本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# EC2 執行個體的 Amazon EC2 安全群組
<a name="ec2-security-groups"></a>

*安全群組*會做為您 EC2 執行個體的虛擬防火牆，控制傳入及傳出流量。傳入規則會控制傳入至您的執行個體的流量，以及傳出規則會控制從您的執行個體傳出的流量。啟動執行個體時，您會為其指派一個或多個安全群組。如果您未指定安全群組，Amazon EC2 便會使用 VPC 的預設安全群組。在您啟動執行個體之後，您可變更其安全群組。

安全性是 AWS 與您之間的共同責任。如需詳細資訊，請參閱 [Amazon EC2 中的安全](ec2-security.md)。 AWS 提供安全群組做為保護執行個體的工具之一，而且您需要設定這些群組以符合您的安全需求。若您有安全群組無法完全滿足的需求，您可以在使用安全群組的同時在您的任何執行個體上維持您自己的防火牆。

**定價**  
使用安全群組無需額外收費。

**Topics**
+ [概要](#security-group-basics)
+ [為您的 Amazon EC2 執行個體建立安全群組。](creating-security-group.md)
+ [變更 Amazon EC2 執行個體的安全群組。](changing-security-group.md)
+ [刪除一個 Amazon EC2 安全群組](deleting-security-group.md)
+ [Amazon EC2 安全群組連線追蹤](security-group-connection-tracking.md)
+ [不同使用案例的安全群組規則](security-group-rules-reference.md)

## 概要
<a name="security-group-basics"></a>

您可以將每個執行個體與多個安全群組建立關聯，也可以將每個安全群組與多個執行個體建立關聯。您在各個安全群組新增規則，允許流量往返於建立關聯的執行個體。您可以隨時修改安全群組的規則。新的、修改過的規則會自動套用至與安全群組建立關聯的所有執行個體。當 Amazon EC2 決定是否要允許流量觸達執行個體時，我們會評估所有與執行個體建立關聯之安全群組的所有規則。如需詳細資訊，請參閱「Amazon VPC 使用者指南」**中的[安全群組規則](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html)。

下圖顯示具有子網路、網際網路閘道和安全群組的 VPC。子網路包含 EC2 執行個體。要與執行個體建立關聯的安全群組。僅有安全群組規則允許的流量才能到達執行個體。例如，如果安全群組包含允許 ICMP 流量從您的網路傳輸至執行個體的規則，您即可從電腦 SSH 執行個體。如果安全群組包含的規則允許來自與其相關聯的資源的所有流量，則每個執行個體都可以接收從其他執行個體傳送的任何流量。

![\[VPC，包含一個安全群組。子網路中的 EC2 執行個體與安全群組關聯。\]](http://docs.aws.amazon.com/zh_tw/AWSEC2/latest/UserGuide/images/ec2-security-groups.png)


安全群組是具有狀態的群組—若您從執行個體傳送請求，該請求的回應流量將允許流入，與對內安全群組規則無關。無論傳出規則為何，針對允許傳入流量的回應都會允許傳出。如需詳細資訊，請參閱[連線追蹤](security-group-connection-tracking.md)。