預設和自訂安全性群組 - Amazon Elastic Compute Cloud

預設和自訂安全性群組

您的 AWS 帳戶針對每個區域中的預設 VPC 都具有一個自動預設安全群組。若您並未在啟動執行個體時指定安全群組,則執行個體會自動與 VPC 的預設安全群組相關聯。若您不希望執行個體使用預設安全群組,您可以建立自訂安全群組,並在啟動執行個體時指定安全群組。

預設安全群組

您的 AWS 帳戶針對每個區域中的預設 VPC 都具有一個自動預設安全群組。若您並未在啟動執行個體時指定安全群組,則執行個體會自動與 VPC 的預設安全群組相關聯。

預設安全群組名為「default」,其 ID 由 AWS 指派。下表說明預設安全群組的預設規則。

傳入規則
來源 通訊協定 連接埠範圍 描述

安全群組 ID (其本身的資源 ID)

全部

全部

允許來自網路介面和被指派到相同安全群組的執行個體中的傳入流量。

傳出規則
目的地 通訊協定 連接埠範圍 描述

0.0.0.0/0

全部

全部

允許所有傳出 IPv4 流量。

::/0

全部

全部

允許所有傳出 IPv6 流量。只有在 VPC 有相關聯的 IPv6 CIDR 區塊時,才會新增此規則。

您可以新增或移除任何預設安全群組的傳入及傳出規則。

您無法刪除預設安全群組。若您嘗試刪除預設安全群組,便會看見下列錯誤:Client.CannotDelete: the specified group: "sg-51530134" name: "default" cannot be deleted by a user

自訂安全群組

若您不希望執行個體使用預設安全群組,您可以建立您自己的安全群組,並在啟動執行個體時指定它們。您可以建立多個安全群組,反映您執行個體擔任的不同角色。例如:Web 伺服器或資料庫伺服器。

當您建立安全群組時,您必須提供名稱和描述。安全群組的名稱和描述長度最高可達 255 個字元,並且限制使用下列字元:

a-z、A-Z、0-9、空格鍵,以及 ._-:/()#,@[]+=&;{}!$*

安全群組名稱的開頭不能是下列字元:sg-。安全群組名稱對於 VPC 必須是唯一的。

以下是您建立之安全群組的預設規則:

  • 不允許對內流量

  • 允許所有對外流量

在您建立安全群組之後,您可以變更其對內規則,反映您希望觸達相關聯執行個體的對內流量類型。您也可以變更其傳出規則。

如需您可以新增至安全群組之規則的詳細資訊,請參閱不同使用案例的安全群組規則