Como adicionar um grupo de segurança a uma instância do EC2 em execução?

81

Eu tenho uma instância do Amazon EC2 em execução e gostaria de adicionar outro grupo de segurança a essa instância e remover o grupo de segurança atual dessa instância. Isso é possível?

linux security amazon-ec2 cloud-computing Geo
fonte
Apenas para adicionar mais algumas informações. Temos duas instâncias juntas a dois grupos de segurança. Queremos separar isso e dedicar um grupo de segurança por instância.
Geo

Respostas:

52

Atualização 2015-02-27:

Agora isso é possível, veja a resposta abaixo .

Resposta antiga:

As perguntas frequentes da Amazon dizem que não é possível definir um grupo de segurança em nenhum outro lugar, exceto no momento do lançamento.

towo
fonte
1
Obrigado, sinto falta dessa pergunta quando estava navegando nas Perguntas frequentes. Obrigado novamente.
Geo
2
Esta resposta está desatualizada. Agora você pode modificar os grupos de segurança do EC2 VPC. Veja a resposta @hanxue abaixo.
Diego F. Durán
Precisa atualizar !! Veja abaixo a resposta
Axis
78

Atualização : a partir de janeiro de 2014, agora você pode alterar grupos de segurança para executar instâncias do AWS EC2.

Console da AWS

Basta clicar com o botão direito do mouse em uma instância e clicar em Change Security Group

Alterar grupo de segurança

Adicione / remova grupos de segurança conforme apropriado e clique Assign Security Groupsquando terminar

Selecione grupos de segurança

Linha de Comando EC2

Use o seguinte comando:

ec2-modify-instance-attribute <instance-id> --group-id <group-id>

Linha de comando da AWS

Use o seguinte comando:

aws ec2 modify-instance-attribute --instance-id i-12345 --groups sg-12345 sg-67890

Observe que você deve especificar todos os grupos de segurança aos quais deseja associar a instância.

hanxue
fonte
5
A opção "Alterar grupos de segurança" está presente no menu, mas desativada. Estou usando a região ap-sudeste-2.
Alastair Irvine
4
isso atualmente se aplica apenas a instâncias de VPC. os grupos de segurança aos quais pertence uma instância não-VPC são fixos / imutáveis ​​e são definidos quando são iniciados pela primeira vez. a única maneira de alterá-los é criar um pacote configurável a partir da instância existente e reiniciar uma nova instância usando o ami incluído.
Ives
1
E se meu grupo de segurança recém-criado não estiver listado no Change Security Groupsmodal?
jtheletter
Esta opção pode estar disponível apenas dentro de uma VPC. As contas mais antigas da AWS criadas antes do vpc e com instâncias em execução no modo clássico EC2 não poderão tirar proveito disso.
cgseller
É confuso que a CLI não use listas separadas por vírgula, como em muitos outros lugares.
user67327 16/07
7

Agora é possível fazer isso. Clique no menu de ações e Alterar grupos de segurança - selecione os grupos de segurança que você deseja usar.

user193616
fonte
3
Somente em VPCs, acredito.
ceejayoz
Parece que sim. A opção "Alterar grupos de segurança" está presente no menu, mas desativada para instâncias que não sejam da VPC.
Alastair Irvine
1
E se meu grupo de segurança recém-criado não estiver listado no modal Change Security Groups?
jtheletter
5
  1. Crie uma imagem AMI a partir da instância que você deseja mover para um grupo de segurança diferente.
  2. Inicie uma nova instância usando essa imagem, agora podemos atribuir essa nova instância a um grupo de segurança diferente.
  3. Descarte a instância anterior.

Isso requer tempo de inatividade na sua instância. Pode haver outras opções disponíveis usando a API.

Rajan
fonte
5

Como towo disse, você não pode alterar um grupo de segurança de uma instância em qualquer lugar que não seja o horário de inicialização.

A menos que você esteja usando uma VPC em que os grupos de segurança sejam diferentes dos grupos de segurança do EC2.

Esta página descreve as diferenças entre os grupos de segurança EC2 e VPC.

http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html

Portanto, se você precisar da funcionalidade extra dos grupos VPC (alterando grupos, controlar o tráfego de entrada / entrada, etc.), convém examinar a funcionalidade adicional fornecida pelas VPCs.

idioma
fonte
Bem-vindo à falha do servidor! Embora isso possa teoricamente responder à pergunta, seria preferível incluir aqui as partes essenciais da resposta e fornecer o link para referência.
Scott pacote de
1

A partir de 24 de novembro de 2016. a resposta acima dada por @hanxue está correta, mas não completa. Existem dois tipos de instâncias na AWS: instâncias dentro da nuvem privada chamadas instâncias vpc e instâncias públicas chamadas Ec2 Classic. Você pode alterar apenas grupos de segurança de instâncias de VPC, mas não o EC2-classic. Screenshot da documentação oficial do Aws que você gostaria de ver. documentos que você gostaria de ver

as diferenças da documentação oficial da AWS

Balman Rawat
fonte
0

Se você estiver usando o boto3, precisará chamar modify_attribute e passar uma lista de IDs de grupo

http://boto3.readthedocs.io/en/latest/reference/services/ec2.html#EC2.Instance.modify_attribute

response = instance.modify_attribute(Groups=['string'])

Groups (list) --
  [EC2-VPC] Changes the security groups of the instance. You must 
  specify at least one security group, even if it's just the default 
  security group for the VPC. You must specify the security group ID,
  not the security group name.
James Morgan
fonte
-2

No entanto, de acordo com esta FAQ "modifique as configurações do grupo de segurança atual - o que afetará todas as instâncias em execução no grupo específico", você poderá alterar gradualmente redefinir as existentes. Como estou tentando isso agora no meu cenário através do console do EC2, meus registros foram todos apagados!

robi
fonte