CRM Docs
Amazon Web Services

Security Group

Security Group — firewall virtual por recurso na VPC

Security Groups (SG) funcionam como firewall stateful na VPC: cada recurso (ALB, task ECS, RDS, etc.) recebe um ou mais grupos que definem quem pode enviar tráfego para o recurso (inbound) e para onde o recurso pode enviar (outbound).

Stateful: o que isso significa

DireçãoComportamento
Inbound permitidoRespostas de saída para a mesma conexão são automaticamente permitidas
OutboundPor padrão em muitos SGs: All traffic0.0.0.0/0 (saída liberada)

Exemplo: se o ALB pode abrir TCP 8080 na task, a resposta HTTP da task de volta ao ALB não exige regra inbound no SG do ALB vindo da task.

Modelo típico CRM (API atrás de ALB)

RecursoSGInbound típico
ALBsg-alb443 de 0.0.0.0/0 (ou CloudFront prefix list)
ECS tasksg-app8080 somente de sg-alb (referência por SG ID)
Bancosg-db5432/1433 somente de sg-app

Prefira referenciar security group ID em vez de IP fixo entre ALB e app: quando novas tasks sobem com IPs novos, as regras continuam válidas.

Inbound vs outbound

TipoAvaliado quandoExemplo CRM
InboundPacote chega na ENI do recursoALB → porta da API
OutboundPacote sai da ENITask → HTTPS internet (APIs externas), S3 via VPC endpoint

Restringir outbound da task (só endpoints necessários) aumenta segurança mas exige manutenção quando novas integrações aparecem.

Regras: campos

CampoValores comuns
TypeHTTP, HTTPS, Custom TCP
Port443, 8080, 5432
Source (inbound)sg-xxx, CIDR 10.0.0.0/8, prefix list
Destination (outbound)0.0.0.0/0, SG de destino, prefix list S3

Erros clássicos (sintoma → causa)

SintomaCausa provável no SG
Timeout do health checkPorta do app não liberada do SG do ALB para o SG da task
API ok pelo curl dentro da task, falha pelo ALBInbound na task errado ou app escutando só em 127.0.0.1
Task não acessa bancoSG do RDS não permite SG da app na porta do engine
Task não acessa internetSubnet privada sem NAT e outbound bloqueado

SG vs NACL

Security GroupNetwork ACL
NívelENI do recursoSubnet
StateStatefulStateless
PadrãoDeny implícito inbound; explícito allowRegras numeradas allow/deny
Uso no CRMPrincipal controle dia a diaCamada extra rara

Boas práticas

  1. Um SG por papel (sg-alb, sg-api, sg-worker) — não um SG gigante para tudo.
  2. Menor privilégio nas portas: só as necessárias.
  3. Documentar no runbook qual SG cada service ECS usa.
  4. Alteração de SG é imediata; não precisa reiniciar task, mas conexões existentes podem precisar ser reabertas.

Relação com outros serviços

ServiçoRelação
ALBPossui SG próprio; origem permitida nas tasks
ECSnetworkConfiguration.securityGroups no service
TGNão define SG; apenas registra IPs que já passam no firewall

S3

Simple Storage Service — armazenamento de objetos

Task Definition

Definição de tarefa ECS — blueprint do container

On this page

Stateful: o que isso significaModelo típico CRM (API atrás de ALB)Inbound vs outboundRegras: camposErros clássicos (sintoma → causa)SG vs NACLBoas práticasRelação com outros serviços