使用安全群組 - Amazon Elastic Compute Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用安全群組

您可以在啟動執行個體時,為執行個體指派安全群組。當您新增或移除規則時,這些變更會自動套用到所有您已指派該安全群組的執行個體。如需詳細資訊,請參閱 將安全群組指派至執行個體

在您啟動執行個體之後,您可變更其安全群組。如需詳細資訊,請參閱 變更執行個體的安全群組

您可以使用 Amazon EC2 主控台與命令列工具建立、檢視、更新和刪除安全群組和安全群組規則。

建立安全群組

雖然您可以針對您的執行個體使用預設安全群組,但您可能會希望建立您自己的群組,以反映執行個體在您系統上所扮演的不同角色。

根據預設,新的安全群組一開始只有允許流量離開執行個體的傳出規則。您必須新增規則啟用任何傳入流量,或是限制傳出流量。

安全群組只能在建立該群組的 VPC 中使用。

Console
建立安全群組
  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選擇 Create Security Group (建立安全群組)

  4. Basic details (基本詳細資訊) 區段中,執行下列動作。

    1. 輸入安全性群組的描述性名稱和簡短描述。建立安全群組之後,就無法再度編輯。名稱和描述最多可包含 255 個字元。有效字元為 a-z、A-Z、0-9、空格鍵和 ._-:/()#,@[]+=&;{}!$*。

    2. 對於 VPC,請選擇 VPC。

  5. 您可以立即新增安全群組規則,也可以稍後再新增。如需詳細資訊,請參閱 將規則新增至安全群組

  6. 您可以立即新增標籤,也可以稍後再新增。若要新增標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的索引鍵和值。

  7. 選擇 Create Security Group (建立安全群組)

Command line
建立安全群組

請使用以下其中一個命令:

複製安全群組

您可以建立現有安全性群組的複本,以建立新的安全性群組。當您複製安全性群組時,系統會使用與原始安全性群組相同的輸入和輸出規則來建立複本。如果原始安全性群組位於 VPC 中,除非您指定其他安全性群組,否則系統會在同一個 VPC 中建立複本。

複本會收到新的唯一安全性群組 ID,而您必須為它命名。您也可以新增描述。

您無法將安全性群組從一個區域複製到另一個區域。

您可以使用 Amazon EC2 主控台建立您的安全群組的複本。

複製安全性群組
  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選取要複製的安全性群組,然後選取 Actions (動作)Copy to new security group (複製到新的安全性群組)

  4. 指定名稱和選擇性描述,並視需要變更 VPC 和安全群組規則。

  5. 選擇 Create (建立)。

檢視您的安全群組

您可以使用下列其中一種方法來檢視安全性群組的相關資訊。

Console
檢視您的安全性群組
  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 系統會列出您的安全性群組。若要檢視包括其輸入和輸出規則等特定安全群組詳細資訊,請在 Security group ID (安全性群組 ID) 欄中選擇其 ID。

Command line
檢視您的安全性群組

請使用下列其中一個命令。

Amazon EC2 Global View

您可以使用 Amazon EC2 全域檢視來檢視已啟用您的 AWS 帳戶的所有區域的安全群組。如需詳細資訊,請參閱 Amazon EC2 全域檢視

將規則新增至安全群組

當您為安全群組新增規則時,新規則會自動套用到所有與安全群組相關聯的任何執行個體。規則在套用之前可能會有短暫的延遲。如需詳細資訊,請參閱 不同使用案例的安全群組規則安全群組規則

Console
將傳入規則新增至安全群組
  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選取安全群組,然後選取 Actions (動作)、Edit inbound rules (編輯傳入規則)。

  4. 針對每個規則,選擇 Add rule (新增規則) 並執行下列動作。

    1. Type (類型) 中,選擇要允許的通訊協定類型。

      • 對於 [自訂 TCP] 或 [自訂 UDP],您必須輸入要允許的連接埠範圍。例如 0-99

      • 對於「自訂 ICMP」,您必須從「通訊協定」中選擇 ICMP 類型。連接埠範圍已為您設定。例如,若要允許 ping 命令,請在 Protocol (通訊協定) 中選擇 Echo Request (回聲請求)。

      • 如果是任何其他類型,則系統會自動為您設定通訊協定和連接埠範圍。

    2. 對於 Source (來源),請執行下列其中一項動作來允許流量。

      • 選擇 Custom (自訂),然後以 CIDR 標記法、CIDR 區塊、其他安全群組或字首清單輸入 IP 地址。

      • 選擇 Anywhere (隨處) 以允許指定通訊協定的所有流量可到達您的執行個體。此選項會自動新增 0.0.0.0/0 IPv4 CIDR 區塊作為來源。如果您的安全性群組位於已啟用 IPv6 的 VPC 中,則此選項會自動為 ::/0 IPv6 CIDR 區塊新增規則。

        警告

        如果選擇 Anywhere (隨處),則可讓所有 IPv4 和 IPv6 地址使用指定的通訊協定存取您的執行個體。如果您要新增連接埠 22 (SSH) 或 3389 (RDP) 的規則,則應只授權特定 IP 地址或特定範圍的地址來存取您的執行個體。

      • 選擇 My IP (我的 IP) 以僅允許來自本機電腦的公有 IPv4 位址輸入流量。

    3. (選用) 針對 Description (描述),指定規則的簡短描述。

  5. 選擇 Preview changes (預覽變更)Save rules (儲存規則)

將輸出規則新增至安全性群組
  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選取安全群組,然後選取 Action (動作)、Edit outbound rules (編輯傳出規則)。

  4. 針對每個規則,選擇 Add rule (新增規則) 並執行下列動作。

    1. Type (類型) 中,選擇要允許的通訊協定類型。

      • 對於 [自訂 TCP] 或 [自訂 UDP],您必須輸入要允許的連接埠範圍。例如 0-99

      • 對於「自訂 ICMP」,您必須從「通訊協定」中選擇 ICMP 類型。連接埠範圍已為您設定。

      • 如果是任何其他類型,則系統會自動設定通訊協定和連接埠範圍。

    2. 針對 Destination (目的地),請執行下列其中一項動作。

      • 選擇自訂,然後以 CIDR 標記法、CIDR 區塊或其他允許輸入流量的安全群組或字首清單輸入 IP 地址。

      • 選擇 Anywhere (任何地方) 以允許所有 IP 地址的輸出流量。此選項會自動新增 0.0.0.0/0 IPv4 CIDR 區塊作為目的地。

        如果您的安全性群組位於已啟用 IPv6 的 VPC 中,則此選項會自動為 ::/0 IPv6 CIDR 區塊新增規則。

      • 選擇 My IP (我的 IP),以僅允許本機電腦公有 IPv4 地址的輸出流量。

    3. (選用) 針對 Description (描述),指定規則的簡短描述。

  5. 選擇 Preview changes (預覽變更)Confirm (確認)

Command line
將規則新增至安全性群組

請使用下列其中一個命令。

新增一或多個輸入規則至安全群組

請使用下列其中一個命令。

更新安全群組規則

您可以使用下列其中一種方法來更新安全性群組規則。更新的規則會自動套用至與安全群組相關聯的任何執行個體。

Console

當您使用主控台修改現有安全群組規則的通訊協定、連接埠範圍,或來源或目標時,主控台會刪除現有規則並為您建立新的規則。

更新安全群組規則
  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選取安全群組。

  4. 選擇 Actions (動作),然後選擇 Edit inbound rules (編輯傳入規則) 以更新傳入流量規則,或者選擇 Actions (動作),然後選擇 Edit outbound rules (編輯傳出規則) 以更新傳出流量規則。

  5. 視需求更新規則。

  6. 選擇 Preview changes (預覽變更)Confirm (確認)

標記安全群組規則
  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選取安全群組。

  4. Inbound rules (傳入規則) 或 Outbound rules (傳出規則) 索引標籤上,選取規則的核取方塊,然後選取 Manage tags (管理標籤)。

  5. Manage tags (管理標籤) 頁面會顯示指派給規則的任何標籤。若要新增標籤,請選擇 Add tag (新增標籤),然後輸入標籤金鑰和值。若要移除標籤,請在您要移除的標籤旁邊選擇 Remove (移除)

  6. 選擇 Save changes (儲存變更)。

Command line

您無法使用 Amazon EC2 API 或命令列工具修改現有規則的通訊協定、連接埠範圍,或來源或目標。相反的,您必須刪除現有規則並新增新的規則。但是,您可以更新現有規則的描述。

更新規則

請使用下列其中一個命令。

更新現有輸入規則的描述

請使用下列其中一個命令。

更新現有輸出規則的描述

請使用下列其中一個命令。

標記安全群組規則

請使用下列其中一個命令。

從安全群組刪除規則

當您從安全群組刪除規則時,變更會自動套用到所有與安全群組相關聯的任何執行個體。

您可以使用下列其中一種方法從安全性群組刪除規則。

Console
刪除安全群組規則
  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選取要更新的安全性群組,選取 Actions (動作),然後選取 Edit inbound rules (編輯輸入規則) 以移除輸入規則,或選取 Edit outbound rules (編輯輸出規則) 以移除輸出規則。

  4. 選擇規則右側的 刪除 按鈕以刪除。

  5. 選擇儲存規則。或者,選擇預覽變更,檢閱變更,然後選擇確認

Command line
從安全群組中移除一或多個輸入規則

請使用下列其中一個命令。

從安全性群組移除一或多個輸出規則

請使用下列其中一個命令。

刪除安全群組

您無法刪除已和執行個體建立關聯的安全群組。您無法刪除預設安全群組。您無法刪除相同 VPC 中另一個安全群組中規則所參考的安全群組。若您的安全群組已由自身的規則參考,您必須先刪除規則,才能刪除安全群組。

Console
刪除安全群組
  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選取安全群組,然後選擇動作刪除安全群組

  4. 出現確認提示時,請選擇刪除

Command line
刪除安全群組

請使用下列其中一個命令。

將安全群組指派至執行個體

您可以在啟動執行個體時將一或多個安全群組指派給執行個體。您也可以在啟動範本中指定一或多個安全群組。安全群組會指派給使用啟動範本啟動的所有執行個體。

變更執行個體的安全群組

啟動執行個體後,您可以透過新增或移除安全群組來變更其安全群組。

要求
  • 執行個體必須處於 runningstopped 狀態。

  • 安全群組是特定於 VPC 的。您可以將安全群組指派給您為其建立安全群組的 VPC 中啟動的一個或多個執行個體。

Console
變更執行個體的安全群組
  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Instances (執行個體)。

  3. 選取執行個體,然後選取 動作安全性變更安全群組

  4. 對於關聯的安全群組,請從清單中選取安全群組,然後選取新增安全群組

    若要移除關聯的安全群組,請為該安全群組選擇移除

  5. 選擇 Save (儲存)。

Command line
變更執行個體的安全群組

請使用下列其中一個命令。