為您的 Amazon EC2 執行個體建立安全群組

安全群組就像是防火牆，用於關聯的執行個體，可在執行個體層級控制傳入及傳出流量。您可以將規則新增至安全群組，以便使用 SSH (Linux 執行個體) 或 RDP (Windows 執行個體) 連線至執行個體。您也可以新增允許用戶端流量的規則，例如，以HTTP及目的地到 Web 伺服器的HTTPS流量。

啟動執行個體時，您可以將安全群組與執行個體建立關聯。當您從相關聯的安全性群組新增或移除規則時，這些變更會自動套用至您與安全性群組相關聯的所有執行個體。

啟動執行個體後，您可以建立其他安全性群組的關聯。如需詳細資訊，請參閱變更 Amazon EC2 執行個體的安全群組。

您可以在建立安全性群組時新增輸入和輸出安全性群組規則，也可以稍後新增這些規則。如需詳細資訊，請參閱設定安全群組規則。如需可新增至安全性群組的規則範例，請參閱不同使用案例的安全群組規則。

考量事項

• 根據預設，新的安全群組一開始只有允許流量離開資源的傳出規則。您必須新增規則啟用任何傳入流量，或是限制傳出流量。

• 為允許SSH或RDP存取執行個體的規則設定來源時，請勿允許從任何地方存取，因為這樣可以從網際網路上的所有 IP 位址存取您的執行個體。通常在測試環境中短暫進行此操作是沒有問題的，但用在生產環境則不安全。

• 如果特定連接埠有多個規則，Amazon 會EC2套用最寬鬆的規則。例如，如果您有一個規則允許從 IP 位址 203.0.113.1 存取TCP連接埠 22 (SSH)，以及另一個允許從任何地方存取TCP連接埠 22 的規則，則每個人都可以存取連接埠 22。TCP

• 您可以將多個安全群組與執行個體建立關聯。因此，執行個體可以有數百個適用的規則。這可能會在您存取執行個體時產生問題。但建議您盡可能緊縮您的規則。

• 當您將安全群組指定為規則的來源或目標時，規則會影響所有與安全群組相關聯的執行個體。傳入流量會根據與來源安全群組相關聯之執行個體的私有 IP 地址允許 (而非公有 IP 或彈性 IP 地址)。如需有關 IP 地址的詳細資訊，請參閱 Amazon EC2 實例 IP 定址。

• Amazon 默認情況下EC2阻止端口 25 上的流量。如需詳細資訊，請參閱使用通訊埠 25 傳送的電子郵件限制。

使用主控台建立安全群組

1. 在打開 Amazon EC2 控制台https://console.aws.amazon.com/ec2/。

2. 在導覽窗格中，選擇 Security Groups (安全群組)。

3. 選擇 Create Security Group (建立安全群組)。

4. 輸入安全性群組的描述性名稱和簡短描述。您無法在建立安全性群組之後變更其名稱和說明。

5. 對於 VPC，請選擇您要VPC在其中執行 Amazon 執行個體的EC2執行個體。

6. (選擇性) 若要新增輸入規則，請選擇輸入規則。針對每個規則，選擇 [新增規則]，然後指定通訊協定、連接埠和來源。例如，若要允許SSH流量，請選擇 [類型]，並SSH為 [來源] 指定電腦或網路的公用IPv4位址。

7. (選擇性) 若要新增輸出規則，請選擇輸出規則。針對每個規則，選擇 [新增規則]，然後指定通訊協定、連接埠和目的地。否則，您可以保留允許所有輸出流量的預設規則。

8. (選用) 若要新增標籤，請選擇 Add new tag (新增標籤)，然後輸入標籤金鑰和值。

9. 選擇 Create Security Group (建立安全群組)。

使用命令列建立安全群組

• create-security-group (AWS CLI)

• New-EC2SecurityGroup (AWS Tools for Windows PowerShell)