WKLD.11 使用安全群組限制網路存取

使用安全群組控制 EC2 執行個體、RDS 資料庫和其他支援資源的流量。安全群組可作為虛擬防火牆，可套用於任何相關資源群組，以一致地定義允許傳入和傳出流量的規則。除了基於 IP 地址和連接埠的規則之外，安全群組還支援允許來自與其他安全群組關聯的資源的流量的規則。例如，資料庫安全群組可以具有僅允許來自應用程式伺服器安全群組的流量的規則。

依預設，安全群組允許所有傳出流量，但不允許傳入流量。您可以移除傳出流量規則，也可以設定新增的其他規則以限制傳出流量並允許傳入流量。如果安全群組沒有傳出規則，將不會允許來自您執行個體的傳出流量。如需詳細資訊，請參閱使用安全組控制到資源的流量 (Amazon VPC 文件)。

在下列範例中，有三個安全群組控制從 Application Load Balancer 到連接至 Amazon RDS for MySQL 資料庫的 EC2 執行個體的流量。

安全群組	傳入規則	傳出規則
Application Load Balancer 安全群組	描述：允許來自任何地方的 HTTPS 流量 類型：HTTPS 來源：Anywhere-IPv4 (0.0.0.0/0)	描述：允許來自任何地方的所有流量 類型：所有流量 目的地：Anywhere-IPv4 (0.0.0.0/0)
EC2 執行個體安全群組	描述：允許來自 Application Load Balancer 的 HTTP 流量 類型：HTTP 來源：Application Load Balancer 安全群組	描述：允許來自任何地方的所有流量 類型：所有流量 目的地：Anywhere-IPv4 (0.0.0.0/0)
RDS 資料庫安全群組	描述：允許來自 EC2 執行個體的 MySQL 流量 類型：MySQL 來源：EC2 執行個體安全群組	無傳出規則