShell)
262
Amazon Virtual Private Cloud Guia do usuárioComo usar zonas hospedadas privadas
Como usar zonas hospedadas privadasSe desejar acessar recursos em sua VPC usando nomes de domínio de DNS personalizados, comoexemplo.com, em vez de endereços IPv4 privados ou nomes de host DNS privados fornecidos pelaAWS, você pode criar uma zona hospedada privada no Route 53. Uma zona hospedada privada é umcontêiner que contém informações sobre como você deseja rotear o tráfego para um domínio e seussubdomínios dentro de uma ou mais VPCs sem expor seus recursos à Internet. Desse modo, você podecriar conjuntos de registros de recursos no Route 53, que determinam como o Route 53 responderá aconsultas para seu domínio e subdomínios. Por exemplo, se desejar que as solicitações de navegadorpara exemplo.com sejam roteadas para um servidor web em sua VPC, você criará um registro A em suazona hospedada privada e especificará o endereço IP desse servidor web. Para obter mais informaçõessobre como criar uma zona hospedada privada, consulte Trabalhar com zonas hospedadas privadas noGuia do desenvolvedor do Amazon Route 53.
Para acessar recursos usando nomes de domínio de DNS personalizados, você deve estar conectadoa uma instância dentro da VPC. Em sua instância, você pode testar se seu recurso na zona hospedadaprivada pode ser acessado pelo respectivo nome de DNS personalizado usando o comando ping; porexemplo, ping mywebserver.example.com. (É essencial que as regras de security group de suainstância permitam tráfego ICMP de entrada para que o comando ping funcione.)
Você pode acessar uma zona hospedada privada de uma instância do EC2-Classic que esteja vinculadaà sua VPC usando o ClassicLink, desde que sua VPC tenha permissão para receber suporte do DNSClassicLink. Para obter mais informações, consulte Habilitar suporte a DNS ClassicLink no Guia do usuáriodo Amazon EC2 para instâncias do Linux. Do contrário, as zonas hospedadas privadas não comportarãorelações temporárias fora da VPC; por exemplo, você não pode acessar seus recursos usando nomes deDNS privados do outro lado de uma conexão VPN.
Important
Se você usar nomes de domínio de DNS padronizados, definidos em uma zona hospedadaprivada no Amazon Route 53, os atributos enableDnsHostnames e enableDnsSupportdeverão ser definidos como true.
Emparelhamento de VPCUma conexão de emparelhamento da VPC é uma conexão de redes entre duas VPCs que permite rotear otráfego entre elas de forma privada. Instâncias em qualquer VPC podem se comunicar umas com as outrascomo se estivessem na mesma rede. Você pode criar uma conexão de emparelhamento da VPC entresuas próprias VPCs, com uma VPC de outra conta da AWS ou com uma VPC em uma região diferente daAWS.
A AWS usa a infraestrutura existente de uma VPC para criar uma conexão de emparelhamento; não é nemum gateway nem uma conexão do , e não depende de uma parte separada do hardware físico. Não há umponto único de falha de comunicação ou um gargalo de largura de banda.
Para obter mais informações sobre como trabalhar com conexões de emparelhamento de VPC e exemplosde cenários nos quais você pode usar uma conexão de emparelhamento de VPC, consulte Amazon VPCPeering Guide.
Endereços Elastic IPUm endereço IP elástico é um endereço IPv4 público estático projetado para computação em nuvemdinâmica. Você pode associar um endereço IP elástico a qualquer instância ou interface de rede paraqualquer VPC em sua conta. Com um endereço IP elástico, você pode mascarar a falha de uma instânciaremapeando rapidamente o endereço para outra instância na VPC. Observe que a vantagem de associar
263
Amazon Virtual Private Cloud Guia do usuárioNoções básicas sobre endereços IP elásticos
o endereço IP elástico a uma interface de rede em vez de diretamente à instância é que é possível movertodos os atributos da interface de rede de uma instância para outra em uma única etapa.
No momento, não oferecemos suporte a endereços IP elásticos para IPv6.
Tópicos• Noções básicas sobre endereços IP elásticos (p. 264)• Como trabalhar com endereços IP elásticos (p. 264)• Visão geral sobre API e CLI (p. 266)
Noções básicas sobre endereços IP elásticosEncontram-se a seguir noções essenciais sobre endereços IP elásticos:
• Primeiro, você aloca um endereço IP elástico para usar em uma VPC e depois o associa a uma instânciana VPC (ele pode ser atribuído a uma única instância por vez).
• O endereço IP elástico é uma propriedade das interfaces de rede. Você pode associar um endereço IPelástico a uma instância atualizando a interface de rede anexada à instância.
• Se você associar um endereço IP elástico à interface de rede eth0 de sua instância, o endereço IPv4público atual (se houver um) será liberado ao grupo de endereços IP públicos da EC2-VPC. Se vocêassociar um endereço IP elástico, em poucos minutos a interface de rede eth0 será automaticamenteatribuída a um endereço IPv4 público. Isso não se aplica se você tiver anexado uma segunda interfacede rede à sua instância.
• Existem diferenças entre um endereço IP elástico usado em uma VPC e um usado no EC2-Classic. Paraobter mais informações, consulte Diferenças entre um endereço IP elástico usado em um EC2-Classic eem um Amazon EC2-VPC no Guia do usuário do Amazon EC2 para instâncias do Linux).
• Também é possível mover um endereço IP elástico de uma instância para outra. A instância pode estarna mesma VPC ou em outra VPC, mas não no EC2-Classic.
• Seus endereços IP elásticos mantêm-se associados à sua conta AWS até o momento em que vocêexpressamente os libera.
• Para garantir o uso eficiente dos endereços IP elásticos, aplicamos uma pequena cobrança por horaquando eles não estão associados a uma instância em execução ou quando eles estão associados auma instância encerrada ou a uma interface de rede desvinculada. Enquanto a instância estiver emexecução, você não será cobrado por um endereço IP elástico associado a essa instância, mas serácobrado por outros endereços IP elásticos associados a ela. Para obter mais informações, consulte asinformações de preço do Amazon EC2.
• Você está limitado a cinco endereços IP elásticos; para ajudar a conservá-los, você pode usar umdispositivo NAT (consulte NAT (p. 228)).
• Os endereços IP elásticos são acessados por meio do Internet Gateway da VPC. Se você configurouuma conexão do entre sua VPC e sua rede, o tráfego da VPN vai passar pelo gateway privado virtual, enão pelo gateway da Internet e, portanto, não conseguirá acessar o endereço IP elástico.
• Você pode mover um endereço IP elástico alocado para uso na plataforma EC2-Classic para aplataforma VPC. Para obter mais informações, consulte Migrar um endereço IP elástico do EC2-Classicpara o EC2-VPC no Guia do usuário do Amazon EC2.
• Você pode aplicar uma tag em um endereço IP elástico que é alocado para uso na VPC. No entanto, astags de alocação de custo não são compatíveis. Se você recupera um endereço IP elástico, as tags nãosão recuperadas.
Como trabalhar com endereços IP elásticosÉ possível alocar um endereço IP elástico e depois o associar a uma instância em uma VPC.
264
Amazon Virtual Private Cloud Guia do usuárioComo trabalhar com endereços IP elásticos
Para alocar um endereço IP elástico para uso em uma VPC
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Elastic IPs.3. Escolha Allocate new address.4. Escolha Allocate.
Note
Se sua conta for compatível com o EC2-Classic, escolha primeiro VPC.
Como visualizar endereços IP elásticos
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Elastic IPs.3. Para filtrar a lista exibida, primeiro digite na caixa de pesquisa parte do endereço IP elástico ou o ID da
instância à qual ele é atribuído.
Para associar um endereço IP elástico a uma instância em execução em uma VPC
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Elastic IPs.3. Selecione um endereço IP elástico alocado para ser usado com uma VPC (a coluna Scope tem o valor
vpc) e escolha Actions e depois Associate address.4. Escolha Instance ou Network interface e selecione o ID da instância ou da interface de rede. Selecione
o endereço IP privado ao qual o endereço IP elástico será associado. Escolha Associate.
Note
Uma interface de rede pode ter vários atributos, inclusive um endereço Elastic IP. Você podecriar uma nova interface de rede e anexá-la ou desanexá-la das instâncias em sua VPC.A vantagem de tornar o endereço Elastic IP um atributo da interface de rede em vez deassociá-lo diretamente à instância é que você pode mover todos os atributos da interface derede de uma instância para outra em uma única etapa. Para obter mais informações, consulteInterfaces de rede elástica.
Assim que associar o endereço IP elástico à sua instância, ele receberá um nome de host DNS, se osnomes de host de DNS estiverem habilitados. Para obter mais informações, consulte Como usar DNS comsua VPC (p. 259).
Você pode aplicar tags ao seu endereço IP elástico para ajudar a identificá-lo ou categorizá-lo de acordocom as necessidades da sua organização.
Para aplicar uma tag em um endereço IP elástico
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Elastic IPs.3. Selecione o endereço IP elástico e selecione Tags.4. Selecione Add/Edit Tags, insira as chaves e valores de tag conforme necessário, e selecione Save.
Para alterar a instância à qual um endereço IP elástico será associado, dissocie-o da instância à qual estáassociado no momento e associe-o à nova instância na VPC.
265
Amazon Virtual Private Cloud Guia do usuárioVisão geral sobre API e CLI
Para dissociar um endereço IP elástico
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Elastic IPs.3. Selecione o endereço IP elástico e escolha Actions e Disassociate address.4. Quando solicitado, escolha Disassociate address.
Quando não precisar mais de um endereço IP elástico, é recomendável liberá-lo (o endereço não deveestar associado a uma instância). Você será cobrado pelo endereço IP elástico que estiver alocado parauso com uma VPC e não estiver associado a uma instância.
Para liberar um endereço IP elástico
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Elastic IPs.3. Selecione o endereço IP elástico e escolha Actions e Release addresses.4. Quando solicitado, escolha Release.
Se liberar o endereço IP elástico, você poderá recuperá-lo Não é possível recuperar o endereço IP elásticose ele tiver sido alocado a outra conta da AWS, ou se isso resultar em endereços IP elásticos acima dolimite.
Atualmente, é possível recuperar um endereço IP elástico apenas usando a API do Amazon EC2 ou umaferramenta de linha de comando.
Para recuperar um endereço IP elástico usando a AWS CLI
• Use o comando allocate-address e especifique o endereço IP usando o parâmetro --address.
aws ec2 allocate-address --domain vpc --address 203.0.113.3
Visão geral sobre API e CLIVocê pode executar as tarefas descritas nesta página usando a linha de comando ou uma API. Para obtermais informações sobre as interfaces de linha de comando e uma lista de APIs disponíveis, consulte Comoacessar a Amazon VPC (p. 8).
Adquirir um endereço IP elástico
• allocate-address (AWS CLI)• New-EC2Address (AWS Tools para Windows PowerShell)
Associar um endereço IP elástico a uma instância ou interface de rede
• associate-address (AWS CLI)• Register-EC2Address (AWS Tools para Windows PowerShell)
Descrever um ou mais endereços IP elásticos
• describe-addresses (AWS CLI)• Get-EC2Address (AWS Tools para Windows PowerShell)
266
Amazon Virtual Private Cloud Guia do usuárioVPC Endpoints
Aplicar uma tag em um endereço IP elástico
• create-tags (AWS CLI)• New-EC2Tag (AWS Tools para Windows PowerShell)
Dissociar um endereço IP elástico
• disassociate-address (AWS CLI)• Unregister-EC2Address (AWS Tools para Windows PowerShell)
Liberar um endereço IP elástico
• release-address (AWS CLI)• Remove-EC2Address (AWS Tools para Windows PowerShell)
VPC EndpointsUm VPC endpoint permite que você conecte de forma privada sua VPC aos serviços da AWS compatíveise aos serviços do VPC endpoint desenvolvidos pelo PrivateLink sem exigir um gateway de internet, umdispositivo NAT, uma conexão VPN ou uma conexão do AWS Direct Connect. As instâncias na sua VPCnão exigem que endereços IP públicos se comuniquem com recursos no serviço. O tráfego entre a suaVPC e os outros serviços não deixa a rede da Amazon.
Endpoints são dispositivos virtuais. Eles são componentes de VPC altamente disponíveis, redundantese escalados horizontalmente que permitem a comunicação entre instâncias na sua VPC e serviços semimpor riscos de disponibilidade ou restrições de largura de banda no tráfego da rede.
Há dois tipos de VPC endpoints: endpoints de interface e endpoints de gateway. Crie o tipo de VPCendpoint exigido pelo serviço compatível.
Endpoints da interface (desenvolvido pelo AWS PrivateLink)
Um endpoint da interface (p. 268) é uma interface de rede elástica com um endereço IP privado queserve como ponto de entrada para o tráfego destinado ao serviço compatível. Os seguintes serviços sãosuportados:
• Amazon API Gateway• Amazon CloudWatch• Eventos do Amazon CloudWatch• Amazon CloudWatch Logs• AWS CodeBuild• API do Amazon EC2• API do Elastic Load Balancing• AWS Key Management Service• Amazon Kinesis Data Streams• Tempo de execução do Amazon SageMaker• AWS Secrets Manager• AWS Service Catalog• Amazon SNS• AWS Systems Manager• Serviços do endpoint (p. 296) hospedados por outras contas da AWS
267
Amazon Virtual Private Cloud Guia do usuárioEndpoints de interface
• Serviços compatíveis de parceiros do AWS Marketplace
Endpoints de gateway
Um endpoint de gateway (p. 281) é um gateway de destino para uma rota especificada na tabela derotas, usado para tráfego destinado a um serviço compatível da AWS. Os seguintes serviços da AWS sãosuportados:
• Amazon S3• DynamoDB
Controle do uso do VPC Endpoints
Por padrão, os usuários do IAM não têm permissão para trabalhar com endpoints. Você pode criaruma política de usuário do IAM que dê permissões aos usuários para criar, modificar, descrever eexcluir endpoints. No momento, não oferecemos permissões de recurso para nenhuma ação da APIec2:*VpcEndpoint* ou para a ação ec2:DescribePrefixLists. Você não pode criar uma políticado IAM que fornece permissões aos usuários para usar um endpoint ou lista de prefixos específica. Vejaum exemplo a seguir:
{ "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":"ec2:*VpcEndpoint*", "Resource":"*" } ]}
Interface VPC Endpoints (AWS PrivateLink)Um VPC endpoint de interface (endpoint de interface) permite que você se conecte a serviçosdesenvolvidos pelo AWS PrivateLink. Esses serviços incluem alguns serviços da AWS, serviçoshospedados por outros clientes e parceiros da AWS em suas próprias VPCs (chamados de serviços deendpoint) e serviços compatíveis de parceiros do AWS Marketplace. O proprietário do serviço é o provedordo serviço e você, como entidade principal que cria o endpoint de interface, é o consumidor do serviço.
Os seguintes serviços são suportados:
• Amazon API Gateway• Amazon CloudWatch• Eventos do Amazon CloudWatch• Amazon CloudWatch Logs• AWS CodeBuild• API do Amazon EC2• API do Elastic Load Balancing• AWS Key Management Service• Amazon Kinesis Data Streams• Tempo de execução do Amazon SageMaker• AWS Secrets Manager• AWS Service Catalog• Amazon SNS
268
Amazon Virtual Private Cloud Guia do usuárioEndpoints de interface
• AWS Systems Manager• Serviços do endpoint (p. 296) hospedados por outras contas da AWS• Serviços compatíveis de parceiros do AWS Marketplace
Veja a seguir as etapas gerais para configurar um endpoint de interface:
1. Escolha a VPC na qual criará o endpoint da interface e forneça o nome do serviço da AWS, do serviçode endpoint ou do serviço do AWS Marketplace ao qual você está se conectando.
2. Escolha uma sub-rede na sua VPC para usar o endpoint da interface. Criamos uma interface derede do endpoint na sub-rede. Você pode especificar mais de uma sub-rede em diferentes zonas dedisponibilidade (conforme compatível por serviço) para ajudar a garantir que seu endpoint de interfaceseja resiliente a falhas da zona de disponibilidade. Nesse caso, criamos uma interface de rede doendpoint em cada sub-rede que você especificar.
Note
Uma interface de rede do endpoint é uma interface de rede gerenciada pelo solicitante.Você pode vê-la em sua conta, mas não pode gerenciá-la pessoalmente. Para obter maisinformações, consulte Interfaces de rede elástica.
3. Especifique os security groups a serem associados à interface de rede do endpoint. As regras dosecurity group controlam o tráfego para a interface de rede do endpoint a partir dos recursos na suaVPC. Se você não especificar um security group, associaremos o security group padrão para a VPC.
4. (Opcional; somente serviços da AWS e serviços de parceiros do AWS Marketplace) Habilite o DNSprivado (p. 269) para o endpoint para permitir que você faça solicitações ao serviço usando o nome dehost DNS padrão.
5. Após criar o endpoint de interface, ele estará disponível para uso ao ser aceito pelo provedor deserviços. O provedor de serviços deve configurar o serviço para aceitar solicitações de forma automáticaou manual. Serviços de AWS e serviços de AWS Marketplace costumam aceitar todas as solicitaçõesde endpoint automaticamente. Para mais informações sobre o ciclo de vida de um endpoint, consulteCiclo de vida do endpoint da interface (p. 272).
Os serviços não podem iniciar solicitações para recursos em sua VPC através do endpoint. Um endpointsó retorna respostas ao tráfego iniciado a partir de recursos na sua VPC.
Tópicos• DNS privado (p. 269)• Limitações e propriedades do endpoint de interface (p. 271)• Ciclo de vida do endpoint da interface (p. 272)• Definição de preços para endpoints de interface (p. 273)• Criação de um endpoint de interface (p. 274)• Visualização do seu endpoint de interface (p. 277)• Criação e gerenciamento de uma notificação para um endpoint de interface (p. 278)• Acesso a um serviço por meio de um endpoint da interface (p. 279)• Modificação de um endpoint da interface (p. 280)
DNS privadoQuando você cria um endpoint de interface, nós geramos nomes de host de DNS específicos do endpointque você pode usar para se comunicar com o serviço. Para serviços da AWS e serviços de parceirosdo AWS Marketplace, você tem a opção de habilitar DNS privado para o endpoint. Essa opção associauma zona hospedada privada à sua VPC. A zona hospedada contém um conjunto de registros para onome do DNS padrão do serviço (por exemplo, ec2.us-east-1.amazonaws.com) que se resolve
269
Amazon Virtual Private Cloud Guia do usuárioEndpoints de interface
para os endereços IP privados das interfaces de rede do endpoint na sua VPC. Isso permite que vocêfaça solicitações para o serviço usando o nome de host DNS padrão em vez de nomes de host DNSespecíficos do endpoint. Por exemplo, se os aplicativos existentes fizerem solicitações a um serviço daAWS, eles poderão continuar a fazer solicitações pelo endpoint da interface sem exigir nenhuma alteraçãona configuração.
No diagrama a seguir, você criou um endpoint de interface para o Amazon Kinesis Data Streams e umainterface de rede do endpoint na sub-rede 2. Você não habilitou o DNS privado no endpoint da interface.As instâncias em qualquer sub-rede podem se comunicar com o Amazon Kinesis Data Streams por meiodo endpoint da interface usando um nome de host DNS específico do endpoint (DNS nome B). A instânciana sub-rede 1 pode se comunicar com o Amazon Kinesis Data Streams pelo espaço de endereço IPpúblico na região da AWS usando o nome DNS padrão do serviço (DNS nome A).
No diagrama a seguir, você habilitou o DNS privado para o endpoint. As instâncias em qualquer sub-redepodem se comunicar com o Amazon Kinesis Data Streams por meio do endpoint de interface usando umnome de host DNS específico do endpoint (DNS nome B) ou o nome DNS padrão para o serviço (DNSnome A).
270
Amazon Virtual Private Cloud Guia do usuárioEndpoints de interface
Important
Para usar o DNS privado, você deve definir os seguintes atributos da VPC como true:enableDnsHostnames e enableDnsSupport. Para obter mais informações, consulteAtualização do suporte a DNS para sua VPC (p. 262). Usuários do IAM devem ter permissãopara trabalhar com zonas hospedadas. Para obter mais informações, consulte Autenticação econtrole de acesso para o Route 53.
Limitações e propriedades do endpoint de interfacePara usar endpoints da interface, você precisa estar atento às propriedades e limitações atuais:
• Um endpoint de interface pode ser acessado por meio de conexões com AWS VPN ou conexõescom AWS Direct Connect. Os endpoints da interface podem ser acessados por meio de conexões deemparelhamento de VPC intra-regiões a partir de instâncias do Nitro. Os endpoints da interface podemser acessados por meio de conexões de emparelhamento de VPC inter-regiões a partir de qualquer tipode instância.
• Para cada endpoint de interface, você pode escolher somente uma sub-rede por zona dedisponibilidade.
• Os endpoints da interface não oferecem suporte ao uso das políticas do endpoint. O acesso total aoserviço através do endpoint da interface é habilitado.
• Os serviços podem não estar disponíveis em todas as zonas de disponibilidade por meio de um endpointde interface. Para descobrir quais zonas de disponibilidade são compatíveis, use o comando describe-vpc-endpoint-services ou o console da Amazon VPC. Para obter mais informações, consulte Criação deum endpoint de interface (p. 274).
271
Amazon Virtual Private Cloud Guia do usuárioEndpoints de interface
• As zonas de disponibilidade de sua conta não podem mapear para os mesmos locais que as zonas dedisponibilidade em outra conta. Por exemplo, a zona de disponibilidade us-east-1a pode não ser omesmo local que us-east-1a para outra conta. Para obter mais informações, consulte Conceitos deregião e zona de disponibilidade. Quando você cria um endpoint de interface, ele é criado na zona dedisponibilidade de sua conta.
• Cada endpoint de interface oferece suporte a uma largura de banda de até 10 Gbps por zona dedisponibilidade por padrão. A capacidade adicional pode ser adicionada automaticamente com base nouso.
• Se a network ACL da sub-rede restringe o tráfego, você pode não conseguir enviar tráfego pela interfacede rede do endpoint. Certifique-se de adicionar regras adequadas que permitem o tráfego de e para obloco CIDR da sub-rede.
• Um endpoint de interface é compatível somente com tráfego TCP.• Endpoints são compatíveis somente na mesma região. Você não pode criar um endpoint entre uma VPC
e um serviço em uma região diferente.• Não é possível marcar um endpoint.• Endpoints são compatíveis somente com tráfego de IPv4.• Não é possível transferir um endpoint de uma VPC para outra, nem de um serviço para outro.• Você tem um limite para o número de endpoints criados por você por VPC. Para obter mais informações,
consulte VPC Endpoints (p. 312).
Ciclo de vida do endpoint da interfaceUm endpoint da interface atravessará vários estágios que começam desde que você o cria (a solicitaçãode conexão do endpoint). Em cada estágio, pode haver ações que o consumidor e o prestador do serviçopodem tomar.
272
Amazon Virtual Private Cloud Guia do usuárioEndpoints de interface
As seguintes regras se aplicam:
• Um provedor de serviços pode configurar seus serviços para aceitarem solicitações de endpoint deinterface de forma automática ou manual. Serviços de AWS e serviços de AWS Marketplace costumamaceitar todas as solicitações de endpoint automaticamente.
• Um provedor de serviços não pode excluir um endpoint de interface para seu serviço. Somente oconsumidor do serviço que tiver solicitado a conexão do endpoint da interface poderá excluir o endpointda interface.
• Um provedor de serviços pode rejeitar o endpoint da interface depois que ele for aceito (manual ouautomaticamente) e estiver no estado available.
Definição de preços para endpoints de interfaceVocê é cobrado pela criação e pelo uso de um endpoint de interface a um serviço. Aplicam-se taxas deuso por hora e de processamento de dados. Para obter mais informações, consulte Definição de preço daAmazon VPC.
273
Amazon Virtual Private Cloud Guia do usuárioEndpoints de interface
Criação de um endpoint de interfacePara criar um endpoint de interface, é preciso especificar a VPC na qual você deseja criá-lo e o serviçopara o qual estabelecer a conexão.
Se você estiver se conectando a um serviço da AWS ou um serviço de parceiro do AWS Marketplace,poderá habilitar o DNS privado (p. 269) para o endpoint da interface. Isso permite que você façasolicitações para o serviço usando o nome DNS padrão em vez de nomes de host DNS específicos doendpoint que geramos ao criar o endpoint da interface.
Para obter informações específicas para serviços da AWS, consulte VPC Endpoints (p. 267).
Para criar um endpoint de interface para um serviço da AWS usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Endpoints, Create Endpoint.3. Para Service category, selecione AWS services.4. Para Service Name, escolha o serviço ao qual deseja se conectar. Para Type, verifique se indica
Interface.5. Preencha as informações a seguir e escolha Create endpoint.
• Para VPC, selecione a VPC na qual deseja criar o endpoint.• Para Subnets, selecione as sub-redes (zonas de disponibilidade) nas quais deseja criar interfaces
de rede do endpoint.
Note
Pode não haver suporte para todas as zonas de disponibilidade de todos os serviços daAWS.
• Para Enable Private DNS Name, você tem a opção de marcar a caixa de seleção para habilitar DNSprivado para o endpoint da interface.
Note
Para usar a opção de DNS privado, os seguintes atributos na sua VPC deverão serdefinidos como true: enableDnsHostnames e enableDnsSupport. Para obter maisinformações, consulte Atualização do suporte a DNS para sua VPC (p. 262).
• Para Security group, selecione os security groups para associar às interfaces de rede do endpoint.
Para criar um endpoint de interface para um serviço de endpoint, você deve ter o nome do serviço ao qualdeseja se conectar. O provedor de serviços pode lhe fornecer o nome.
Para criar um endpoint de interface para um serviço de endpoint
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Endpoints, Create Endpoint.3. Para Service category, escolha Find service by name.4. Para Service Name, insira o nome do serviço (por exemplo, com.amazonaws.vpce.us-
east-1.vpce-svc-0e123abc123198abc) e escolha Verify.5. Preencha as informações a seguir e escolha Create endpoint.
• Para VPC, selecione a VPC na qual deseja criar o endpoint.• Para Subnets, selecione as sub-redes (zonas de disponibilidade) nas quais deseja criar interfaces
de rede do endpoint.
274
Amazon Virtual Private Cloud Guia do usuárioEndpoints de interface
Note
Pode não haver suporte para todas as zonas de disponibilidade para o serviço.• Para Security group, selecione os security groups para associar às interfaces de rede do endpoint.
Para criar um endpoint de interface para um serviço de parceiro do AWS Marketplace
1. Acesse a página do PrivateLink no AWS Marketplace e inscreva-se em um serviço a partir de umsoftware como um provedor de serviços (SaaS). Entre os serviços compatíveis com os endpoints dainterface está a opção de se conectar via endpoint.
2. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.3. No painel de navegação, escolha Endpoints, Create Endpoint.4. Para Service category, escolha Your AWS Marketplace services.5. Escolha o serviço do AWS Marketplace no qual você se inscreveu.6. Preencha as informações a seguir e escolha Create endpoint.
• Para VPC, selecione a VPC na qual deseja criar o endpoint.• Para Subnets, selecione as sub-redes (zonas de disponibilidade) nas quais deseja criar interfaces
de rede do endpoint.
Note
Pode não haver suporte para todas as zonas de disponibilidade para o serviço.• Para Security group, selecione os security groups para associar às interfaces de rede do endpoint.
Para criar um endpoint de interface usando a AWS CLI
1. Use o comando describe-vpc-endpoint-services para obter uma lista de serviços disponíveis. Noresultado apresentado, anote o nome do serviço ao qual se conectar. O campo ServiceType indicase você deve se conectar ao serviço por meio de uma interface ou um endpoint do gateway. O campoServiceName fornece o nome do serviço.
aws ec2 describe-vpc-endpoint-services
{ "ServiceDetails": [ ... { "ServiceType": [ { "ServiceType": "Interface" } ], "PrivateDnsName": "elasticloadbalancing.us-east-1.amazonaws.com", "ServiceName": "com.amazonaws.us-east-1.elasticloadbalancing", "VpcEndpointPolicySupported": false, "Owner": "amazon", "AvailabilityZones": [ "us-east-1a", "us-east-1b", "us-east-1c", "us-east-1d", "us-east-1e", "us-east-1f" ], "AcceptanceRequired": false,
275
Amazon Virtual Private Cloud Guia do usuárioEndpoints de interface
"BaseEndpointDnsNames": [ "elasticloadbalancing.us-east-1.vpce.amazonaws.com" ] }, ...}
2. Para criar um endpoint de interface, use o comando create-vpc-endpoint e especifique o ID da VPC, otipo de VPC endpoint (interface), o nome do serviço, as sub-redes que usarão o endpoint e os gruposde segurança associados às interfaces de rede do endpoint.
O exemplo a seguir cria um endpoint de interface para o serviço Elastic Load Balancing.
aws ec2 create-vpc-endpoint --vpc-id vpc-ec43eb89 --vpc-endpoint-type Interface --service-name com.amazonaws.us-east-1.elasticloadbalancing --subnet-id subnet-abababab --security-group-id sg-1a2b3c4d
{ "VpcEndpoint": { "PolicyDocument": "{\n \"Statement\": [\n {\n \"Action\": \"*\", \n \"Effect\": \"Allow\", \n \"Principal\": \"*\", \n \"Resource\": \"*\"\n }\n ]\n}", "VpcId": "vpc-ec43eb89", "NetworkInterfaceIds": [ "eni-bf8aa46b" ], "SubnetIds": [ "subnet-abababab" ], "PrivateDnsEnabled": true, "State": "pending", "ServiceName": "com.amazonaws.us-east-1.elasticloadbalancing", "RouteTableIds": [], "Groups": [ { "GroupName": "default", "GroupId": "sg-1a2b3c4d" } ], "VpcEndpointId": "vpce-088d25a4bbf4a7abc", "VpcEndpointType": "Interface", "CreationTimestamp": "2017-09-05T20:14:41.240Z", "DnsEntries": [ { "HostedZoneId": "Z7HUB22UULQXV", "DnsName": "vpce-088d25a4bbf4a7abc-ks83awe7.elasticloadbalancing.us-east-1.vpce.amazonaws.com" }, { "HostedZoneId": "Z7HUB22UULQXV", "DnsName": "vpce-088d25a4bbf4a7abc-ks83awe7-us-east-1a.elasticloadbalancing.us-east-1.vpce.amazonaws.com" }, { "HostedZoneId": "Z1K56Z6FNPJRR", "DnsName": "elasticloadbalancing.us-east-1.amazonaws.com" } ] }}
276
Amazon Virtual Private Cloud Guia do usuárioEndpoints de interface
Como alternativa, o exemplo a seguir cria um endpoint de interface para um serviço de endpoint emoutra conta da AWS (o provedor de serviços fornece a você o nome do serviço de endpoint).
aws ec2 create-vpc-endpoint --vpc-id vpc-ec43eb89 --vpc-endpoint-type Interface --service-name com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc --subnet-id subnet-abababab --security-group-id sg-1a2b3c4d
No resultado apresentado, anote os campos DnsName. Você pode usar esses nomes de DNS paraacessar o serviço da AWS.
Para descrever os serviços disponíveis usando o AWS Tools para Windows PowerShell ou a API
• Get-EC2VpcEndpointService (AWS Tools para Windows PowerShell)• DescribeVpcEndpointServices (API de consulta do Amazon EC2)
Para criar um VPC endpoint usando o AWS Tools para Windows PowerShell ou a API
• New-EC2VpcEndpoint (AWS Tools para Windows PowerShell)• CreateVpcEndpoint (API de consulta do Amazon EC2)
Visualização do seu endpoint de interfaceDepois de criar um endpoint de interface, você poderá visualizar informações sobre ele.
Para visualizar informações sobre o endpoint da interface usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Endpoints e selecione o endpoint da interface.3. Para visualizar informações sobre o endpoint da interface, escolha Details. O campo DNS Names
exibe os nomes de DNS a serem usados para acessar o serviço.4. Para ver as sub-redes nas quais o endpoint de interface foi criado e o ID da interface de rede do
endpoint em cada sub-rede, escolha Subnets.5. Para ver os security groups associados à interface de rede do endpoint, escolha Security Groups.
Para descrever seu endpoint de interface usando a AWS CLI
• Você pode descrever seu endpoint usando o comando describe-vpc-endpoints.
aws ec2 describe-vpc-endpoints --vpc-endpoint-ids vpce-088d25a4bbf4a7abc
Para descrever seus VPC endpoints usando o AWS Tools para Windows PowerShell ou API
• Get-EC2VpcEndpoint (AWS Tools para Windows PowerShell)• DescribeVpcEndpoints (API de consulta do Amazon EC2)
277
Amazon Virtual Private Cloud Guia do usuárioEndpoints de interface
Criação e gerenciamento de uma notificação para um endpointde interfaceVocê pode criar uma notificação para receber alertas para eventos específicos que ocorrem no endpointda sua interface. Por exemplo, você pode receber um e-mail quando o endpoint da interface for aceito peloprovedor de serviços. Para criar uma notificação, é preciso associar um tópico do Amazon SNS a ela. Vocêpode se inscrever no tópico do SNS para receber uma notificação por e-mail quando ocorrer um evento doendpoint.
O tópico do Amazon SNS que você usar para notificações deve ter uma política de tópicos que permitaque o serviço de VPC endpoint da Amazon publique notificações em seu nome. Certifique-se de incluira declaração a seguir na sua política de tópicos. Para obter mais informações, consulte Gerenciamentode acesso aos tópicos do seu Amazon SNS no Guia do desenvolvedor do Amazon Simple NotificationService.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpce.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:account:topic-name" } ]}
Para criar uma notificação para um endpoint da interface
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Endpoints e selecione o endpoint da interface.3. Escolha Actions, Create notification.4. Escolha o ARN para o tópico do SNS a ser associado à notificação.5. Para Events, selecione os eventos do endpoint para os quais deseja receber notificações.6. Escolha Create Notification.
Depois de criar uma notificação, você pode alterar o tópico do SNS associado a ela ou especificar eventosde endpoint diferentes para a notificação.
Para modificar uma notificação para um serviço de endpoint
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Endpoints e selecione o endpoint da interface.3. Escolha Actions, Modify Notification.4. Especifique o ARN do tópico do SNS e altere os eventos do endpoint conforme necessário.5. Escolha Modify Notification.
Se você não precisar mais da notificação, exclua-a.
Para excluir uma notificação
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.
278
Amazon Virtual Private Cloud Guia do usuárioEndpoints de interface
2. No painel de navegação, escolha Endpoints e selecione o endpoint da interface.3. Escolha Actions, Delete notification.4. Selecione Sim, excluir.
Para criar e gerenciar uma notificação usando a AWS CLI
1. Para criar uma notificação para um endpoint da interface, use o comando create-vpc-endpoint-connection-notification e especifique o ARN do tópico do SNS, os eventos para os quais você desejaser notificado e o ID do endpoint; por exemplo:
aws ec2 create-vpc-endpoint-connection-notification --connection-notification-arn arn:aws:sns:us-east-2:123456789012:EndpointNotification --connection-events Accept Reject --vpc-endpoint-id vpce-123abc3420c1931d7
2. Para visualizar suas notificações, use o comando describe-vpc-endpoint-connection-notifications:
aws ec2 describe-vpc-endpoint-connection-notifications
3. Para alterar o tópico do SNS ou os eventos do endpoint para a notificação, use o comando modify-vpc-endpoint-connection-notification; por exemplo:
aws ec2 modify-vpc-endpoint-connection-notification --connection-notification-id vpce-nfn-008776de7e03f5abc --connection-events Accept --connection-notification-arn arn:aws:sns:us-east-2:123456789012:mytopic
4. Para excluir uma notificação, use o comando delete-vpc-endpoint-connection-notifications:
aws ec2 delete-vpc-endpoint-connection-notifications --connection-notification-ids vpce-nfn-008776de7e03f5abc
Acesso a um serviço por meio de um endpoint da interfaceDepois de criar um endpoint da interface, você pode enviar solicitações para o serviço compatível por meiode um URL do endpoint. É possível usar o seguinte:
• O nome de host do DNS regional específico do endpoint que geramos para o endpoint da interface.O nome de host inclui um identificador exclusivo do endpoint, um identificador de serviço, a região evpce.amazonaws.com no nome; por exemplo, vpce-0fe5b17a0707d6abc-29p5708s.ec2.us-east-1.vpce.amazonaws.com
• O nome de host do DNS de zona específico do endpoint que geramos para cada zona dedisponibilidade na qual o endpoint está disponível. O nome de host inclui a zona de disponibilidadeno nome; por exemplo, vpce-0fe5b17a0707d6abc-29p5708s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com Você pode usar essa opção se sua arquitetura isolar zonas dedisponibilidade (por exemplo, para contenção de falhas ou para reduzir custos de transferência de dadosregional).
Note
Uma solicitação ao nome de host DNS zonal é destinada para o local da zona dedisponibilidade correspondente na conta do provedor de serviço, que não pode ter o mesmonome de zona de disponibilidade que sua conta. Para obter mais informações, consulteConceitos de região e zona de disponibilidade.
• Se você tiver habilitado o DNS privado para o endpoint (uma zona hospedada privada), o nome de hostdo DNS padrão para o serviço AWS para a região; por exemplo, ec2.us-east-1.amazonaws.com.
279
Amazon Virtual Private Cloud Guia do usuárioEndpoints de interface
• O endereço IP privado da interface de rede do endpoint na VPC.
Por exemplo, em uma sub-rede na qual você tem um endpoint de interface para o Elastic Load Balancinge para a qual você não tenha habilitado a opção de DNS privado, use o comando da AWS CLI a seguirde uma instância para descrever seus load balancers. O comando usa o nome de host de DNS regionalespecífico do endpoint para fazer a solicitação via endpoint da interface:
aws elbv2 describe-load-balancers --endpoint-url https://vpce-0f89a33420c193abc-bluzidnv.elasticloadbalancing.us-east-1.vpce.amazonaws.com/
Se você habilitar a opção de DNS privado, não terá que especificar o URL do endpoint na solicitação.A AWS CLI usa o endpoint padrão para o serviço para a região (elasticloadbalancing.us-east-1.amazonaws.com).
Modificação de um endpoint da interfaceVocê pode modificar um endpoint da interface ao alterar a sub-rede em que o endpoint da interface estálocalizado e alterar os security groups associados à interface de rede do endpoint. Se você remover umasub-rede para o endpoint da interface, a interface de rede do endpoint correspondente na sub-rede seráexcluída.
Para alterar as sub-redes para um endpoint de interface
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Endpoints e selecione o endpoint da interface.3. Escolha Actions, Manage Subnets.4. Marque ou desmarque as sub-redes conforme necessário e escolha Modify Subnets.
Para adicionar ou remover security groups associados a um endpoint da interface
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Endpoints e selecione o endpoint da interface.3. Escolha Actions, Manage security groups.4. Marque ou desmarque os security groups conforme necessário e escolha Save.
Para modificar um VPC endpoint usando a AWS CLI
1. Use o comando describe-vpc-endpoints para obter o ID do endpoint da sua interface.
aws ec2 describe-vpc-endpoints
2. O exemplo a seguir usa o comando modify-vpc-endpoint para adicionar uma sub-rede subnet-aabb1122 ao endpoint da interface.
aws ec2 modify-vpc-endpoint --vpc-endpoint-id vpce-0fe5b17a0707d6abc --add-subnet-id subnet-aabb1122
Para modificar um VPC endpoint usando o AWS Tools para Windows PowerShell ou uma API
• Edit-EC2VpcEndpoint (AWS Tools para Windows PowerShell)• ModifyVpcEndpoint (API de consulta do Amazon EC2)
280
Amazon Virtual Private Cloud Guia do usuárioEndpoints de gateway
VPC Endpoints de gatewayPara criar e configurar um endpoint de gateway, siga estas etapas gerais:
1. Especifique a VPC na qual criará o endpoint e o serviço no qual fará a conexão. Um serviço éidentificado por uma lista de prefixos—o nome e o ID de um serviço para uma região. O ID deuma lista de prefixos usa o formato pl-xxxxxxx e o nome de uma lista de prefixos usa o formatocom.amazonaws.<region>.<service>. Use o nome de uma lista de prefixos (nome de serviço)para criar um endpoint.
2. Anexe uma política de endpoint ao seu endpoint que permita o acesso a alguns ou a todos os serviçosaos quais você está se conectando. Para obter mais informações, consulte Usar políticas do Endpointde VPC (p. 294).
3. Especifique uma ou mais tabelas de rotas para controlar o roteamento de tráfego entre sua VPC eo outro serviço. Sub-redes que usam essas tabelas de rotas têm acesso ao endpoint e o tráfego deinstâncias nessas sub-redes para o serviço é encaminhado pelo endpoint.
No diagrama a seguir, instâncias na sub-rede 2 podem acessar o Amazon S3 por um endpoint do gateway.
Você pode criar vários endpoints em uma única VPC, por exemplo, em vários serviços. Você tambémpode criar vários endpoints em um único serviço e usar tabelas de rotas diferentes para aplicar políticas deacesso diferentes de várias sub-redes ao mesmo serviço.
Depois de criar um endpoint, você pode modificar a política de endpoint anexada ao seu endpoint eadicionar ou remover as tabelas de rotas usadas pelo endpoint.
Não há cobrança adicional pelo uso de endpoints do gateway. Aplicam-se as cobranças padrão pelatransferência de dados e pela utilização de recursos. Para obter mais informações sobre a definição depreço, consulte Definição de preço do Amazon EC2.
Tópicos• Roteamento para endpoints do gateway (p. 282)
281
Amazon Virtual Private Cloud Guia do usuárioEndpoints de gateway
• Limitações do endpoint do gateway (p. 284)• Endpoints para o Amazon S3 (p. 284)• Endpoints para o Amazon DynamoDB (p. 289)• Criação de um endpoint do gateway (p. 291)• Modificar o security group (p. 293)• Modificação de um endpoint do gateway (p. 293)
Roteamento para endpoints do gatewayAo criar ou modificar um endpoint, você deve especificar as tabelas de rotas de VPC usadas para acessaro serviço pelo endpoint. Uma rota é, automaticamente, adicionada a cada uma das tabelas de rotas comum destino que especifica o ID da lista de prefixos do serviço (pl-xxxxxxxx) e um destino com o ID doendpoint (vpce-xxxxxxxx); por exemplo:
Destino Destino
10.0.0.0/16 Local
pl-1a2b3c4d vpce-11bb22cc
O ID da lista de prefixos representa, logicamente, o intervalo de endereços IP públicos usados peloserviço. Todas as instâncias em sub-redes associadas às tabelas de rotas especificadas automaticamenteusam o endpoint para acessar o serviço; sub-redes que não são associadas às tabelas de rotasespecificadas não usam o endpoint. Isso permite que você mantenha recursos em outras sub-redesseparadas do seu endpoint.
Para visualizar o intervalo de endereço IP público atual para um serviço, você pode usar o comandodescribe-prefix-lists;.
Note
O intervalo de endereços IP públicos para um serviço pode mudar de tempos em tempos. Leveem consideração as implicações antes de fazer o roteamento ou tomar outras decisões baseadasno intervalo de endereço IP atual para um serviço.
As seguintes regras se aplicam:
• Você pode ter várias rotas de endpoint para serviços diferentes em uma tabela de rotas e pode tervárias rotas de endpoint para o mesmo serviço em tabelas de rotas diferentes, mas não pode tervários endpoints para o mesmo serviço em uma única tabela de rotas. Por exemplo, se você tiver doisendpoints para o Amazon S3 em sua VPC, não poderá usar a mesma tabela de rotas para os doisendpoints.
• Você não pode adicionar, modificar ou excluir explicitamente uma rota de endpoint na tabela de rotasusando APIs de tabela de rotas ou a página Route Tables do console da Amazon VPC. Você só podeadicionar uma rota de endpoint associando uma tabela de rotas a um endpoint. Para alterar tabelas derotas associadas ao seu endpoint, você pode modificar o endpoint (p. 293).
• Uma rota de endpoint é, automaticamente, excluída quando você remove a associação da tabela derotas do endpoint (modificando o endpoint) ou quando exclui o endpoint.
Para determinar como o tráfego deve ser roteado, usamos a rota mais específica que corresponde aotráfego (correspondência de prefixo mais longa). Se você possui uma rota existente na tabela de rotas paratodo o tráfego da Internet (0.0.0.0/0) que aponte para um gateway da Internet, a rota de endpoint temprecedência sobre todo o tráfego destinado ao serviço, pois o intervalo de endereço IP do serviço é mais
282
Amazon Virtual Private Cloud Guia do usuárioEndpoints de gateway
específico do que 0.0.0.0/0. O restante do tráfego da Internet vai para o gateway da Internet, incluindo otráfego destinado ao serviço em outras regiões.
Entretanto, se você tem rotas existentes mais específicas para intervalos de endereço IP direcionadospara um gateway da Internet ou dispositivo NAT, essas rotas têm precedência. Entretanto, se você temrotas existentes destinadas a um intervalo de endereço IP idêntico ao intervalo de endereço IP usado peloserviço, suas rotas terão precedência.
Exemplo: uma rota de endpoint em uma tabela de rotas
Neste cenário, você possui uma rota existente na tabela de rotas para todo o tráfego da Internet(0.0.0.0/0) direcionado para um gateway da Internet. Qualquer tráfego da sub-rede destinado a outroserviço da AWS usa o gateway da Internet.
Destino Destino
10.0.0.0/16 Local
0.0.0.0/0 igw-1a2b3c4d
Você cria um endpoint para um serviço da AWS compatível e o associa à tabela de rotas com o endpoint.Uma rota de endpoint é, automaticamente, adicionada à tabela de rotas com um destino pl-1a2b3c4d(suponha que isso representa o serviço para o qual você criou o endpoint). Agora, qualquer tráfego da sub-rede destinado àquele serviço da AWS na mesma região vai para o endpoint e não vai para o gateway daInternet. O restante do tráfego da Internet vai para o gateway da Internet, incluindo o tráfego destinado aoutros serviços e ao serviço da AWS em outras regiões.
Destino Destino
10.0.0.0/16 Local
0.0.0.0/0 igw-1a2b3c4d
pl-1a2b3c4d vpce-11bb22cc
Exemplo: ajustar as tabelas de rotas para endpoints
Neste cenário, você configurou a tabela de rotas para permitir que instâncias na sub-rede secomuniquem com buckets do Amazon S3 por um gateway da Internet. Você adicionou uma rota com54.123.165.0/24 como um destino (suponha que seja um intervalo de endereço IP atualmenteno Amazon S3), e o Gateway da Internet como o alvo. Você cria um endpoint e associa esta tabelade rotas ao endpoint. Uma rota de endpoint é, automaticamente, adicionada à tabela de rotas. Use ocomando describe-prefix-lists para visualizar o intervalo de endereço IP para o Amazon S3. O intervalo é54.123.160.0/19, que é menos específico do que o intervalo direcionado para o gateway da Internet.Isso significa que qualquer tráfego destinado ao intervalo de endereço IP 54.123.165.0/24 continuará ausar o Gateway da Internet e não usará o endpoint (enquanto esse permanecer o intervalo de endereço IPpúblico para o Amazon S3).
Destino Destino
10.0.0.0/16 Local
54.123.165.0/24 igw-1a2b3c4d
pl-1a2b3c4d vpce-11bb22cc
283
Amazon Virtual Private Cloud Guia do usuárioEndpoints de gateway
Para garantir que todo o tráfego destinado ao Amazon S3 na mesma região seja roteado pelo endpoint,é preciso ajustar as rotas da tabela de rotas. Para fazer isso, você pode excluir a rota para o gatewayda Internet. Agora, todo o tráfego para o Amazon S3 na mesma região, usa o endpoint e a sub-redeassociada à tabela de rotas é uma sub-rede privada.
Destino Destino
10.0.0.0/16 Local
pl-1a2b3c4d vpce-11bb22cc
Limitações do endpoint do gatewayPara usar endpoints do gateway, você precisa estar atento às limitações atuais:
• Você não pode usar um ID de lista de prefixos em uma regra de saída de uma Network ACL parapermitir ou negar o tráfego de saída para o serviço especificado em um endpoint. Se as regras daNetwork ACL restringem o tráfego, será preciso especificar o bloco CIDR (intervalo de endereço IP) parao serviço. Mas você pode usar um ID da lista de prefixos em uma regra de security group de saída. Paraobter mais informações, consulte Grupos de segurança (p. 295).
• Endpoints são compatíveis somente na mesma região. Você não pode criar um endpoint entre uma VPCe um serviço em uma região diferente.
• Não é possível marcar um endpoint.• Endpoints são compatíveis somente com tráfego de IPv4.• Não é possível transferir um endpoint de uma VPC para outra, nem de um serviço para outro.• Você tem um limite para o número de endpoints criados por você por VPC. Para obter mais informações,
consulte VPC Endpoints (p. 312).• Não é possível estender conexões de endpoint para fora de uma VPC. Recursos do outro lado de uma
conexão VPN, uma conexão de emparelhamento de VPC, uma conexão do AWS Direct Connect ou umaconexão ClassicLink na sua VPC não podem usar o endpoint para se comunicarem com recursos noserviço de endpoint.
• Você precisa habilitar a resolução DNS na VPC ou, se estiver usando seu próprio servidor DNS,certifique-se de que as solicitações DNS ao serviço exigido (como um Amazon S3) sejam solucionadascorretamente nos endereços IP mantidos pela AWS. Para obter mais informações, consulte Como usarDNS com sua VPC (p. 259) e AWS Intervalos de endereços IP no Referência geral do Amazon WebServices.
Para obter mais informações sobre regras e limitações específicas do Amazon S3, consulte Endpoints parao Amazon S3 (p. 284).
Para obter mais informações sobre regras e limitações específicas do DynamoDB, consulte Endpoints parao Amazon DynamoDB (p. 289).
Endpoints para o Amazon S3Caso já tenha configurado o acesso aos seus recursos do Amazon S3 a partir da sua VPC, você poderácontinuar usando os nomes de DNS do Amazon S3 para acessar esses recursos depois que configurar umendpoint. Entretanto, observe o seguinte:
• Seu endpoint tem uma política que controla o uso do endpoint para acessar recursos do Amazon S3.A política padrão permite acesso por parte de qualquer usuário ou serviço dentro da VPC, por meiode credenciais de qualquer conta da AWS a qualquer recurso do Amazon S3, incluindo recurso doAmazon S3 para uma conta da AWS diferente da conta à qual a VPC está associada. Para obter maisinformações, consulte Controle do acesso a serviços com VPC Endpoints (p. 294).
284
Amazon Virtual Private Cloud Guia do usuárioEndpoints de gateway
• Os endereços IPv4 de origem de instâncias nas suas sub-redes afetadas, tal como recebidos peloAmazon S3, mudam de endereços IPv4 públicos para endereços IPv4 privados na sua VPC. Umendpoint troca as rotas de rede e desconecta conexões TCP abertas. Suas tarefas são interrompidasdurante essa troca e qualquer conexão anterior que use endereços IPv4 públicos não é retomada. Érecomendável não ter nenhuma tarefa essencial em execução ao criar ou modificar um endpoint; ou quevocê faça um teste para verificar se seu software consegue reconectar-se automaticamente ao AmazonS3 após a interrupção da conexão.
• Você não pode usar uma política do IAM ou uma política de bucket para permitir acesso de um intervaloCIDR IPv4 da VPC (o intervalo de endereços IPv4 privados). Os blocos CIDR da VPC podem sercoincidentes ou idênticos, o que pode gerar resultados inesperados. Portanto, você não pode usar acondição aws:SourceIp nas políticas do IAM para solicitações ao Amazon S3 por meio de um VPCendpoint. Isso se aplica a políticas do IAM para usuários e funções e qualquer política de bucket. Seuma declaração incluir a condição aws:SourceIp, o valor não corresponderá a nenhum endereço IP ouintervalo fornecido. Em vez disso, você pode fazer o seguinte:• Use suas tabelas de rotas para controlar quais instâncias podem acessar recursos no Amazon S3 por
meio do endpoint.• Com relação a políticas de bucket, você pode restringir acesso a um endpoint específico ou a uma
VPC específica. Para obter mais informações, consulte Como usar políticas de bucket do AmazonS3 (p. 288).
• No momento, os endpoints não comportam solicitações entre regiões — procure criar seu endpoint namesma região que seu bucket. Você pode encontrar o local de seu bucket usando o console do AmazonS3 ou usando o comando get-bucket-location. Use um endpoint do Amazon S3 específico à regiãopara acessar seu bucket; por exemplo, mybucket.s3-us-west-2.amazonaws.com. Para obtermais informações sobre endpoints específicos à região para o Amazon S3, consulte Amazon SimpleStorage Service (S3) no Referência geral do Amazon Web Services. Se usar a para fazer solicitaçõesao , defina a região padrão como a mesma região do seu bucket ou use o parâmetro AWS CLI em suassolicitações.
Note
Trate a região Padrão dos EUA do Amazon S3 tal como se encontra mapeada para a regiãous-east-1.
• No momento, os endpoints são comportados apenas por tráfego IPv4.
Antes de usar endpoints com o Amazon S3, procure analisar também as limitações gerais a seguir:Limitações do endpoint do gateway (p. 284).
Se usar outros serviços da AWS em sua VPC, eles podem usar buckets do S3 para determinadas tarefas.Verifique se a política de endpoint permite acesso total ao Amazon S3 (a política padrão) ou se ela permiteacesso a buckets específicos que são usados por esses serviços. Alternativamente, basta criar umendpoint em uma sub-rede que não esteja sendo usada por nenhum desses serviços, para permitir que osserviços continuem acessando os buckets do S3 por meio de endereços IP públicos.
A tabela a seguir lista os serviços da AWS que podem ser afetados por um endpoint e qualquer informaçãoespecífica a cada serviço.
Serviço da AWS Observações
Amazon AppStream 2.0 Sua política de endpoint deve permitir acessoaos buckets específicos que são usados peloAppStream 2.0 para armazenar conteúdo deusuário. Para obter mais informações, consultePastas base e VPC Endpoints no Guia dodesenvolvedor do Amazon AppStream 2.0.
285
Amazon Virtual Private Cloud Guia do usuárioEndpoints de gateway
Serviço da AWS Observações
AWS CloudFormation Se tiver recursos em sua VPC que precisemresponder a uma condição de espera ou a umasolicitação de recurso personalizada, sua políticade endpoint deve permitir acesso pelo menos aosbuckets específicos que são usados por essesrecursos. Para obter mais informações, consulteAWS CloudFormation e VPC endpoints.
AWS CodeDeploy Sua política de endpoint deve permitir acessototal ao Amazon S3, ou permitir acesso aqualquer bucket do S3 que você tenha criado paraimplantações do AWS CodeDeploy.
Elastic Beanstalk Sua política de endpoint deve permitir acessopelo menos a qualquer bucket do S3 usado paraaplicativos do Elastic Beanstalk. Para obter maisinformações, consulte Usar Elastic Beanstalk como Amazon S3 no Guia do desenvolvedor do AWSElastic Beanstalk.
AWS OpsWorks Sua política de endpoint deve permitir acessopelo menos aos buckets específicos que sãousados pelo AWS OpsWorks. Para obter maisinformações, consulte Executar uma pilha em umaVPC no AWS OpsWorks User Guide.
AWS Systems Manager A política do endpoint deve permitir acessoaos buckets do Amazon S3 usados pelo PatchManager para operações de linha de base depatch na sua região da AWS. Esses bucketscontêm o código que é recuperado e executadoem instâncias pelo serviço de linha de base depatch. Para obter mais informações, consulteConfiguração de VPC endpoints para o SystemsManager no Guia do usuário do AWS SystemsManager.
Para obter uma lista de permissões necessárias dobucket do S3 para as operações do SSM Agent,consulte Permissões mínimas do bucket do S3para o SSM Agent no Guia do usuário do AWSSystems Manager.
Amazon WorkDocs Se você usar um cliente do Amazon WorkDocs noAmazon WorkSpaces ou uma Instância EC2, suapolítica de endpoint deverá permitir acesso total aoAmazon S3.
286
Amazon Virtual Private Cloud Guia do usuárioEndpoints de gateway
Serviço da AWS Observações
Amazon WorkSpaces Amazon WorkSpaces não depende diretamente doAmazon S3. No entanto, se você fornecer acessoà Internet aos usuários do Amazon WorkSpaces,observe que os sites, os e-mails HTML e osserviços de Internet de outras empresas podemdepender do Amazon S3. Garanta que sua políticade endpoint permita acesso total ao Amazon S3para que esses serviços continuem funcionandocorretamente.
O tráfego entre sua VPC e os buckets do S3 não deixa a rede da Amazon.
Como usar políticas de endpoint para o Amazon S3
A seguir encontram-se políticas de endpoint de exemplo para acessar o Amazon S3. Para obter maisinformações, consulte Usar políticas do Endpoint de VPC (p. 294).
Important
Todos os tipos de políticas – políticas de usuário do IAM, políticas de endpoint, políticas debucket do S3 e políticas de ACL do Amazon S3 (se houver) – devem conceder as permissõesnecessárias para o acesso ao Amazon S3 ter êxito.
Example Exemplo: restrição de acesso a um bucket específico
Você pode criar uma política que restrinja o acesso a somente alguns buckets do S3. Isso será útil sehouver outros serviços da AWS em sua VPC que usam buckets do S3. A seguir encontra-se um exemplode política que restringe acesso somente ao my_secure_bucket.
{ "Statement": [ { "Sid": "Access-to-specific-bucket-only", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject" ], "Effect": "Allow", "Resource": ["arn:aws:s3:::my_secure_bucket", "arn:aws:s3:::my_secure_bucket/*"] } ]}
Example Exemplo: permissão de acesso a repositórios da Amazon Linux AMI
Os repositórios da Amazon Linux AMI são buckets do Amazon S3 em cada região. Se desejar que asinstâncias em sua VPC acessem os repositórios por meio de um endpoint, crie uma política de endpointque permita acesso a esses buckets.
A política a seguir permite acesso aos repositórios do Amazon Linux.
{ "Statement": [
287
Amazon Virtual Private Cloud Guia do usuárioEndpoints de gateway
{ "Sid": "AmazonLinuxAMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::packages.*.amazonaws.com/*", "arn:aws:s3:::repo.*.amazonaws.com/*" ] } ]}
A política a seguir permite acesso aos repositórios do Amazon Linux 2.
{ "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" ] } ]}
Como usar políticas de bucket do Amazon S3
Você pode usar políticas de bucket para controlar o acesso a buckets de endpoints específicos ou VPCsespecíficas.
Você não pode usar a condição aws:SourceIp em suas políticas de bucket para solicitações ao AmazonS3 por meio de um VPC endpoint. Essa condição não corresponde a nenhum endereço IP ou intervalo deendereços IP específico e pode produzir um efeito indesejado quando você fizer solicitações ao bucket doAmazon S3. Por exemplo:
• Você tem uma política de bucket com um efeito Deny e uma condição NotIpAddress cuja finalidadeé conceder acesso proveniente somente de um intervalo único ou restrito de endereços IP. Parasolicitações ao bucket por meio de um endpoint, a condição NotIpAddress sempre é correspondidae o efeito da declaração se aplica, supondo que outras restrições na política sejam correspondidas. Oacesso ao bucket é negado.
• Você tem uma política de bucket com um efeito Deny e uma condição IpAddress cuja finalidade énegar acesso somente a um intervalo único ou restrito de endereços IP. Para solicitações ao bucketpor meio de um endpoint, a condição não é correspondida e a declaração não se aplica. O acesso aobucket é permitido, supondo que haja outras declarações que permitam acesso sem uma IpAddresscondição.
Ajuste sua política de bucket para restringir o acesso a uma VPC específica ou, em vez disso, a umendpoint específico.
Para obter mais informações sobre políticas de bucket para o Amazon S3, consulte Usar políticas debucket e políticas de usuário no Guia do desenvolvedor do Amazon Simple Storage Service.
288
Amazon Virtual Private Cloud Guia do usuárioEndpoints de gateway
Example Exemplo: restrição de acesso a um endpoint específico
A seguir encontra-se um exemplo de política de bucket do S3 que permite acesso a um bucket específico,my_secure_bucket, somente do endpoint vpce-1a2b3c4d. Essa política negará todo acesso aobucket se o endpoint especificado não estiver sendo usado. A condição aws:sourceVpce é usadapara especificar o endpoint. A condição aws:sourceVpce não requer um ARN para o recurso do VPCendpoint, somente o ID do endpoint.
{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::my_secure_bucket", "arn:aws:s3:::my_secure_bucket/*"], "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ]}
Example Exemplo: restrição de acesso a uma VPC específica
Você pode criar uma política de bucket que restringe o acesso a uma VPC específica usando a condiçãoaws:sourceVpc. Isso será útil se você tiver vários endpoints configurados na mesma VPC e desejargerenciar o acesso aos buckets do S3 para todos os seus endpoints. A seguir encontra-se um exemplo depolítica que permite que a VPC vpc-111bbb22 acesse my_secure_bucket e seus objetos. Essa políticanegará todo acesso ao bucket se o endpoint a VPC especificada não estiver sendo usada. A condiçãoaws:sourceVpc não requer um ARN para o recurso da VPC, somente o ID da VPC.
{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPC-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::my_secure_bucket", "arn:aws:s3:::my_secure_bucket/*"], "Condition": { "StringNotEquals": { "aws:sourceVpc": "vpc-111bbb22" } } } ]}
Endpoints para o Amazon DynamoDBSe já tiver configurado o acesso às suas tabelas no DynamoDB por meio de sua VPC, poderá continuar aacessá-las tal como normalmente faria depois de configurar um endpoint. Entretanto, observe o seguinte:
289
Amazon Virtual Private Cloud Guia do usuárioEndpoints de gateway
• Seu endpoint tem uma política que controla o uso do endpoint para acessar recursos do DynamoDB. Apolítica padrão permite acesso por qualquer usuário ou serviço dentro da VPC, usando as credenciaisde qualquer conta da AWS a qualquer recurso do DynamoDB. Para obter mais informações, consulteControle do acesso a serviços com VPC Endpoints (p. 294).
• O DynamoDB não comporta políticas de recurso (por exemplo, sobre tabelas). O acesso ao DynamoDBé controlado por meio da política de endpoint e de políticas do IAM para usuários e funções específicasdo IAM.
• Você não pode acessar o Amazon DynamoDB Streams por meio de um VPC endpoint.• No momento, os endpoints não comportam solicitações entre regiões — procure criar seu endpoint na
mesma região que suas tabelas DynamoDB.• Se você usa o AWS CloudTrail para registrar operações do DynamoDB, os arquivos de log contêm o
endereço IP privado da Instância EC2 na VPC e o ID do endpoint para qualquer ação executada pormeio do endpoint.
• Os endereços IPv4 de origem de instâncias nas suas sub-redes afetadas mudam de endereços IPv4públicos para endereços IPv4 privados na sua VPC. Um endpoint troca as rotas de rede e desconectaconexões TCP abertas. Suas tarefas são interrompidas durante essa troca e qualquer conexão anteriorque use endereços IPv4 públicos não é retomada. É recomendável não ter nenhuma tarefa essencial emexecução ao criar ou modificar um endpoint; ou que você faça um teste para verificar se seu softwareconsegue reconectar-se automaticamente ao DynamoDB após a interrupção da conexão.
Antes de usar endpoints com o DynamoDB, procure analisar também as limitações gerais a seguir:Limitações do endpoint do gateway (p. 284).
Como usar políticas de endpoint para o DynamoDBA seguir encontram-se políticas de endpoint de exemplo para acessar o DynamoDB.
Important
Todos os tipos de política — as políticas de usuário do IAM e as políticas de endpoint — devemconceder as permissões necessárias para o acesso ao DynamoDB ter êxito.
Example Exemplo: acesso somente leitura
Você pode criar uma política que restrinja as ações à listagem e descrição de tabelas do DynamoDB pormeio apenas do VPC endpoint.
{ "Statement": [ { "Sid": "ReadOnly", "Principal": "*", "Action": [ "dynamodb:DescribeTable", "dynamodb:ListTables" ], "Effect": "Allow", "Resource": "*" } ]}
Example Exemplo: restrição de acesso a uma tabela específica
Você pode criar uma política que restrinja o acesso a uma tabela específica do DynamoDB. Nesseexemplo, a política de endpoint permite acesso a StockTable somente.
{
290
Amazon Virtual Private Cloud Guia do usuárioEndpoints de gateway
"Statement": [ { "Sid": "AccessToSpecificTable", "Principal": "*", "Action": [ "dynamodb:Batch*", "dynamodb:Delete*", "dynamodb:DescribeTable", "dynamodb:GetItem", "dynamodb:PutItem", "dynamodb:Update*" ], "Effect": "Allow", "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/StockTable" } ]}
Uso de políticas do IAM para controlar o acesso ao DynamoDB
Você pode criar uma política no IAM para usuários, grupos ou funções do IAM a fim de restringir o acessoa tabelas do DynamoDB por parte apenas de determinado VPC endpoint. Para isso, você pode usar achave de condição aws:sourceVpce para o recurso de tabela na política do IAM.
Para obter mais informações sobre o gerenciamento de acesso ao DynamoDB, consulte Controle deacesso e autenticação para o Amazon DynamoDB no Guia do desenvolvedor do Amazon DynamoDB.
Example Exemplo: restrição de acesso de um endpoint específico
Nesse exemplo, os usuários não recebem permissão para trabalhar com tabelas do DynamoDB, exceto seacessadas por meio do endpoint vpce-11aa22bb.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessFromSpecificEndpoint", "Action": "dynamodb:*", "Effect": "Deny", "Resource": "arn:aws:dynamodb:region:account-id:table/*", "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } } } ]}
Criação de um endpoint do gatewayPara criar um endpoint, é preciso especificar a VPC na qual você deseja criar o endpoint e o serviço para oqual deseja estabelecer a conexão.
Para criar um endpoint do gateway usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Endpoints, Create Endpoint.3. Para Service Name, escolha o serviço ao qual deseja se conectar. Para criar um endpoint do gateway
para DynamoDB ou Amazon S3, verifique se a coluna Type (Tipo) indica Gateway.4. Preencha as informações a seguir e escolha Create endpoint.
• Para VPC, selecione a VPC na qual deseja criar o endpoint.
291
Amazon Virtual Private Cloud Guia do usuárioEndpoints de gateway
• Para Configure route tables, selecione as tabelas de rotas a serem usadas pelo endpoint. Nósadicionamos automaticamente uma rota que aponta o tráfego destinado ao serviço para o endpointpara as tabelas de rota selecionadas.
• Para Policy, escolha tipo de política. Você pode deixar a opção padrão, Full Access, para permitiracesso completo ao serviço. Ou selecione Custom (Personalizar) e use o AWS Policy Generator(Gerador de políticas) para criar uma política personalizada ou digitar a sua própria política na janelade política.
Depois de criar um endpoint, você poderá visualizar informações sobre ele.
Para visualizar informações sobre o endpoint de um gateway usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Endpoints e selecione o seu endpoint.3. Para visualizar informações sobre o endpoint, escolha Summary. Você pode obter o nome da lista de
prefixos para o serviço na caixa Service.4. Para visualizar informações sobre as tabelas de rotas usadas pelo endpoint, selecione Route Tables.5. Para visualizar a política do IAM anexada ao seu endpoint, escolha Policy (Política).
Note
A guia Policy exibe apenas a política de endpoint. Ela não exibe informações sobre políticasdo IAM para usuários do IAM que têm permissão para trabalhar com endpoints. Ela tambémnão exibe políticas específicas de serviço, por exemplo, políticas de bucket do S3.
Para criar e visualizar um endpoint de interface usando a AWS CLI
1. Use o comando describe-vpc-endpoint-services para obter uma lista de serviços disponíveis.No resultado apresentado, anote o nome do serviço ao qual você deseja se conectar. O camposerviceType indica se você deve se conectar ao serviço por meio de um endpoint da interface ouum endpoint do gateway.
aws ec2 describe-vpc-endpoint-services
{ "serviceDetailSet": [ { "serviceType": [ { "serviceType": "Gateway" } ...
2. Para criar um endpoint de gateway (por exemplo, para o Amazon S3), use o comando create-vpc-endpoint e especifique o ID da VPC, o nome do serviço e as tabelas de rotas que usarão o endpoint.É possível usar o parâmetro --policy-document para especificar uma política personalizada a fimde controlar o acesso ao serviço. Se o parâmetro não for usado, anexaremos uma política padrão quepermite acesso total ao serviço.
aws ec2 create-vpc-endpoint --vpc-id vpc-1a2b3c4d --service-name com.amazonaws.us-east-1.s3 --route-table-ids rtb-11aa22bb
3. Descreva seu endpoint usando o comando describe-vpc-endpoints.
aws ec2 describe-vpc-endpoints
292
Amazon Virtual Private Cloud Guia do usuárioEndpoints de gateway
Para descrever os serviços disponíveis usando o AWS Tools para Windows PowerShell ou a API
• Get-EC2VpcEndpointService (AWS Tools para Windows PowerShell)• DescribeVpcEndpointServices (API de consulta do Amazon EC2)
Para criar um VPC endpoint usando o AWS Tools para Windows PowerShell ou a API
• New-EC2VpcEndpoint (AWS Tools para Windows PowerShell)• CreateVpcEndpoint (API de consulta do Amazon EC2)
Para descrever seus VPC endpoints usando o AWS Tools para Windows PowerShell ou API
• Get-EC2VpcEndpoint (AWS Tools para Windows PowerShell)• DescribeVpcEndpoints (API de consulta do Amazon EC2)
Modificar o security groupSe o security group da VPC associado à sua instância restringir o tráfego de saída, será preciso adicionaruma regra que permita ao tráfego destinado para o serviço da AWS deixar a instância.
Para adicionar uma regra de saída para um endpoint do gateway
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, selecione Security Groups (Grupos de segurança).3. Selecione o security group da VPC, escolha a guia Outbound Rules e Edit.4. Selecione o tipo de tráfego na lista Type e digite o intervalo da porta, se necessário. Por exemplo, se
você usar a instância para recuperar objetos do Amazon S3, escolha HTTPS na lista Type (Tipo).5. A lista Destination (Destino) exibe os nomes e IDs da lista de prefixos para os serviços da AWS.
Escolha o ID da lista de prefixos para o serviço da AWS ou digite-o.6. Escolha Salvar.
Para obter mais informações sobre security groups, consulte Security groups para sua VPC (p. 131).
Para obter o nome da lista de prefixos, o ID e o intervalo de endereços IP para um serviço daAWS usando a linha de comando ou a API
• describe-prefix-lists (AWS CLI)• Get-EC2PrefixList (AWS Tools para Windows PowerShell)• DescribePrefixLists (API de consulta do Amazon EC2)
Modificação de um endpoint do gatewayVocê pode modificar um endpoint de um gateway alterando ou removendo sua política e adicionando ouremovendo as tabelas de rotas usadas pelo endpoint.
Para alterar a política associada a um endpoint do gateway
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Endpoints e selecione o seu endpoint.3. Escolha Actions, Edit policy.
293
Amazon Virtual Private Cloud Guia do usuárioControle do acesso a serviços com VPC Endpoints
4. Você pode escolher Full Access para permitir acesso total. Ou escolha Custom (Personalizar) e useo AWS Policy Generator (Gerador de políticas) para criar uma política personalizada ou digitar a suaprópria política na janela de política. Quando você terminar, selecione Salvar.
Note
Poderá levar alguns minutos para que as alterações de uma política sejam aplicadas.
Para adicionar ou remover tabelas de rotas usadas por um endpoint de gateway
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Endpoints e selecione o seu endpoint.3. Escolha Actions, Manage route tables.4. Marque ou desmarque as tabelas de rotas necessárias e escolha Modify Route Tables (Modificar
tabelas de rotas).
Para modificar um endpoint de gateway usando a AWS CLI
1. Use o comando describe-vpc-endpoints para obter o ID do seu endpoint de gateway.
aws ec2 describe-vpc-endpoints
2. O exemplo a seguir usa o comando modify-vpc-endpoint para associar a tabela de rotas rtb-aaa222bb ao endpoint do gateway e redefinir o documento de políticas.
aws ec2 modify-vpc-endpoint --vpc-endpoint-id vpce-1a2b3c4d --add-route-table-ids rtb-aaa222bb --reset-policy
Para modificar um VPC endpoint usando o AWS Tools para Windows PowerShell ou uma API
• Edit-EC2VpcEndpoint (AWS Tools para Windows PowerShell)• ModifyVpcEndpoint (API de consulta do Amazon EC2)
Controle do acesso a serviços com VPC EndpointsAo criar um endpoint, você pode anexar uma política de endpoint a ele para controlar o acesso ao serviçoao qual está se conectando. Políticas de endpoint devem ser gravadas em formato JSON.
Se você estiver usando um endpoint para o Amazon S3, também poderá usar políticas de bucket doAmazon S3 para controlar o acesso a buckets de endpoints específicos ou de VPCs específicas. Paraobter mais informações, consulte Como usar políticas de bucket do Amazon S3 (p. 288).
Tópicos• Usar políticas do Endpoint de VPC (p. 294)• Grupos de segurança (p. 295)
Usar políticas do Endpoint de VPCUma política de VPC endpoint é uma política de recursos do IAM que você anexa a um endpoint quandocria ou modifica o endpoint. Se você não anexar uma política quando criar um endpoint, anexaremos umapolítica padrão para você que permita o acesso total ao serviço. Uma política de endpoint não substitui
294
Amazon Virtual Private Cloud Guia do usuárioExclusão de um Endpoint de VPC
políticas de usuário do IAM ou políticas específicas de serviço (como políticas de bucket do S3). É umapolítica separada para controlar o acesso do endpoint ao serviço especificado.
Você não pode anexar mais de uma política para um endpoint; entretanto, pode modificar a política emqualquer momento. Observe que, se você modificar uma política, poderá levar alguns minutos para que asalterações sejam aplicadas. Para obter mais informações sobre como gravar políticas, consulte Visão geraldas políticas do IAM no Guia do usuário do IAM.
A política de endpoint pode ser como qualquer política do IAM entretanto, observe o seguinte:
• Somente funcionarão as partes da política relacionadas ao serviço especificado. Você não pode usaruma política de endpoint que permita aos recursos da VPC executarem outras ações; por exemplo,se você adicionar ações do EC2 a uma política de endpoint para um endpoint do Amazon S3 elas nãoserão aplicadas.
• A política deve conter um elemento Principal. Para endpoints de gatewayt, se você especificar o principalno formato "AWS":"AWS-account-ID" ou "AWS":"arn:aws:iam::AWS-account-ID:root", oacesso será concedido somente ao usuário raiz da conta da AWS e não a todos os usuários e funçõesdo IAM para a conta.
• O tamanho de uma política de endpoint não pode exceder 20.480 caracteres (incluindo espaços embranco).
Para obter exemplos de políticas de endpoint, consulte os seguintes tópicos:
• Como usar políticas de endpoint para o Amazon S3 (p. 287)• Como usar políticas de endpoint para o DynamoDB (p. 290)• Use VPC endpoints para AWS CodeBuild. Para obter mais informações, consulte Use VPC endpoints no
Guia do usuário do AWS CodeBuild.
Grupos de segurançaPor padrão, security groups da Amazon VPC permitem todo o tráfego de saída, a menos que você tenha,especificamente, restringido o acesso de saída.
Quando você cria um endpoint de interface, pode associar security groups à interface de rede do endpointcriada na sua VPC. Se você não especificar um security group, o security group padrão para sua VPCestará associado automaticamente à interface de rede do endpoint. Você deve garantir que as regras dosecurity group permitam comunicação entre a interface de rede do endpoint e os recursos da sua VPC quese comunicam com o serviço.
Para um endpoint do gateway, se as regras de saída do security group forem restritas, você deveráadicionar uma regra que permita o tráfego de saída da VPC para o serviço especificado no endpoint. Parafazer isso, você pode usar o ID da lista de prefixos do serviço como destino na regra de saída. Para obtermais informações, consulte Modificar o security group (p. 293).
Exclusão de um Endpoint de VPCCaso não precise mais de um endpoint, você pode excluí-lo. A exclusão de um endpoint de gatewaytambém exclui as rotas de endpoint nas tabelas de rotas usadas pelo endpoint, mas não afeta os securitygroups associados à VPC em que o endpoint reside. A exclusão de um endpoint de interface tambémexclui as interfaces de rede do endpoint.
Para excluir um endpoint
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Endpoints e selecione o seu endpoint.
295
Amazon Virtual Private Cloud Guia do usuárioServiços do VPC endpoint
3. Escolha Actions, Delete Endpoint.4. Na tela de confirmação, escolha Yes, Delete.
Para excluir um VPC endpoint
• delete-vpc-endpoints (AWS CLI)• Remove-EC2VpcEndpoint (AWS Tools para Windows PowerShell)• DeleteVpcEndpoints (API de consulta do Amazon EC2)
Serviços do VPC endpoint (AWS PrivateLink)Você pode criar seu próprio aplicativo na sua VPC e configurá-lo como um serviço habilitado pela AWS(chamado de serviço de endpoint). Outras entidades principais da AWS podem criar uma conexão da VPCao seu serviço de endpoint usando um VPC endpoint da interface (p. 268). Você é o provedor de serviço,e as entidades principais da AWS que criam conexões ao seu serviço são os consumidores do serviço.
Tópicos• Visão geral (p. 296)• Limitações de serviço de endpoint (p. 298)• Criação de uma configuração de serviço do VPC endpoint (p. 299)• Adição e remoção das permissões para seu serviço de endpoint (p. 300)• Mudança das configurações dos Load balancer de redes e de aceitação (p. 301)• Aceitação e rejeição das solicitações de conexão do endpoint da interface (p. 302)• Criação e gerenciamento de uma notificação para um serviço de endpoint (p. 303)• Uso do Proxy Protocol para informações de conexão (p. 305)• Exclusão de uma configuração de serviço de endpoint (p. 305)
Visão geralVeja a seguir as etapas gerais para criar um serviço de endpoint.
1. Crie um Load balancer de rede para seu aplicativo na VPC e configure-o para cada sub-rede (zonade disponibilidade) em que o serviço deve ser disponibilizado. O load balancer recebe solicitaçõesde consumidores de serviços e as roteia para seu serviço. Para obter mais informações, consulteConceitos básicos dos Network Load Balancers no Guia do usuário para Network Load Balancers.Recomendamos que você configure seu serviço em todas as zonas de disponibilidade da região.
2. Crie uma configuração de serviço do VPC endpoint e especifique seu Load balancer de rede.
As informações a seguir são as etapas gerais para permitir que consumidores de serviço se conectem aoserviço.
1. Conceda permissões a consumidores de serviço específicos (contas da AWS, usuários do IAM efunções do IAM) para criar uma conexão com o serviço de endpoint.
2. Um consumidor de serviço ao qual foram concedidas permissões cria um endpoint de interface para seuserviço, se desejar, em cada zona de disponibilidade em que o serviço foi configurado.
3. Para ativar a conexão, aceite a solicitação de conexão do endpoint de interface. Por padrão, solicitaçõesde conexão devem ser aceitas manualmente. No entanto, você pode configurar as configuraçõesde aceitação do serviço de endpoint de modo que todas as solicitações de conexão sejam aceitasautomaticamente.
296
Amazon Virtual Private Cloud Guia do usuárioVisão geral
A combinação de permissões e configurações de aceitação pode ajudar você a controlar quais clientesde serviços (entidades principais da AWS) podem acessar seu serviço. Por exemplo, você pode concederpermissões a entidades principais selecionadas em que você confia e aceitar automaticamente todasas solicitações de conexão ou conceder permissões a um grupo maior de entidades principais e aceitarmanualmente as solicitações de conexão específicas em que você confia.
No diagrama a seguir, o proprietário da conta da VPC B é um provedor de serviços e tem um serviçoem execução nas instâncias da sub-rede B. O proprietário da VPC B tem um endpoint de serviço (vpce-svc-1234) com um Load balancer de rede associado que aponta para as instâncias na sub-rede B comodestinos. As instâncias na sub-rede A da VPC A usam um endpoint de interface para acessar os serviçosna sub-rede B.
Para baixa latência e tolerância a falhas, recomendamos usar um Load balancer de rede com destinosem cada zona de disponibilidade da região da AWS. Para ajudar a obter alta disponibilidade paraconsumidores de serviço que usam nomes de host DNS zonais (p. 279) para acessar o serviço, vocêpode habilitar o balanceamento de carga entre zonas. O balanceamento de carga entre zonas permiteque o load balancer distribua o tráfego entre os destinos registrados em todas as zonas de disponibilidadehabilitadas. Para obter mais informações, consulte Balanceamento de cargas entre zonas no Guiado usuário para Network Load Balancers. Cobranças de transferência de dados regionais podem seraplicadas à sua conta quando o balanceamento de carga entre zonas está ativado.
No diagrama a seguir, o proprietário da VPC B é o provedor de serviços e configurou um Load balancerde rede com destinos em duas zonas de disponibilidade diferentes. O consumidor do serviço (VPC A)criou endpoints de interface nas mesmas duas zonas de disponibilidade em sua VPC. As solicitações aosserviços de instâncias na VPC A podem usar qualquer um dos endpoints de interface.
297
Amazon Virtual Private Cloud Guia do usuárioLimitações de serviço de endpoint
Limitações de serviço de endpointPara usar serviços de endpoint, você precisa estar ciente das regras e limitações atuais:
• Não é possível marcar um serviço de endpoint.• Um serviço de endpoint oferece suporte a tráfego IPv4 somente sobre TCP.• Os consumidores de serviço devem usar os nomes de host de DNS específicos do endpoint para
acessar o serviço de endpoint. Não há suporte para DNS privado. Para obter mais informações, consulteAcesso a um serviço por meio de um endpoint da interface (p. 279).
• Os serviços de endpoint só estarão disponíveis na região da AWS em que forem criados.• Se um serviço de endpoint for associado a vários Load balancer de redes, para uma zona de
disponibilidade específica, uma interface de endpoint estabelecerá uma conexão apenas com um loadbalancer.
• As zonas de disponibilidade de sua conta não podem mapear para os mesmos locais que as zonas dedisponibilidade em outra conta. Por exemplo, a zona de disponibilidade us-east-1a pode não ser omesmo local que us-east-1a para outra conta. Para obter mais informações, consulte Conceitos deregião e zona de disponibilidade. Quando você configura um serviço de endpoint, ele é configurado naszonas de disponibilidade mapeadas para sua conta.
298
Amazon Virtual Private Cloud Guia do usuárioCriação de uma configuração de serviço do VPC endpoint
Criação de uma configuração de serviço do VPCendpointVocê pode criar uma configuração do serviço de endpoint usando o console da Amazon VPC ou a linha decomando. Antes de começar, assegure-se de que você tenha criado um ou mais Load balancer de redesna sua VPC para seu serviço. Para obter mais informações, consulte Conceitos básicos dos Network LoadBalancers no Guia do usuário para Network Load Balancers.
Na configuração, se desejar, especifique que todas as solicitações de conexão do endpoint de interfaceao seu serviço devem ser aceitas manualmente. Você pode criar uma notificação (p. 303) para receberalertas quando houverem solicitações de conexão. Se você não aceita uma conexão, consumidores deserviço não podem acessar o serviço.
Note
Independentemente das configurações de aceitação, os consumidores de serviço também devemter permissões (p. 300) para criar uma conexão ao seu serviço.
Para criar um serviço de endpoint usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Endpoint Services, Create Endpoint Service.3. Para Associate Network Load Balancers, selecione os Load balancer de redes para associar ao
serviço de endpoint.4. Para Require acceptance for endpoint, marque a caixa de seleção para aceitar manualmente
solicitações de conexão ao seu serviço. Se você não selecionar essa opção, as conexões do endpointserão automaticamente aceitas.
5. Escolha Create service.
Após criar uma configuração de serviço de endpoint, adicione permissões para habilitar que consumidoresde serviço criem endpoints de interface para o serviço.
Para criar um serviço de endpoint usando a AWS CLI
• Use o comando create-vpc-endpoint-service-configuration e especifique um ou mais ARNs para seusLoad balancer de redes. Opcionalmente, você pode especificar se é necessária a aceitação para seconectar ao seu serviço.
aws ec2 create-vpc-endpoint-service-configuration --network-load-balancer-arns arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/nlb-vpce/e94221227f1ba532 --acceptance-required
{ "ServiceConfiguration": { "ServiceType": [ { "ServiceType": "Interface" } ], "NetworkLoadBalancerArns": [ "arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/nlb-vpce/e94221227f1ba532" ], "ServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-03d5ebb7d9579a2b3", "ServiceState": "Available", "ServiceId": "vpce-svc-03d5ebb7d9579a2b3",
299
Amazon Virtual Private Cloud Guia do usuárioAdição e remoção das permissões
para seu serviço de endpoint
"AcceptanceRequired": true, "AvailabilityZones": [ "us-east-1d" ], "BaseEndpointDnsNames": [ "vpce-svc-03d5ebb7d9579a2b3.us-east-1.vpce.amazonaws.com" ] }}
Para criar um serviço de endpoint usando o AWS Tools para Windows PowerShell ou o API
• New-EC2VpcEndpointServiceConfiguration (AWS Tools para Windows PowerShell)• CreateVpcEndpointServiceConfiguration (API de consulta do Amazon EC2)
Adição e remoção das permissões para seu serviçode endpointApós criar uma configuração de serviço de endpoint, controle quais consumidores de serviço podem criarum endpoint de interface para se conectar ao serviço. Os consumidores de serviços são as entidadesprincipais do IAM — usuários do IAM, funções do IAM e contas da AWS. Para adicionar ou removerpermissões para uma entidade principal, você precisa do nome de recurso da Amazon (ARN).
• Para uma conta da AWS (e, consequentemente, a todas as entidades principais da conta), o ARN estáno formulário arn:aws:iam::aws-account-id:root.
• Para um usuário específico do IAM, o ARN está no formato arn:aws:iam::aws-account-id:user/user-name.
• Para uma função específica do IAM, o ARN está no formato arn:aws:iam::aws-account-id:role/role-name.
Para adicionar ou remover permissões usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Endpoint Services e selecione seu serviço de endpoint.3. Escolha Actions, Add principals to whitelist.4. Especifique o ARN para a entidade principal à qual deseja adicionar permissões. Para adicionar mais
entidades principais, escolha Add principal. Para remover uma entidade principal, escolha o ícone decruz ao lado da entrada.
Note
Especifique * para adicionar permissões para todas as entidades principais. Isso permite quetodas as entidades principais de todas as contas da AWS criem um endpoint de interfacepara o serviço de endpoint.
5. Escolha Add to Whitelisted principals.6. Para remover uma entidade principal, selecione-a na lista e escolha Delete.
Para adicionar e remover permissões usando a AWS CLI
1. Para adicionar permissões ao seu serviço de endpoint, use o comando modify-vpc-endpoint-service-permissions e o parâmetro --add-allowed-principals para adicionar um ou mais ARNs àsentidades principais.
300
Amazon Virtual Private Cloud Guia do usuárioMudança das configurações dos Load
balancer de redes e de aceitação
aws ec2 modify-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3 --add-allowed-principals '["arn:aws:iam::123456789012:root"]'
2. Para visualizar as permissões que você adicionou ao seu serviço de endpoint, use o comandodescribe-vpc-endpoint-service-permissions.
aws ec2 describe-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3
{ "AllowedPrincipals": [ { "PrincipalType": "Account", "Principal": "arn:aws:iam::123456789012:root" } ]}
3. Para remover permissões do seu serviço de endpoint, use o comando modify-vpc-endpoint-service-permissions e o parâmetro --remove-allowed-principals para remover um ou mais ARNs dasentidades principais.
aws ec2 modify-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3 --remove-allowed-principals '["arn:aws:iam::123456789012:root"]'
Para modificar permissões de serviço do endpoint usando o AWS Tools para Windows PowerShellou o API
• Edit-EC2EndpointServicePermission (AWS Tools para Windows PowerShell)• ModifyVpcEndpointServicePermissions (API de consulta do Amazon EC2)
Mudança das configurações dos Load balancer deredes e de aceitaçãoVocê pode modificar sua configuração de serviço de endpoint ao alterar os Load balancer de redesassociados ao serviço de endpoint e se a aceitação é necessária para as solicitações se conectarem aoserviço de endpoint.
Você não pode dissociar um load balancer se houver endpoints de interface conectados ao serviço deendpoint.
Para alterar os network load balancers para o serviço de endpoint usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Endpoint Services e selecione seu serviço de endpoint.3. Escolha Actions, Associate/Disassociate Network Load Balancers.4. Marque ou desmarque os load balancers conforme necessário e escolha Save.
Para modificar a configuração de aceitação usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Endpoint Services e selecione seu serviço de endpoint.
301
Amazon Virtual Private Cloud Guia do usuárioAceitação e rejeição das solicitaçõesde conexão do endpoint da interface
3. Escolha Actions, Modify endpoint acceptance setting.4. Marque ou desmarque Require acceptance for endpoint e selecione Modify.
Para modificar os load balancers e as configurações de aceitação usando a AWS CLI
1. Para alterar os load balancers para o serviço de endpoint, use o comando modify-vpc-endpoint-service-configuration e o parâmetro --add-network-load-balancer-arn ou --remove-network-load-balancer-arn; por exemplo:
aws ec2 modify-vpc-endpoint-service-configuration --service-id vpce-svc-09222513e6e77dc86 --remove-network-load-balancer-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/nlb-vpce/e94221227f1ba532
2. Para alterar a necessidade ou não da aceitação, use o comando modify-vpc-endpoint-service-configuration e especifique --acceptance-required ou --no-acceptance-required; porexemplo:
aws ec2 modify-vpc-endpoint-service-configuration --service-id vpce-svc-09222513e6e77dc86 --no-acceptance-required
Para modificar uma configuração de serviço de endpoint usando o AWS Tools para WindowsPowerShell ou o API
• Edit-EC2VpcEndpointServiceConfiguration (AWS Tools para Windows PowerShell)• ModifyVpcEndpointServiceConfiguration (API de consulta do Amazon EC2)
Aceitação e rejeição das solicitações de conexão doendpoint da interfaceApós criar um serviço de endpoint, consumidores de serviço aos quais você concedeu uma permissãopodem criar um endpoint de interface para se conectar ao serviço. Para obter mais informações sobrecomo criar um endpoint de interface, consulte Interface VPC Endpoints (AWS PrivateLink) (p. 268).
Se você tiver especificado que a aceitação é necessária para solicitações de conexão, será preciso aceitarou rejeitar manualmente as solicitações de conexão do endpoint da interface para seu serviço de endpoint.Depois que um endpoint de interface for aceito, ele ficará available.
Você pode rejeitar uma conexão do endpoint da interface depois de ela entrar no estado available.
Para aceitar ou rejeitar uma solicitação de conexão usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Endpoint Services e selecione seu serviço de endpoint.3. A guia Endpoint Connections lista as conexões do endpoint que estão com aprovação pendente no
momento. Selecione o endpoint, escolha Actions e selecione Accept endpoint connection request paraaceitar a conexão ou Reject endpoint connection request para rejeitá-la.
Para aceitar ou rejeitar uma solicitação de conexão usando a AWS CLI
1. Para visualizar as conexões do endpoint com aceitação pendente, use o comando describe-vpc-endpoint-connections e filtre pelo estado pendingAcceptance.
302
Amazon Virtual Private Cloud Guia do usuárioCriação e gerenciamento de uma
notificação para um serviço de endpoint
aws ec2 describe-vpc-endpoint-connections --filters Name=vpc-endpoint-state,Values=pendingAcceptance
{ "VpcEndpointConnections": [ { "VpcEndpointId": "vpce-0c1308d7312217abc", "ServiceId": "vpce-svc-03d5ebb7d9579a2b3", "CreationTimestamp": "2017-11-30T10:00:24.350Z", "VpcEndpointState": "pendingAcceptance", "VpcEndpointOwner": "123456789012" } ]}
2. Para aceitar uma solicitação de conexão do endpoint, use o comando accept-vpc-endpoint-connections e especifique o ID do endpoint e o ID do serviço de endpoint.
aws ec2 accept-vpc-endpoint-connections --service-id vpce-svc-03d5ebb7d9579a2b3 --vpc-endpoint-ids vpce-0c1308d7312217abc
3. Para rejeitar uma solicitação de conexão do endpoint, use o comando reject-vpc-endpoint-connections.
aws ec2 reject-vpc-endpoint-connections --service-id vpce-svc-03d5ebb7d9579a2b3 --vpc-endpoint-ids vpce-0c1308d7312217abc
Para aceitar e rejeitar conexões de endpoint usando o AWS Tools para Windows PowerShell ou oAPI
• Confirm-EC2EndpointConnection e Deny-EC2EndpointConnection (AWS Tools para WindowsPowerShell)
• AcceptVpcEndpointConnections e RejectVpcEndpointConnections (API de consulta do Amazon EC2)
Criação e gerenciamento de uma notificação para umserviço de endpointVocê pode criar uma notificação para receber alertas de eventos específicos que ocorram nos endpointsconectados ao seu serviço de endpoint. Por exemplo, você pode receber um e-mail quando umasolicitação do endpoint for aceita ou rejeitada para o serviço de endpoint. Para criar uma notificação, épreciso associar um tópico do Amazon SNS a ela. Você pode se inscrever no tópico do SNS para receberuma notificação por e-mail quando ocorrer um evento do endpoint. Para mais informações, consulte o Guiado desenvolvedor do Amazon Simple Notification Service.
O tópico do Amazon SNS que você usar para notificações deve ter uma política de tópicos que permitaque o serviço de VPC endpoint da Amazon publique notificações em seu nome. Certifique-se de incluira declaração a seguir na sua política de tópicos. Para obter mais informações, consulte Gerenciamentode acesso aos tópicos do seu Amazon SNS no Guia do desenvolvedor do Amazon Simple NotificationService.
{ "Version": "2012-10-17", "Statement": [
303
Amazon Virtual Private Cloud Guia do usuárioCriação e gerenciamento de uma
notificação para um serviço de endpoint
{ "Effect": "Allow", "Principal": { "Service": "vpce.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:account:topic-name" } ]}
Para criar uma notificação para um serviço de endpoint
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Endpoint Services e selecione seu serviço de endpoint.3. Escolha Notifications, Create Notification.4. Escolha o ARN para o tópico do SNS a ser associado à notificação.5. Para Events, selecione os eventos do endpoint para os quais deseja receber notificações.6. Escolha Create Notification.
Depois de criar uma notificação, você pode alterar o tópico do SNS associado a ela ou especificar eventosde endpoint diferentes para a notificação.
Para modificar uma notificação para um serviço de endpoint
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Endpoint Services e selecione seu serviço de endpoint.3. Escolha Notifications, Actions, Modify Notification.4. Especifique o ARN para o tópico do SNS e marque ou desmarque os eventos do endpoint conforme
necessário.5. Escolha Modify Notification.
Se você não precisar mais da notificação, exclua-a.
Para excluir uma notificação
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Endpoint Services e selecione seu serviço de endpoint.3. Escolha Notifications, Actions, Delete Notification.4. Selecione Sim, excluir.
Para criar e gerenciar uma notificação usando a AWS CLI
1. Para criar uma notificação para um serviço de endpoint, use o comando create-vpc-endpoint-connection-notification e especifique o ARN do tópico do SNS, os eventos para os quais você desejaser notificado e o ID do serviço de endpoint; por exemplo:
aws ec2 create-vpc-endpoint-connection-notification --connection-notification-arn arn:aws:sns:us-east-2:123456789012:VpceNotification --connection-events Connect Accept Delete Reject --service-id vpce-svc-1237881c0d25a3abc
{ "ConnectionNotification": {
304
Amazon Virtual Private Cloud Guia do usuárioUso do Proxy Protocol para informações de conexão
"ConnectionNotificationState": "Enabled", "ConnectionNotificationType": "Topic", "ServiceId": "vpce-svc-1237881c0d25a3abc", "ConnectionEvents": [ "Reject", "Accept", "Delete", "Connect" ], "ConnectionNotificationId": "vpce-nfn-008776de7e03f5abc", "ConnectionNotificationArn": "arn:aws:sns:us-east-2:123456789012:VpceNotification" }}
2. Para visualizar suas notificações, use o comando describe-vpc-endpoint-connection-notifications:
aws ec2 describe-vpc-endpoint-connection-notifications
3. Para alterar o tópico do SNS ou os eventos do endpoint para a notificação, use o comando modify-vpc-endpoint-connection-notification; por exemplo:
aws ec2 modify-vpc-endpoint-connection-notification --connection-notification-id vpce-nfn-008776de7e03f5abc --connection-events Accept Reject --connection-notification-arn arn:aws:sns:us-east-2:123456789012:mytopic
4. Para excluir uma notificação, use o comando delete-vpc-endpoint-connection-notifications:
aws ec2 delete-vpc-endpoint-connection-notifications --connection-notification-ids vpce-nfn-008776de7e03f5abc
Para criar e gerenciar uma notificação usando o AWS Tools para Windows PowerShell ou o API
• New-EC2VpcEndpointConnectionNotification, Get-EC2EndpointConnectionNotification, Edit-EC2VpcEndpointConnectionNotification e Remove-EC2EndpointConnectionNotification (AWS Tools paraWindows PowerShell)
• CreateVpcEndpointConnectionNotification, DescribeVpcEndpointConnectionNotifications,ModifyVpcEndpointConnectionNotification e DeleteVpcEndpointConnectionNotifications (API de consultado Amazon EC2)
Uso do Proxy Protocol para informações de conexãoO Load balancer de rede fornece os endereços IP de origem para seu aplicativo (seu serviço). Quandoos consumidores de serviço enviarem tráfego para seu serviço através de um endpoint de interface, osendereços IP de origem fornecidos para seu aplicativo serão os endereços IP privados dos nós do Loadbalancer de rede, e não os endereços IP dos consumidores do serviço.
Se você precisar dos endereços IP dos consumidores do serviço e de seus IDs de endpoint da interfacecorrespondentes, ative o Proxy Protocol no seu load balancer e obtenha os endereços IP do cliente nocabeçalho do Proxy Protocol. Para mais informações, consulte Protocolo Proxy no Guia do usuário paraNetwork Load Balancers.
Exclusão de uma configuração de serviço de endpointVocê pode excluir uma configuração de serviço de endpoint. A exclusão da configuração não exclui oaplicativo hospedado na sua VPC nem os load balancers associados.
305
Amazon Virtual Private Cloud Guia do usuárioClassicLink
Antes de excluir a configuração de serviço de endpoint, você deverá rejeitar qualquer VPC endpointconectado ao serviço que esteja com os status available ou pending-acceptance. Para obter maisinformações, consulte Aceitação e rejeição das solicitações de conexão do endpoint da interface (p. 302).
Para excluir uma configuração do serviço de endpoint usando o console
1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Endpoint Services e selecione o serviço.3. Escolha Actions, Delete.4. Selecione Sim, excluir.
Para excluir uma configuração do serviço de endpoint usando a AWS CLI
• Use o comando delete-vpc-endpoint-service-configurations e especifique o ID do serviço.
aws ec2 delete-vpc-endpoint-service-configurations --service-ids vpce-svc-03d5ebb7d9579a2b3
Para excluir uma configuração de serviço de endpoint usando o AWS Tools para WindowsPowerShell ou o API
• Remove-EC2EndpointServiceConfiguration (AWS Tools para Windows PowerShell)• DeleteVpcEndpointServiceConfigurations (API de consulta do Amazon EC2)
ClassicLinkO ClassicLink permite vincular uma instância do EC2-Classic a uma VPC em sua conta, dentro da mesmaregião. Isso permite que você associe os grupos de segurança da VPC com a instância do EC2-Classic,permitindo a comunicação entre a instância do EC2-Classic e as instâncias na sua VPC usando endereçosIPv4 privados. O ClassicLink remove a necessidade de usar endereços IPv4 públicos ou endereçosIP elásticos para permitir a comunicação entre as instâncias nessas plataformas. Para obter maisinformações sobre endereços IPv4 público e privado, consulte Endereçamento IP na sua VPC (p. 109).
O ClassicLink está disponível para todos os usuários com contas que oferecem suporte à plataforma EC2-Classic e pode ser usado com qualquer instância do EC2-Classic.
Não há cobrança adicional pelo uso do ClassicLink. Aplicam-se as cobranças padrão pela transferência dedados e pela utilização de horas de instância.
Para obter mais informações sobre o ClassicLink e como usá-lo, consulte os seguintes tópicos no Guia dousuário do Amazon EC2:
• ClassicLink Conceitos básicos• ClassicLink Limitações• Trabalhar com o ClassicLink• ClassicLinkVisão geral sobre API e CLI
306
Amazon Virtual Private Cloud Guia do usuário
Conexões VPNÉ possível conectar sua Amazon VPC a redes e usuários remotos usando as seguintes opções deconectividade por VPN:
Opção de conexão VPN Descrição
Crie uma conexão VPN de IPsec entre sua VPC e sua rede remota. Nolado da AWS da conexão do , um gateway privado virtual fornece dois VPNendpoints (túneis) para o failover automático. Configure o gateway do clienteno lado remoto da conexão do . Para obter mais informações, consulte oGuia do usuário do e o Guia de administrador de rede do Amazon VPC.
AWS Client VPN O AWS Client VPN é um serviço de VPN gerenciado no cliente que protegeo acesso aos recursos da AWS na sua rede local. Com ele, é possívelconfigurar um endpoint para garantir a segurança da conexão de clientes pormeio de uma sessão de VPN com TLS. Assim, os clientes podem acessarrecursos na AWS ou locais de qualquer lugar usando uma VPN cliente dotipo OpenVPN. Para obter mais informações, consulte o Guia do usuário doAWS VPN Client.
AWS VPN CloudHub Havendo mais de uma rede remota (por exemplo, várias filiais), você podecriar diversas conexões do por meio do gateway privado virtual, permitindo acomunicação entre as redes. Para obter mais informações, consulte Garantira segurança da comunicação entre os sites, usando VPN CloudHub no Guiado usuário do .
Dispositivo VPN desoftware terceirizado
Você pode criar uma conexão VPN para sua rede remota, usando umainstância do Amazon EC2 na VPC que estiver executando um dispositivoVPN de software. AWS não fornece nem mantém dispositivos VPN desoftware terceirizados, contudo, é possível escolher um dentre os diversosprodutos fornecidos por parceiros e comunidades de código aberto. Encontredispositivos VPN de software terceirizados no AWS Marketplace.
Você também pode usar AWS Direct Connect para criar uma conexão privada de uma rede remota paraa VPC. Combine essa conexão com o para criar uma conexão criptografada IPsec. Para obter maisinformações, consulte O que é AWS Direct Connect? em Guia do usuário do AWS Direct Connect.
307
Amazon Virtual Private Cloud Guia do usuárioVPC e sub-redes
Limites do Amazon VPCAs tabelas a seguir listam os limites para os recursos da Amazon VPC por região para sua conta da AWS.Salvo indicação em contrário, você pode solicitar um aumento desses limites usando o Formulário delimites da Amazon VPC. Para alguns desses limites, você poderá visualizar seu limite atual usando apágina Limits (Limites) do console do Amazon EC2.
Se solicitar um aumento de limite por recurso, aumentaremos o limite para todos os recursos na região.Por exemplo, o limite para grupos de segurança por VPC aplica-se a todas as VPCs na região.
VPC e sub-redes
Recurso Limitepadrão
Comentários
VPCs por região 5 O limite de gateways de Internet porregião está diretamente correlacionadoa esse. Se este limite é aumentado, olimite em gateways da Internet por região éaumentado no mesmo valor.
Sub-redes por VPC 200 –
Blocos CIDR IPv4 por VPC 5 Esse limite é composto do bloco CIDRprincipal mais quatro blocos CIDRsecundários.
Blocos CIDR IPv6 por VPC 1 Este limite não pode ser aumentado.
DNSPara obter mais informações, consulte Limites do DNS (p. 261).
Endereços IP elásticos (IPv4)
Recurso Limitepadrão
Comentários
Endereços IP elásticos por região 5 Este é o limite para o número de endereçosIP elásticos para uso na EC2-VPC. Paraobter mais informações sobre endereços IPelásticos para uso no EC2-Classic, consulteLimites do Amazon EC2 no Referência geraldo Amazon Web Services.
308
Amazon Virtual Private Cloud Guia do usuárioLogs de fluxo
Logs de fluxoRecurso Limite
padrãoComentários
Logs de fluxo por interface de rede individual,sub-rede individual ou VPC individual emuma região
2 Este limite não pode ser aumentado. Vocêpode ter efetivamente 6 logs de fluxo porinterface de rede se criar 2 logs de fluxopara a sub-rede e 2 logs de fluxo para aVPC em que a sua interface de rede reside.
GatewaysRecurso Limite
padrãoComentários
Gateways do cliente por região 50 –
Gateways da Internet somente de saída porregião
5 Esse limite está diretamente correlacionadoao limite de VPCs por região. Para aumentaresse limite, aumente o limite nas VPCspor região. Você pode anexar apenas umgateway da internet somente de saída auma VPC de cada vez.
Gateways da Internet por região 5 Esse limite está diretamente correlacionadoao limite de VPCs por região. Para aumentaresse limite, aumente o limite nas VPCs porregião. Apenas um gateway da internet podeser associado a uma VPC de cada vez.
Gateways de NAT por zona dedisponibilidade
5 Um gateway de NAT nas contagens deestado pending, active ou deleting emrelação ao seu limite.
Gateways privados virtuais por região 5 Apenas um gateway privado virtual pode serassociado a uma VPC de cada vez.
Network ACLsRecurso Limite
padrãoComentários
Network ACLs por VPC 200 Você pode associar uma Network ACL auma ou mais sub-redes em um VPC. Esselimite não é o mesmo que o número deregras por Network ACL.
Regras por Network ACL 20 Este é o limite unidirecional para uma únicaNetwork ACL, onde o limite para regras deentrada é 20 e o limite para regras de saídaé 20. Esse limite inclui as regras de IPv4 e
309
Amazon Virtual Private Cloud Guia do usuárioInterfaces de rede
Recurso Limitepadrão
Comentários
IPv6, e inclui as regras de negação padrão(número de regra 32767 para IPv4, e 32768para IPv6, ou um asterisco * no console daAmazon VPC).
Esse limite pode ser aumentado até ummáximo de 40. No entanto, isso pode afetaro desempenho da rede devido ao aumentoda carga de trabalho para processar asregras adicionais.
Interfaces de rede
Recurso Limitepadrão
Comentários
Interfaces de rede por instância – Esse limite varia por tipo de instância. Paraobter mais informações, consulte EndereçosIP por ENI por tipo de instância.
Interfaces de rede por região 350 Esse limite é a maior que o limite padrão(350) ou o limite de instâncias sob-demandamultiplicado por 5. O limite padrão parainstâncias sob demanda é 20. Se seu limitesde instâncias sob demanda estiver abaixode 70, será aplicável o limite padrão de350. Para aumentar esse limite, envie umasolicitação ou aumente o limite de instânciassob demanda.
Tabelas de rotas
Recurso Limitepadrão
Comentários
Tabelas de rotas por VPC 200 Esse limite inclui a tabela de rota principal.
Rotas por tabela de rotas (rotas nãopropagadas)
50 Você pode aumentar esse limite até ummáximo de 100. No entanto, isso podeafetar o desempenho da rede. Esse limiteé imposto separadamente para rotas deIPv4 e IPv6 (você pode ter 50 de cada e, nomáximo, 100 de cada).
Rotas BGP anunciadas por tabela de rotas(rotas propagadas)
100 Este limite não pode ser aumentado. Sevocê precisar de mais de 100 prefixos,anuncie uma rota padrão.
310
Amazon Virtual Private Cloud Guia do usuárioGrupos de segurança
Grupos de segurança
Recurso Limitepadrão
Comentários
Grupos de segurança da VPC por região 2500 O máximo é 10000. Se você tiver mais de5.000 grupos de segurança em uma região,recomendamos que pagine chamadas paradescrever seus grupos de segurança e obtermelhor desempenho.
As regras de entrada ou de saída por grupode segurança
60 Você pode ter 60 regras de entrada e 60regras de saída por grupo de segurança(totalizando 120 regras). Esse limite éimposto, separadamente das regras IPv4 eIPv6. Por exemplo, um grupo de segurançapode ter 60 regras de entrada para tráfegode IPv4 e 60 regras de entrada para tráfegode IPv6. Uma regra que faz referência aum grupo de segurança ou ID da lista deprefixos conta como uma regra para IPv4 euma regra para IPv6.
Uma alteração de limite se aplica a regrasde entrada e saída. Esse limite multiplicadopelo limite para os grupos de segurança porinterface de rede não pode exceder 300.Por exemplo, se você aumentar o limite para100, diminuiremos o limite de seu númerode grupos de segurança por interface derede para 3.
Security groups por interface de rede 5 O máximo é 16. O limite de security groupspor interface de rede multiplicado pelolimite de regras por security group nãopode exceder 300. Por exemplo, se vocêaumentar o limite para 10, diminuiremos olimite de seu número de regras por grupo desegurança para 30.
Conexões de emparelhamento de VPC
Recurso Limitepadrão
Comentários
Conexões emparelhadas de VPC ativas porVPC
50 O limite máximo é de 125 conexõesemparelhadas por VPC. O número deentradas por tabela de rotas deve seraumentado de acordo. No entanto, odesempenho da rede pode ser afetado.
311
Amazon Virtual Private Cloud Guia do usuárioVPC Endpoints
Recurso Limitepadrão
Comentários
Solicitações de conexão de emparelhamentode VPC pendentes
25 Esse é o limite do número de solicitaçõesde conexão de emparelhamento de VPCpendentes que você solicitou da sua conta.
Hora de expiração para uma solicitação deconexão de emparelhamento de VPC nãoaceita
1 semana(168horas)
–
VPC EndpointsRecurso Limite
padrãoComentários
VPC endpoints do gateway por região 20 Você não pode ter mais de 255 endpoints degateway por VPC.
VPC endpoints da interface por VPC 20 O limite máximo para endpoints de interfacepor região é esse limite multiplicado pelonúmero de VPCs na região.
Conexões doRecurso Limite
padrãoComentários
Conexões do por região 50 –
Conexões do por VPC (por gateway privadovirtual)
10 –
Compartilhamento da VPCTodos os limites padrão da VPC se aplicam a uma VPC compartilhada.
Recurso Limitepadrão
Comentários
Número de contas distintas com as quaisuma VPC pode ser compartilhada
30 –
O número de sub-redes que podem sercompartilhadas com uma conta
100 –
312
Amazon Virtual Private Cloud Guia do usuário
Histórico do documentoA tabela a seguir descreve as alterações importantes em cada versão do Guia do usuário da Amazon VPC,Amazon VPC Peering Guide e Guia de administrador de rede do Amazon VPC.
Recurso Versão da API Descrição Data delançamento
15/11/2016 Moveu o conteúdo do AWS Managed VPN (agorachamado ) para o Guia do usuário do .
18 dedezembrode 2018
Compartilhamentoda VPC
15/11/2016 Você pode compartilhar sub-redes que estãona mesma VPC com várias contas na mesmaorganização da AWS.
27 denovembrode 2018
Emparelhamentoentre regiões
15/11/2016 É possível criar uma conexão de emparelhamentode VPC entre VPCs em regiões diferentes. Paraobter mais informações, consulte o Amazon VPCPeering Guide.
29 denovembrode 2017
Serviços doVPC endpoint
15/11/2016 Você pode criar seu próprio serviço do PrivateLinkem uma VPC e habilitar outras contas e usuáriosda AWS para se conectarem ao seu serviço comum VPC endpoint da interface. Para obter maisinformações, consulte Serviços do VPC endpoint(AWS PrivateLink) (p. 296).
28 denovembrode 2017
Criar sub-redepadrão
15/11/2016 Você pode criar uma sub-rede padrão em umazona de disponibilidade que não tenha uma. Paraobter mais informações, consulte Criação de umasub-rede padrão (p. 107).
9 denovembrode 2017
VPC endpointsda interfacepara serviços daAWS
15/11/2016 Você pode criar um endpoint de interface para seconectar de forma privada a alguns serviços daAWS. Um endpoint de interface é uma interfacede rede com um endereço IP privado que servecomo ponto de entrada para tráfego ao serviço.Para obter mais informações, consulte VPCEndpoints (p. 267).
8 denovembrode 2017
ASNpersonalizado
15/11/2016 Quando você cria um gateway privado virtual,é possível especificar o Número de sistemaautônomo privado (ASN) para o lado da Amazondo gateway. Para obter mais informações, consulteGateway privado virtual no Guia do usuário do .
10 deoutubro de2017
Opções de túnelVPN
15/11/2016 Você pode especificar blocos CIDR de túnel epersonalizar as chaves pré-compartilhadas paraseus túneis VPN. Para obter mais informações,consulte Configuração de túneis VPN para aconexão do e Visão geral da configuração de umaconexão do no Guia de administrador de rede doAmazon VPC.
3 deoutubro de2017
313
Amazon Virtual Private Cloud Guia do usuário
Recurso Versão da API Descrição Data delançamento
Categorias deVPN
15/11/2016 Você pode visualizar a categoria de sua conexãoVPN. Para obter mais informações, consulte ascategorias do .
3 deoutubro de2017
Suporte àmarcação paragateways NAT
15/11/2016 Você pode marcar o gateway NAT. Para obtermais informações, consulte Marcar um gatewayNAT (p. 239).
7 desetembrode 2017
Métricasdo AmazonCloudWatchpara gatewaysNAT
15/11/2016 Você pode visualizar métricas do CloudWatch parao gateway NAT. Para obter mais informações,consulte Monitoramento de gateways NAT usandoo Amazon CloudWatch (p. 240).
7 desetembrode 2017
Descriçõesde regras dosecurity group
15/11/2016 Você pode adicionar descrições às regras dosecurity group. Para obter mais informações,consulte Regras de security groups (p. 133).
31 deagosto de2017
BlocosCIDR IPv4secundáriospara a VPC
15/11/2016 Você pode adicionar vários blocos CIDR IPv4à VPC. Para obter mais informações, consulteAdicionar blocos CIDR IPv4 a uma VPC (p. 85).
29 deagosto de2017
VPC endpointspara DynamoDB
15/11/2016 Você pode acessar o Amazon DynamoDB naVPC usando VPC endpoints. Para obter maisinformações, consulte Endpoints para o AmazonDynamoDB (p. 289).
16 deagosto de2017
Recuperarendereços IPelásticos
15/11/2016 Se liberar um endereço IP elástico, você poderárecuperá-lo. Para obter mais informações,consulte Como trabalhar com endereços IPelásticos (p. 264).
11 deagosto de2017
Criar a VPCpadrão
15/11/2016 É possível criar uma nova VPC padrão se vocêexcluir a VPC padrão existente. Para obtermais informações, consulte Criar uma VPCpadrão (p. 106).
27 de julhode 2017
Métricas daVPN
15/11/2016 Você pode visualizar métricas do CloudWatch parasuas conexões VPN. Para obter mais informações,consulte Monitoramento de sua conexão do .
15 de maiode 2017
Suporte a IPv6 15/11/2016 Você pode associar um bloco CIDR IPv6 à suaVPC e atribuir endereços IPv6 a recursos emsua VPC. Para obter mais informações, consulteEndereçamento IP na sua VPC (p. 109).
1º dedezembrode 2016
Suporte deresolução deDNS paraintervalos deendereços IPfora da RFC1918
O servidor de DNS da Amazon agora podedeterminar nomes de host DNS privados paraendereços IP privados, para todos os espaços deendereço. Para obter mais informações, consulteComo usar DNS com sua VPC (p. 259).
24 deoutubro de2016
314
Amazon Virtual Private Cloud Guia do usuário
Recurso Versão da API Descrição Data delançamento
Suporte deresolução deDNS paraemparelhamentode VPC
01/04/2016 Você pode habilitar uma VPC local para quedetermine nomes de host DNS públicos paraendereços IP privados quando em consultasprovenientes de instâncias na VPC emparelhada.Para obter mais informações, consulte Modificarsua conexão de emparelhamento de VPCs noAmazon VPC Peering Guide.
28 de julhode 2016
Regras desecurity groupobsoletas
01/10/2015 Você pode identificar se seu security group estásendo referido nas regras de um security groupem uma VPC emparelhada e pode identificarregras de security group obsoletas. Para obtermais informações, consulte Trabalhar com gruposde segurança obsoletos no Amazon VPC PeeringGuide.
12 de maiode 2016
Uso deClassicLink emuma conexão deemparelhamentode VPC
01/10/2015 Você pode modificar sua conexão deemparelhamento de VPC para permitir queinstâncias locais vinculados ao EC2-Classiccomuniquem-se com instâncias em uma VPCemparelhada ou vice-versa. Para obter maisinformações, consulte Configurações comClassicLink no Amazon VPC Peering Guide.
26 de abrilde 2016
Gateways NAT 01/10/2015 Você pode criar um gateway NAT em umasub-rede pública e permitir que instâncias emuma sub-rede privada iniciem tráfego de saídapara a Internet ou outros serviços da AWS.Para obter mais informações, consulte NATGateways (p. 228).
17 dedezembrode 2015
Melhorias doVPN
15/04/2015 Uma conexão VPN agora suporta a função decriptografia AES de 256 bits, função hashingSHA-256, NAT transversal e outros grupos Diffie-Hellman durante a Fase 1 e a Fase 2 de umaconexão. Além disso, agora você pode usar omesmo endereço IP do gateway do cliente paracada conexão VPN que usa o mesmo dispositivode gateway do cliente.
28 deoutubro de2015
VPC Flow Logs 15/04/2015 Você pode criar um log de fluxo para capturarinformações sobre o tráfego de IP para eproveniente das interfaces de rede em sua VPC.Para obter mais informações, consulte VPC FlowLogs (p. 188).
10 dejunho de2015
VPC endpoints 01/03/2015 Um endpoint permite que você crie uma conexãoprivada entre sua VPC e outro serviço da AWSsem exigir acesso pela Internet por meio de umaconexão VPN, de uma instância NAT ou do AWSDirect Connect. Para obter mais informações,consulte VPC Endpoints (p. 267).
11 de maiode 2015
315
Amazon Virtual Private Cloud Guia do usuário
Recurso Versão da API Descrição Data delançamento
ClassicLink 01/10/2014 O ClassicLink permite que você vincule suaInstância EC2-Classic a uma VPC em suaconta. Você pode associar os security groupsda VPC à Instância EC2-Classic e permitir acomunicação entre sua Instância EC2-Classice instâncias em sua VPC usando endereços IPprivados. Para obter mais informações, consulteClassicLink (p. 306).
7 dejaneiro de2015
Uso de zonashospedadasprivadas
01/09/2014 Você pode acessar recursos em sua VPC usandonomes de domínio de DNS personalizados quepodem ser definidos em uma zona hospedadaprivada no Route 53. Para obter mais informações,consulte Como usar zonas hospedadasprivadas (p. 263).
5 denovembrode 2014
Modificação deum atributo deendereçamentoIP público
15/06/2014 Você pode modificar o atributo de endereçamentoIP público de sua sub-rede para indicar se asinstâncias executadas nessa sub-rede devemreceber endereço IP público. Para obter maisinformações, consulte Modificação do atributode endereçamento IPv4 público para sua sub-rede (p. 113).
21 dejunho de2014
Emparelhamentode VPC
01/02/2014 Você pode criar uma conexão de emparelhamentode VPC entre duas VPCs, o que permite que asinstâncias em ambas as VPCs comuniquem-se entre si usando endereços IP privados comose estivessem na mesma VPC. Para obter maisinformações, consulte Emparelhamento deVPC (p. 263).
24 demarço de2014
Novo assistentede execução doEC2
01/10/2013 Informações adicionadas sobre a redefinição doassistente de execução do EC2. Para obter maisinformações, consulte Etapa 3: executar umainstância em uma VPC (p. 14).
10 deoutubro de2013
Atribuição deum endereço IPpúblico
15/07/2013 Informações adicionadas sobre um novo recursode endereçamento IP público para instânciasexecutadas em uma VPC. Para obter maisinformações, consulte Atribuição de um endereçode público IPv4 durante a inicialização deinstância (p. 113).
20 deagosto de2013
316
Amazon Virtual Private Cloud Guia do usuário
Recurso Versão da API Descrição Data delançamento
Habilitaçãode nomes dehost DNS edesabilitaçãode resolução deDNS
01/02/2013 Por padrão, a resolução de DNS está habilitada.Agora, você pode desabilitar a resolução de DNSusando o console da Amazon VPC, a interface delinha de comando do Amazon EC2 ou ações deAPI do Amazon EC2.
Por padrão, os nomes de host DNS estãodesabilitados para VPCs não padrão. Agora,você pode habilitar nomes de host DNS usandoo console da Amazon VPC, a interface de linhade comando do Amazon EC2 ou ações de API doAmazon EC2.
Para obter mais informações, consulte Como usarDNS com sua VPC (p. 259).
11 demarço de2013
ConexõesVPN usandoconfiguraçãode roteamentoestático
15/08/2012 Você pode criar conexões VPN IPsec para aAmazon VPC usando configurações de roteamentoestático. Anteriormente, as conexões VPN exigiamo uso do protocolo de gateway de borda (BGP).Agora damos suporte a ambos os tipos deconexões e você pode estabelecer conectividadede dispositivos que não suportam o BGP, incluindoCisco ASA e Microsoft Windows Server 2008 R2.
13 desetembrode 2012
Propagaçãoautomática derotas
15/08/2012 Agora você pode configurar a propagaçãoautomática de rotas de sua VPN e links do DirectConnect para tabelas de roteamento de sua VPC.Esse recurso diminui o esforço necessário paracriar e manter a conectividade com a AmazonVPC.
13 desetembrode 2012
AWS VPNCloudHub econexões VPNredundantes
Você pode se comunicar seguramente de um localpara outro com ou sem uma VPC. É possível usarconexões VPN redundantes para oferecer à suaVPC uma conexão tolerante a falhas.
29 desetembrode 2011
VPC em todo olugar
15/07/2011 Suporte em cinco regiões da AWS, VPCs emvárias Zonas de disponibilidade, várias VPCs porconta da AWS, várias conexões VPN por VPC,Instâncias Reservadas do Microsoft WindowsServer 2008 R2 e do Microsoft SQL Server.
03 deagosto de2011
Instânciasdedicadas
28/02/2011 Instâncias dedicadas são instâncias do AmazonEC2 executadas da sua VPC que executamo hardware dedicado a um único cliente. Asinstâncias dedicadas permitem que você sebeneficie da Amazon VPC e do provisionamentoelástico da AWS, da possibilidade de pagar apenaspelo que usar e de uma rede virtual privada eisolada — e ao mesmo tempo isole suas instânciasem nível de hardware.
27 demarço de2011
317
