安全群組規則 - Amazon Elastic Compute Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

安全群組規則

安全群組的規則可控制允許觸達與安全群組相關聯之執行個體的對內流量。規則也會控制允許離開的對外流量。

以下為安全群組規則的特性:

  • 根據預設,安全群組會包含允許所有傳出流量的規則。您可以刪除這些規則。請注意,根據預設 Amazon EC2 會封鎖連接埠 25 上的流量。如需詳細資訊,請參閱 使用通訊埠 25 傳送的電子郵件限制

  • 安全群組規則一律為許可制。您無法建立拒絕存取的規則。

  • 安全群組規則可讓您根據通訊協定和連接埠號碼篩選流量。

  • 安全群組是具有狀態的群組—若您從執行個體傳送請求,該請求的回應流量將允許流入,與對內安全群組規則無關。針對 VPC 安全群組,這也表示獲得允許之對內流量的回應也將允許流出,與對外規則無關。如需詳細資訊,請參閱 安全群組連線追蹤

  • 您可以隨時新增和移除規則。您的變更會自動套用到與安全群組關聯的執行個體。

    有些規則變更的效果可取決於追蹤流量的方式。如需詳細資訊,請參閱 安全群組連線追蹤

  • 當您將多個安全群組與執行個體建立關聯時,每個安全群組的規則都會有效彙總並建立一組規則。Amazon EC2 會使用這一組規則判斷是否要允許存取。

    您可以將多個安全性群組指派給執行個體。因此,執行個體可以有數百個適用的規則。這可能會在您存取執行個體時產生問題。但建議您盡可能緊縮您的規則。

注意

安全群組無法封鎖傳送至 Route 53 解析器的 DNS 請求,有時也稱為「VPC+2 IP 位址」(請參閱什麼是 Amazon Route 53 Resolver? 在 Amazon Route 53 開發人員指南中)或「AmazonProvidedDNS」(請參閱 Amazon Virtual Private Cloud 用戶指南中的使用 DHCP 選項集)。如果您想要透過 Route 53 Resolver 篩選 DNS 請求,則可以啟用 Route 53 Resolver DNS Firewall (請參閱《Amazon Route 53 開發人員指南》中的 Route 53 Resolver DNS Firewall)。

針對每個規則,您指定下列項目:

  • 名稱:安全性群組的名稱 (例如,"my-security-group「)。

    名稱的長度上限為 255 個字元。允許的字元為 a-z、A-Z、0-9、空格鍵和 ._-:/()#,@[]+=;{}!$*。當名稱尾隨空格時,我們會裁切空格並儲存名稱。例如,如果您輸入「測試安全群組」做為名稱,我們會將其儲存為「測試安全群組」。

  • 通訊協定:要允許的通訊協定。最常見的通訊協定為 6 (TCP)、17 (UDP) 和 1 (ICMP)。

  • 連接埠範圍:適用於 TCP、UDP 或自訂通訊協定,要允許的連接埠範圍。您可以指定單一連接埠號碼 (例如,22),或是連接埠號碼的範圍 (例如,7000-8000)。

  • ICMP 類型及代碼:適用於 ICMP,為 ICMP 的類型及代碼。例如,使用類型 8 代表「ICMP Echo 請求」,輸入 128 則代表「ICMPv6 Echo 請求」。

  • 來源或目的地:允許流量的來源 (傳入規則) 或目的地 (傳出規則)。請指定下列其中一項:

    • 單一 IPv4 地址。您必須使用 /32 的字首長度。例如 203.0.113.1/32

    • 單一 IPv6 地址。您必須使用 /128 的字首長度。例如 2001:db8:1234:1a00::123/128

    • IPv4 地址範圍,以 CIDR 區塊標記法表示。例如 203.0.113.0/24

    • IPv6 地址範圍,以 CIDR 區塊標記法表示。例如 2001:db8:1234:1a00::/64

    • 字首清單的 ID。例如 pl-1234abc1234abc123。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的字首清單

    • 安全群組的 ID (此處係指指定的安全群組)。例如,當前安全群組、來自同一 VPC 的安全群組或對等 VPC 的安全群組。這會根據與指定安全群組相關聯資源的私有 IP 地址來允許流量。這不會將來自指定安全群組的規則新增至當前安全群組。

  • (Optional) Description ((選用) 描述):您可以為規則新增描述,這可協助您在稍後更容易識別它。描述的長度最高可達 255 個字元。允許的字元為 a-z、A-Z、0-9、空格鍵和 ._-:/()#,@[]+=;{}!$*。

當您建立安全性群組規則時, AWS 會為規則指派唯一 ID。當您使用 API 或 CLI 修改或刪除規則時,可以使用規則的 ID。

當您將安全群組指定為規則的來源或目標時,規則會影響所有與安全群組相關聯的執行個體。傳入流量會根據與來源安全群組相關聯之執行個體的私有 IP 地址允許 (而非公有 IP 或彈性 IP 地址)。如需有關 IP 地址的詳細資訊,請參閱 Amazon EC2 執行個體 IP 定址。如果您的安全群組規則是參考同一 VPC 或對等 VPC 中遭刪除之安全群組的規則,或是參考已刪除 VPC 對等互連連線的對等 VPC 中安全群組的規則,則該規則標記為過時。如需詳細資訊,請參閱Amazon VPC Peering Guide中的使用過時安全群組規則

若特定連接埠有超過一個規則,Amazon EC2 會套用最寬鬆的規則。例如,若您有一個規則,允許 IP 地址 203.0.113.1 存取 TCP 連接埠 22 (SSH);另一個規則允許所有人存取 TCP 連接埠 22,則所有人皆能存取 TCP 連接埠 22

當您新增、更新或移除規則時,變更會自動套用至與安全群組建立關聯的所有執行個體。