本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用安全群組
重要
該 AWS OpsWorks Stacks 服務於 2024 年 5 月 26 日終止使用壽命,並已針對新客戶和現有客戶停用。我們強烈建議客戶盡快將其工作負載移轉至其他解決方案。如果您對移轉有任何疑問,請透過 AWS Re: post
安全群組
重要
該 AWS OpsWorks Stacks 服務於 2024 年 5 月 26 日終止使用壽命,並已針對新客戶和現有客戶停用。我們強烈建議客戶盡快將其工作負載移轉至其他解決方案。如果您對移轉有任何疑問,請透過 AWS Re: post
每個 Amazon EC2 執行個體都有一或多個管理執行個體網路流量的關聯安全群組,就像防火牆一樣。安全群組有一或多個「規則」,每一個都會指定允許流量的特定類別。指定下列項目的規則:
-
允許流量的類型,例如 SSH 或 HTTP
-
此流量的通訊協定,例如 TCP 或 UDP
-
流量來源的 IP 地址範圍
-
流量的允許連接埠範圍
安全群組有兩種規則類型:
-
傳入規則管理傳入的網路流量。
例如,應用程式伺服器執行個體通常有一個傳入規則允許來自任何 IP 地址的 HTTP 流量傳入連接埠 80,另一個傳入規則允許來自指定 IP 地址集的 SSH 流量傳入連接埠 22。
-
傳出規則管理傳出的網路流量。
常用實務是使用允許任何傳出流量的預設設定。
如需有關安全群組的詳細資訊,請參閱 Amazon EC2 安全群組。
當您第一次在區域中建立堆疊時, AWS OpsWorks Stacks 會使用適當的規則,為每個層建立內建的安全性群組。所有的群組都有允許所有傳出流量的預設傳出規則。一般而言,傳入規則允許下列項目:
-
來自適當 AWS OpsWorks 堆疊層的輸入 TCP、UDP 和 ICMP 流量
-
連接埠 22 上的傳入 TCP 流量 (SSH 登入)
警告
預設的安全群組組態會向任何網路位置 (0.0.0.0/0) 開放 SSH (連接埠 22)。這可讓所有 IP 地址使用 SSH 存取您的執行個體。對於生產環境,您必須使用只允許特定 IP 地址或地址範圍之 SSH 存取的組態。在它們建立後立即更新預設的安全群組,或改用自訂的安全群組。
-
對於 Web 伺服器 layer,所有的傳入 TCP 以及 UDP 流量流向連接埠 80 (HTTP) 和 443 (HTTPS)
注意
內建的 AWS-OpsWorks-RDP-Server
安全群組會指派給所有的 Windows 執行個體,以允許 RDP 存取。不過,根據預設,它沒有任何規則。如果您執行的是 Windows 堆疊,並想要使用 RDP 存取執行個體,您必須新增允許 RDP 存取的傳入規則。如需詳細資訊,請參閱 使用 RDP 登入。
若要查看每個群組的詳細資訊,請前往 Amazon EC2 主控台
注意
如果您不小心刪除了「 AWS OpsWorks 堆疊」安全性群組,建議重新建立該群組的方式是讓「 AWS OpsWorks 堆疊」為您執行工作。只要在同一個 AWS 區域建立新堆疊 — 如果存在 VPC, AWS OpsWorks Stacks 就會自動重新建立所有內建安全群組,包括您刪除的安全群組。您接著可以刪除您不再需要使用的堆疊,安全群組仍會留下。如果您想要手動重新建立安全群組,它必須是和原始安全群組完全一致 (包含群組名稱大小寫) 的複本。
此外,如果發生下列任何一種情況, AWS OpsWorks Stack 會嘗試重新建立所有內建安全群組:
-
您可以在「堆 AWS OpsWorks 疊」主控台中對堆疊的設定頁面進行任何變更。
-
您啟動其中一個堆疊的執行個體。
-
您建立新的堆疊。
您可以使用以下任一種方法指定安全群組。建立堆疊時,您可以使用 [使用 OpsWorks 安全性群組] 設定來指定您的偏好設定。
-
是 (預設設定) — AWS OpsWorks 堆疊會自動將適當的內建安全性群組與每一層建立關聯。
您可以新增自訂安全群組與您偏好的設定,微調 layer 的內建安全群組。但是,當 Amazon EC2 評估多個安全群組時,它會使用限制性最低的規則,因此您無法使用此方法指定比內建群組更嚴格的規則。
-
否 — AWS OpsWorks 堆疊不會將內建安全性群組與圖層建立關聯。
您必須建立適當的安全群組,並建立至少一個安全群組與您所建之每個 layer 的關聯。使用此方法指定比內建群組更嚴格的規則。請注意,只要您想要,您仍然可以手動建立內建安全群組與 layer 的關聯;只有需要自訂設定的 layer 才需要自訂的安全群組。
重要
如果您使用內建的安全群組,您即無法透過手動修改群組設定來建立更嚴格的規則。每次建立堆疊時, AWS OpsWorks Stacks 都會覆寫內建安全性群組的設定,因此您所做的任何變更都會在您下次建立堆疊時遺失。如果層需要比內建安全性群組更嚴格的安全性群組設定,請將 [使用 OpsWorks安全性群組] 設定為 [否],使用您偏好的設定建立自訂安全性群組,然後在建立時將其指派給層。