使用安全群組 - AWS OpsWorks
安全群組

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用安全群組

重要

該 AWS OpsWorks Stacks 服務於 2024 年 5 月 26 日終止使用壽命,並已針對新客戶和現有客戶停用。我們強烈建議客戶盡快將其工作負載移轉至其他解決方案。如果您對移轉有任何疑問,請透過 AWS Re: post 或透過進AWS 階 Support 與 AWS Support 團隊聯絡。

安全群組

重要

該 AWS OpsWorks Stacks 服務於 2024 年 5 月 26 日終止使用壽命,並已針對新客戶和現有客戶停用。我們強烈建議客戶盡快將其工作負載移轉至其他解決方案。如果您對移轉有任何疑問,請透過 AWS Re: post 或透過進AWS 階 Support 與 AWS Support 團隊聯絡。

每個 Amazon EC2 執行個體都有一或多個管理執行個體網路流量的關聯安全群組,就像防火牆一樣。安全群組有一或多個「規則」,每一個都會指定允許流量的特定類別。指定下列項目的規則:

  • 允許流量的類型,例如 SSH 或 HTTP

  • 此流量的通訊協定,例如 TCP 或 UDP

  • 流量來源的 IP 地址範圍

  • 流量的允許連接埠範圍

安全群組有兩種規則類型:

  • 傳入規則管理傳入的網路流量。

    例如,應用程式伺服器執行個體通常有一個傳入規則允許來自任何 IP 地址的 HTTP 流量傳入連接埠 80,另一個傳入規則允許來自指定 IP 地址集的 SSH 流量傳入連接埠 22。

  • 傳出規則管理傳出的網路流量。

    常用實務是使用允許任何傳出流量的預設設定。

如需有關安全群組的詳細資訊,請參閱 Amazon EC2 安全群組

當您第一次在區域中建立堆疊時, AWS OpsWorks Stacks 會使用適當的規則,為每個層建立內建的安全性群組。所有的群組都有允許所有傳出流量的預設傳出規則。一般而言,傳入規則允許下列項目:

  • 來自適當 AWS OpsWorks 堆疊層的輸入 TCP、UDP 和 ICMP 流量

  • 連接埠 22 上的傳入 TCP 流量 (SSH 登入)

    警告

    預設的安全群組組態會向任何網路位置 (0.0.0.0/0) 開放 SSH (連接埠 22)。這可讓所有 IP 地址使用 SSH 存取您的執行個體。對於生產環境,您必須使用只允許特定 IP 地址或地址範圍之 SSH 存取的組態。在它們建立後立即更新預設的安全群組,或改用自訂的安全群組。

  • 對於 Web 伺服器 layer,所有的傳入 TCP 以及 UDP 流量流向連接埠 80 (HTTP) 和 443 (HTTPS)

注意

內建的 AWS-OpsWorks-RDP-Server 安全群組會指派給所有的 Windows 執行個體,以允許 RDP 存取。不過,根據預設,它沒有任何規則。如果您執行的是 Windows 堆疊,並想要使用 RDP 存取執行個體,您必須新增允許 RDP 存取的傳入規則。如需詳細資訊,請參閱 使用 RDP 登入

若要查看每個群組的詳細資訊,請前往 Amazon EC2 主控台,在導覽窗格中選取安全群組,然後選取適當層的安全群組。例如,AWS OpsWorks-預設伺服器是所有堆疊的預設內建安全群組,而 AWS OpsWorks-WebApp 是 Chef 12 範例堆疊的預設內建安全群組。

注意

如果您不小心刪除了「 AWS OpsWorks 堆疊」安全性群組,建議重新建立該群組的方式是讓「 AWS OpsWorks 堆疊」為您執行工作。只要在同一個 AWS 區域建立新堆疊 — 如果存在 VPC, AWS OpsWorks Stacks 就會自動重新建立所有內建安全群組,包括您刪除的安全群組。您接著可以刪除您不再需要使用的堆疊,安全群組仍會留下。如果您想要手動重新建立安全群組,它必須是和原始安全群組完全一致 (包含群組名稱大小寫) 的複本。

此外,如果發生下列任何一種情況, AWS OpsWorks Stack 會嘗試重新建立所有內建安全群組:

  • 您可以在「堆 AWS OpsWorks 疊」主控台中對堆疊的設定頁面進行任何變更。

  • 您啟動其中一個堆疊的執行個體。

  • 您建立新的堆疊。

您可以使用以下任一種方法指定安全群組。建立堆疊時,您可以使用 [使用 OpsWorks 安全性群組] 設定來指定您的偏好設定。

  • (預設設定) — AWS OpsWorks 堆疊會自動將適當的內建安全性群組與每一層建立關聯。

    您可以新增自訂安全群組與您偏好的設定,微調 layer 的內建安全群組。但是,當 Amazon EC2 評估多個安全群組時,它會使用限制性最低的規則,因此您無法使用此方法指定比內建群組更嚴格的規則。

  • — AWS OpsWorks 堆疊不會將內建安全性群組與圖層建立關聯。

    您必須建立適當的安全群組,並建立至少一個安全群組與您所建之每個 layer 的關聯。使用此方法指定比內建群組更嚴格的規則。請注意,只要您想要,您仍然可以手動建立內建安全群組與 layer 的關聯;只有需要自訂設定的 layer 才需要自訂的安全群組。

重要

如果您使用內建的安全群組,您即無法透過手動修改群組設定來建立更嚴格的規則。每次建立堆疊時, AWS OpsWorks Stacks 都會覆寫內建安全性群組的設定,因此您所做的任何變更都會在您下次建立堆疊時遺失。如果層需要比內建安全性群組更嚴格的安全性群組設定,請將 [使用 OpsWorks安全性群組] 設定為 [],使用您偏好的設定建立自訂安全性群組,然後在建立時將其指派給層。