使用安全群組 - Amazon Elastic Compute Cloud

使用安全群組

您可以在啟動執行個體時,為執行個體指派安全群組。當您新增或移除規則時,這些變更會自動套用到所有您已指派該安全群組的執行個體。如需詳細資訊,請參閱 將安全群組指派至執行個體

在您啟動執行個體之後,便無法變更其安全群組。如需詳細資訊,請參閱 變更執行個體的安全群組

您可以使用 Amazon EC2 主控台與命令列工具建立、檢視、更新和刪除安全群組和安全群組規則。

建立安全群組

雖然您可以針對您的執行個體使用預設安全群組,但您可能會希望建立您自己的群組,以反映執行個體在您系統上所扮演的不同角色。

根據預設,新的安全群組一開始只有允許流量離開執行個體的傳出規則。您必須新增規則啟用任何傳入流量,或是限制傳出流量。

安全群組只能在建立該群組的 VPC 中使用。

New console

建立安全群組

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選擇 Create Security Group (建立安全群組)

  4. Basic details (基本詳細資訊) 區段中,執行下列動作。

    1. 輸入安全性群組的描述性名稱和簡短描述。建立安全群組之後,就無法再度編輯。名稱和描述最多可包含 255 個字元。有效字元為 a-z、A-Z、0-9、空格鍵和 ._-:/()#,@[]+=&;{}!$*。

    2. 對於 VPC,請選擇 VPC。

  5. 您可以立即新增安全群組規則,也可以稍後再新增。如需更多詳細資訊,請參閱 將規則新增至安全群組

  6. 您可以立即新增標籤,也可以稍後再新增。若要新增標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的索引鍵和值。

  7. 選擇 Create Security Group (建立安全群組)

Old console

建立安全群組

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選擇 Create Security Group (建立安全群組)。

  4. 指定安全群組的名稱和描述。

  5. 針對 VPC,選擇 VPC 的 ID。

  6. 您可以開始新增規則,或是您可以選擇 Create (建立) 立即建立安全群組 (您可一律稍後再新增規則)。如需新增規則的詳細資訊,請參閱將規則新增至安全群組

Command line

建立安全群組

請使用下列其中一個命令:

複製安全群組

您可以建立現有安全性群組的複本,以建立新的安全性群組。當您複製安全性群組時,系統會使用與原始安全性群組相同的輸入和輸出規則來建立複本。如果原始安全性群組位於 VPC 中,除非您指定其他安全性群組,否則系統會在同一個 VPC 中建立複本。

複本會收到新的唯一安全性群組 ID,而您必須為它命名。您也可以新增描述。

您無法將安全性群組從一個區域複製到另一個區域。

您可以使用下列其中一種方法來建立安全性群組的複本。

New console

複製安全性群組

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選取要複製的安全性群組,然後選擇 Actions (動作)Copy to new security group (複製到新的安全性群組)

  4. 指定名稱和選擇性描述,並視需要變更 VPC 和安全群組規則。

  5. 選擇 Create (建立)。

Old console

複製安全性群組

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選取您希望複製的安全群組,選擇 Actions (動作)Copy to new (複製到新的)

  4. Create Security Group (建立安全群組) 對話方塊會隨即開啟,並填入現有安全群組的規則。指定您新安全群組的名稱和描述。針對 VPC,選擇 VPC 的 ID。完成時,請選擇 Create (建立)

檢視您的安全群組

您可以使用下列其中一種方法來檢視安全性群組的相關資訊。

New console

檢視您的安全性群組

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 系統會列出您的安全性群組。若要檢視包括其輸入和輸出規則等特定安全群組詳細資訊,請在 Security group ID (安全性群組 ID) 欄中選擇其 ID。

Old console

檢視您的安全性群組

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. (選用) 從篩選條件清單中選取 VPC ID,然後選擇 VPC 的 ID。

  4. 選取安全群組。Description (描述) 標籤上會顯示一般資訊、Inbound (傳入) 標籤上會顯示傳入規則、Outbound (傳出) 標籤上會顯示傳出規則,以及 Tags (標籤) 標籤上會顯示標籤。

Command line

檢視您的安全性群組

請使用下列其中一個命令。

Amazon EC2 Global View

您可以使用 Amazon EC2 全域檢視來檢視已啟用您的 AWS 帳戶的所有區域的安全群組。如需更多詳細資訊,請參閱 使用 Amazon EC2 全域檢視列出和篩選跨區域的資源

將規則新增至安全群組

當您為安全群組新增規則時,新規則會自動套用到所有與安全群組相關聯的任何執行個體。規則在套用之前可能會有短暫的延遲。如需詳細資訊,請參閱不同使用案例的安全群組規則安全群組規則

New console

將傳入規則新增至安全群組

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選取安全群組,然後選擇 Actions (動作)、Edit inbound rules (編輯傳入規則)。

  4. 針對每個規則,選擇 Add rule (新增規則) 並執行下列動作。

    1. Type (類型) 中,選擇要允許的通訊協定類型。

      • 針對自訂 TCP 或 UDP,您必須輸入要允許的連接埠範圍。

      • 針對自訂 ICMP,則必須從 Protocol (通訊協定) 中選擇 ICMP 類型,然後再從 Port Range (連接埠範圍) 中選擇代碼 (若適用)。例如,若要允許 ping 命令,請在 Protocol (通訊協定) 中選擇 Echo Request (回聲請求)。

      • 如果是任何其他類型,則系統會自動為您設定通訊協定和連接埠範圍。

    2. 對於 Source (來源),請執行下列其中一項動作來允許流量。

      • 選擇 Custom (自訂),然後以 CIDR 標記法、CIDR 區塊、其他安全群組或字首清單輸入 IP 地址。

      • 選擇 Anywhere (隨處) 以允許指定通訊協定的所有流量可到達您的執行個體。此選項會自動新增 0.0.0.0/0 IPv4 CIDR 區塊作為來源。通常在測試環境中短暫進行此操作是沒有問題的,但用在生產環境則不安全。在生產環境中,建議您只授權特定 IP 地址或特定範圍的地址存取您的執行個體。

        如果您的安全性群組位於已啟用 IPv6 的 VPC 中,則此選項會自動為 ::/0 IPv6 CIDR 區塊新增規則。

      • 選擇 My IP (我的 IP) 以僅允許來自本機電腦的公有 IPv4 位址輸入流量。

    3. (選用) 針對 Description (描述),指定規則的簡短描述。

  5. 選擇 Preview changes (預覽變更)Save rules (儲存規則)

將輸出規則新增至安全性群組

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選取安全群組,然後選擇 Action (動作)、Edit outbound rules (編輯傳出規則)。

  4. 針對每個規則,選擇 Add rule (新增規則) 並執行下列動作。

    1. Type (類型) 中,選擇要允許的通訊協定類型。

      • 針對自訂 TCP 或 UDP,您必須輸入要允許的連接埠範圍。

      • 針對自訂 ICMP,則必須從 Protocol (通訊協定) 中選擇 ICMP 類型,然後再從 Port Range (連接埠範圍) 中選擇代碼 (若適用)。

      • 如果是任何其他類型,則系統會自動設定通訊協定和連接埠範圍。

    2. 針對 Destination (目的地),請執行下列其中一項動作。

      • 選擇自訂,然後以 CIDR 標記法、CIDR 區塊或其他允許輸入流量的安全群組或字首清單輸入 IP 地址。

      • 選擇 Anywhere (任何地方) 以允許所有 IP 位址的輸出流量。此選項會自動新增 0.0.0.0/0 IPv4 CIDR 區塊作為目的地。

        如果您的安全性群組位於已啟用 IPv6 的 VPC 中,則此選項會自動為 ::/0 IPv6 CIDR 區塊新增規則。

      • 選擇 My IP (我的 IP),以僅允許本機電腦公有 IPv4 地址的輸出流量。

    3. (選用) 針對 Description (描述),指定規則的簡短描述。

  5. 選擇 Preview changes (預覽變更)Confirm (確認)

Old console

將規則新增至安全性群組

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組),然後選取安全群組。

  3. Inbound (傳入) 標籤上,選擇 Edit (編輯)

  4. 在對話方塊中,選擇 Add Rule (新增規則),並執行下列作業:

    • 針對 Type (類型),選取通訊協定。

    • 若您選取自訂 TCP 或 UDP 通訊協定,請在 Port Range (連接埠範圍) 中指定連接埠範圍。

    • 若您選取自訂 ICMP 通訊協定,請從 Protocol (通訊協定) 中選擇 ICMP 類型名稱,然後再從 Port Range (連接埠範圍) 中選擇代碼名稱 (若適用)。例如,若要允許 ping 命令,請在 Protocol (通訊協定) 中選擇 Echo Request (回聲請求)。

    • 針對 Source (來源),選擇下列其中一個項目:

      • Custom (自訂):在提供的欄位中,您必須以 CIDR 表示法指定 IP 地址、CIDR 區塊,或其他安全群組。

      • Anywhere (隨處):自動新增 0.0.0.0/0 IPv4 CIDR 區塊。這個選項可啟用特定類型的所有流量,以觸達您的執行個體。通常在測試環境中短暫進行此作業是沒有問題的,但用在生產環境則不安全。在生產環境中,建議您只授權特定 IP 地址或特定範圍的地址存取您的執行個體。

        若您的安全群組位於啟用 IPv6 的 VPC 中,Anywhere (隨處) 選項會建立兩個規則:一條適用於 IPv4 流量 (0.0.0.0/0),另一條適用於 IPv6 流量 (::/0)。

      • My IP (我的 IP):自動新增您本機電腦的公有 IPv4 地址。

    • 針對 Description (描述),您可以選擇性地指定規則的描述。

    如需您可以新增之規則類型的詳細資訊,請參閱不同使用案例的安全群組規則

  5. 選擇 Save (儲存)。

  6. 您也可以指定傳出規則。在 Outbound tab (傳出標籤) 上,選擇 Edit (編輯)Add Rule (新增規則),然後執行下列作業:

    • 針對 Type (類型),選取通訊協定。

    • 若您選取自訂 TCP 或 UDP 通訊協定,請在 Port Range (連接埠範圍) 中指定連接埠範圍。

    • 若您選取自訂 ICMP 通訊協定,請從 Protocol (通訊協定) 中選擇 ICMP 類型名稱,然後再從 Port Range (連接埠範圍) 中選擇代碼名稱 (若適用)。

    • 針對 Destination (目標),選擇下列其中一個項目:

      • Custom (自訂):在提供的欄位中,您必須以 CIDR 表示法指定 IP 地址、CIDR 區塊,或其他安全群組。

      • Anywhere (隨處):自動新增 0.0.0.0/0 IPv4 CIDR 區塊。此選項會啟用流向所有 IP 地址的對外流量。

        若您的安全群組位於啟用 IPv6 的 VPC 中,Anywhere (隨處) 選項會建立兩個規則:一條適用於 IPv4 流量 (0.0.0.0/0),另一條適用於 IPv6 流量 (::/0)。

      • My IP (我的 IP):自動新增您本機電腦的 IP 地址。

    • 針對 Description (描述),您可以選擇性地指定規則的描述。

  7. 選擇 Save (儲存)。

Command line

將規則新增至安全性群組

請使用下列其中一個命令。

新增一或多個輸入規則至安全群組

請使用下列其中一個命令。

更新安全群組規則

您可以使用下列其中一種方法來更新安全性群組規則。更新的規則會自動套用至與安全群組相關聯的任何執行個體。

New console

當您使用主控台修改現有安全群組規則的通訊協定、連接埠範圍,或來源或目標時,主控台會刪除現有規則並為您建立新的規則。

更新安全群組規則

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)

  3. 選取安全群組。

  4. 選擇 Actions (動作),然後選擇 Edit inbound rules (編輯傳入規則) 以更新傳入流量規則,或者選擇 Actions (動作),然後選擇 Edit outbound rules (編輯傳出規則) 以更新傳出流量規則。

  5. 視需求更新規則。

  6. 選擇 Preview changes (預覽變更)Confirm (確認)

標記安全群組規則

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)

  3. 選取安全群組。

  4. Inbound rules (傳入規則) 或 Outbound rules (傳出規則) 索引標籤上,選取規則的核取方塊,然後選擇 Manage tags (管理標籤)。

  5. Manage tags (管理標籤) 頁面會顯示指派給規則的任何標籤。若要新增標籤,請選擇 Add tag (新增標籤),然後輸入標籤金鑰和值。若要刪除標籤,請在您要刪除的標籤旁邊選擇 Remove (移除)

  6. 選擇 Save changes (儲存變更)。

Old console

當您使用主控台修改現有安全群組規則的通訊協定、連接埠範圍,或來源或目標時,主控台會刪除現有規則並為您建立新的規則。

更新安全群組規則

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選取要更新的安全群組,選擇 Inbound (傳入) 索引標籤更新傳入流量規則,或 Outbound (傳出) 索引標籤更新傳出流量規則。

  4. 選擇 Edit (編輯)

  5. 依需求修改規則項目,然後選擇 Save (儲存)

Command line

您無法使用 Amazon EC2 API 或命令列工具修改現有規則的通訊協定、連接埠範圍,或來源或目標。相反的,您必須刪除現有規則並新增新的規則。但是,您可以更新現有規則的描述。

更新規則

請使用下列其中一個命令。

更新現有輸入規則的描述

請使用下列其中一個命令。

更新現有輸出規則的描述

請使用下列其中一個命令。

標記安全群組規則

請使用下列其中一個命令。

從安全群組刪除規則

當您從安全群組刪除規則時,變更會自動套用到所有與安全群組相關聯的任何執行個體。

您可以使用下列其中一種方法從安全性群組刪除規則。

New console

刪除安全群組規則

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選取要更新的安全性群組,選擇 Actions (動作),然後選擇 Edit inbound rules (編輯輸入規則) 以移除輸入規則,或選擇 Edit outbound rules (編輯輸出規則) 以移除輸出規則。

  4. 選擇規則右側的 刪除 按鈕以刪除。

  5. 選擇 Preview changes (預覽變更)Confirm (確認)

Old console

刪除安全群組規則

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選取安全群組。

  4. Inbound (傳入) 標籤上 (適用於傳入規則) 或 Outbound (傳出) 標籤上 (適用於傳出規則),選擇 Edit (編輯)。選擇要刪除之每個規則旁邊的 Delete (刪除) (一個十字圖示)。

  5. 選擇 Save (儲存)。

Command line

從安全群組中移除一或多個輸入規則

請使用下列其中一個命令。

從安全性群組移除一或多個輸出規則

請使用下列其中一個命令。

刪除安全群組

您無法刪除已和執行個體建立關聯的安全群組。您無法刪除預設安全群組。您無法刪除相同 VPC 中另一個安全群組中規則所參考的安全群組。若您的安全群組已由自身的規則參考,您必須先刪除規則,才能刪除安全群組。

New console

刪除安全群組

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選取要刪除的安全性群組,然後選擇 Actions (動作)Delete security group (刪除安全性群組)Delete (刪除)

Old console

刪除安全群組

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選取要刪除的安全群組,然後選擇 Actions (動作)Delete Security Group (刪除安全群組)

  4. 選擇 Yes, Delete (是,刪除)。

Command line

刪除安全群組

請使用下列其中一個命令。

將安全群組指派至執行個體

您可以在啟動執行個體時將一或多個安全群組指派給執行個體。您也可以在啟動範本中指定一或多個安全群組。安全群組將會指派給使用啟動範本啟動的所有執行個體。

變更執行個體的安全群組

啟動執行個體後,您可以透過新增或移除安全群組來變更其安全群組。您可以在執行個體處於 runningstopped 狀態時變更安全群組。

New console

使用主控台變更執行個體的安全群組

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Instances (執行個體)。

  3. 選取執行個體,然後選擇 動作安全性變更安全群組

  4. 對於關聯的安全群組,請從清單中選取安全群組,然後選擇新增安全群組

    若要移除關聯的安全群組,請為該安全群組選擇移除

  5. 選擇 Save (儲存)。

Old console

使用主控台變更執行個體的安全群組

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Instances (執行個體)。

  3. 選取您的執行個體,然後選擇 動作網路變更安全群組

  4. 若要新增一或多個安全群組,請選取其核取方塊。

    若要移除已關聯的安全群組,請清除其核取方塊。

  5. 選擇 Assign Security Groups (指派安全群組)

Command line

使用命令列變更執行個體的安全群組

請使用下列其中一個命令。