本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
EC2 Instance Connect Endpoint 的安全群組
安全群組負責控制允許到達和離開其關聯資源的流量。例如,除非與執行個體相關聯的安全群組特別允許,否則我們拒絕傳入和傳出 Amazon EC2 執行個體的流量。
下列範例說明如何為 EC2 執行個體 Connect 端點和目標執行個體設定安全群組規則。
EC2 執行個體 Connect 端點安全群組規則
EC2 執行個體 Connect 端點的安全群組規則必須允許目標執行個體的輸出流量離開端點。您可以將執行個體安全性群組或 VPC 的 IPv4 位址範圍指定為目的地。
端點的流量源自 EC2 執行個體 Connect 端點服務,無論端點安全群組的輸入規則為何,都允許此流量。若要控制誰可以使用 EC2 執行個體 Connect 線端點連線到執行個體,請使用 IAM 政策。如需詳細資訊,請參閱 使用 EC2 執行個體連線端點連線至執行個體的許可。
輸出規則範例:安全性群組參照
下列範例使用安全性群組參考,這表示目的地是與目標執行個體相關聯的安全性群組。此規則允許從端點傳輸到使用此安全性群組的所有執行個體的輸出流量。
| 通訊協定 | 目的地 | 連接埠範圍 | 註解 |
|---|---|---|---|
| TCP | 執行個體安全性群組的 ID |
22 | 允許與執行個體安全性群組相關聯的所有執行個體輸出 SSH 流量 |
輸出規則範例:IPv4 位址範圍
下列範例允許輸出流量傳送至指定 IPv4 位址範圍。執行個體的 IPv4 位址是從其子網路指派的,因此您可以使用 VPC 的 IPv4 位址範圍。
| 通訊協定 | 目的地 | 連接埠範圍 | 註解 |
|---|---|---|---|
| TCP | VPC A IPv4 CIDR |
22 | 允許對外 SSH 流量傳送至 VPC |
目標例項安全性群組規則
目標執行個體的安全群組規則必須允許來自 EC2 執行個體 Connect 端點的輸入流量。您可以指定端點安全性群組或 IPv4 位址範圍做為來源。如果您指定 IPv4 位址範圍,則來源會視用戶端 IP 保留是關閉還是開啟而定。如需詳細資訊,請參閱 考量事項。
由於安全群組是可設定狀態的,因此無論執行個體安全性群組的輸出規則為何,都允許回應流量離開 VPC。
輸入規則範例:安全性群組參考
下列範例使用安全性群組參考,這表示來源是與端點相關聯的安全性群組。此規則允許從端點傳入 SSH 流量到使用此安全群組的所有執行個體,無論用戶端 IP 保留是開啟還是關閉。如果 SSH 沒有其他輸入安全群組規則,則執行個體只接受來自端點的 SSH 流量。
| 通訊協定 | 來源 | 連接埠範圍 | 註解 |
|---|---|---|---|
| TCP | 端點安全性群組的識別碼 |
22 | 允許來自與端點安全性群組相關聯之資源的輸入 SSH 流量 |
輸入規則範例:用戶端 IP 保留關閉
下列範例允許來自指定 IPv4 位址範圍的輸入 SSH 流量。由於用戶端 IP 保留已關閉,因此來源 IPv4 位址是端點網路介面的位址。端點網路介面的位址是從其子網路指派的,因此您可以使用 VPC 的 IPv4 位址範圍來允許連線至 VPC 中的所有執行個體。
| 通訊協定 | 來源 | 連接埠範圍 | 註解 |
|---|---|---|---|
| TCP | VPC A IPv4 CIDR |
22 | 允許來自 VPC 雲端的入埠 SSH 流量 |
輸入規則範例:用戶端 IP 保留
下列範例允許來自指定 IPv4 位址範圍的輸入 SSH 流量。由於用戶端 IP 保留已開啟,因此來源 IPv4 位址是用戶端的位址。
| 通訊協定 | 來源 | 連接埠範圍 | 註解 |
|---|---|---|---|
| TCP | 公用 IPv4 位址範圍 |
22 | 允許來自指定用戶端 IPv4 位址範圍的輸入流量 |
