WKLD.11 — 使用安全組限制網絡訪問 - AWS規範指導

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

WKLD.11 — 使用安全組限制網絡訪問

使用安全組控制到 EC2 實例、RDS 數據庫和其他受支持的資源的流量。安全組充當虛擬防火牆,可應用於任何相關資源組,以便一致地定義允許入站和出站流量的規則。除了基於 IP 地址和端口的規則外,安全組還支持允許來自與其他安全組關聯的資源的流量的規則。例如,數據庫安全組可以具有僅允許來自應用程序服務器安全組的流量的規則。

安全組會允許所有傳出流量,但不允許入站流量。可以刪除出站流量規則,也可以配置添加其他規則來限制出站流量並允許入站流量。如果安全組沒有傳出規則,將不會允許來自您的實例的出站流量。如需詳細資訊,請參閱「」使用安全組控制到資源的流量(Amazon VPC 文件)。

在以下示例中,有三個安全組控制從 Application Load Balancer 到連接到 Amazon RDS for MySQL 數據庫的 EC2 實例的流量。

安全群組 傳入規則 傳出規則

Application Load Balancer 安全

描述:允許來自任何地方的 HTTPS 流量

類型:HTTPS

來源:任何位置-IPv4 (0.0.0.0/0)

描述:允許所有流量到任何位置

類型:所有流量

目標:任何位置-IPv4 (0.0.0.0/0)

EC2 執行個體安全

描述:允許來自 Application Load Balancer 的 HTTP 流量

類型:HTTP

來源:Application Load Balancer 安全

描述:允許所有流量到任何位置

類型:所有流量

目標:任何位置-IPv4 (0.0.0.0/0)

RDS 資料庫安全組

描述:允許來自 EC2 實例的 MySQL 流量

類型:MySQL

來源:EC2 執行個體安全

無傳出規則