安全组规则

• 您可以指定允许规则，但不可指定拒绝规则。

• 当您首次创建安全组时，它没有入站规则。因此，在将入站规则添加到安全组之前，不允许入站流量。

• 首次创建安全组时，它具有允许来自资源的所有出站流量的出站规则。您可以删除该规则并添加只允许特定出站流量的出站规则。如果您的安全组没有出站规则，则不允许出站流量。

• 当您将多个安全组与一个资源相关联时，来自每个安全组的规则将聚合形成一组规则，用于确定是否允许访问。

• 添加、更新或删除规则时，您的更改会自动应用于与安全组关联的所有资源。有关说明，请参阅 配置安全组规则。

• 某些规则变更产生的影响可能会取决于跟踪流量的方式。有关更多信息，请参阅《Amazon EC2 用户指南》中的连接跟踪。

• 当您创建安全组规则时，AWS 会将唯一 ID 分配给规则。当您使用 API 或 CLI 修改或删除某规则时，您可以使用该规则的 ID。

• 协议：允许的协议。最常见的协议为 6 (TCP)、17 (UDP) 和 1 (ICMP)。

• 端口范围：对于 TCP、UDP 或自定义协议，允许的端口范围。您可以指定单个端口号（例如 22）或端口号范围（例如7000-8000）。

• ICMP 类型和代码：对于 ICMP，ICMP 类型和代码。例如，对于 ICMP 回应请求使用类型 8，对 ICMPv6 回显请求使用键入 128。

• 源或目标：允许的流量的源（入站规则）或目标（出站规则）。指定下列项之一：

  • 一个 IPv4 地址。您必须使用 /32 前缀长度。例如，203.0.113.1/32。

  • 一个 IPv6 地址。您必须使用 /128 前缀长度。例如，2001:db8:1234:1a00::123/128。

  • 采用 CIDR 块表示法的 IPv4 地址范围。例如，203.0.113.0/24。

  • 采用 CIDR 块表示法的 IPv6 地址范围。例如，2001:db8:1234:1a00::/64。

  • 前缀列表的 ID。例如，pl-1234abc1234abc123。有关更多信息，请参阅 使用托管前缀列表合并和管理网络 CIDR 块。

  • 安全组的 ID。例如，sg-1234567890abcdef0。有关更多信息，请参阅 引用安全组。

• （可选）描述：您可以添加规则的说明；这可帮助您在以后识别它。描述的长度最多为 255 个字符。允许的字符包括 a-z、A-Z、0-9、空格和 ._-:/()#,@[]+=;{}!$*。

在安全组规则中引用安全组时，请注意以下几点：

• 两个安全组必须属于同一 VPC 或对等 VPC。

• 不得向引用安全组的安全组添加引用安全组中的任何规则。

• 对于入站规则，与安全组关联的 EC2 实例可以接收来自与引用安全组关联的 EC2 实例的私有 IP 地址的入站流量。

• 对于出站规则，与安全组关联的 EC2 实例可以向与引用安全组关联的 EC2 实例的私有 IP 地址发送出站流量。

示例

下图显示了一个在两个可用区内分布子网，此外还拥有一个互联网网关和一个应用程序负载均衡器的 VPC。每个可用区都有一个用于 Web 服务器的公有子网和一个用于数据库服务器的私有子网。负载均衡器、Web 服务器和数据库服务器有单独的安全组。创建以下安全组规则以允许流量。

• 向负载均衡器安全组添加规则，以允许来自互联网的 HTTP 和 HTTPS 流量。来源是 0.0.0.0/0。

• 向 Web 服务器的安全组添加规则，以仅允许来自负载均衡器的 HTTP 和 HTTPS 流量。来源是负载均衡器的安全组。

• 向数据库服务器的安全组添加规则，以允许来自 Web 服务器的数据库请求。来源是 Web 服务器的安全组。

• 引用 CIDR 块的规则计为一条规则。

• 无论引用的安全组大小如何，引用其他安全组的规则均计为一条规则。

• 引用客户托管式前缀列表的规则计为前缀列表的最大大小。例如，如果前缀列表的最大大小为 20，则引用此前缀列表的规则计为 20 条规则。

• 引用 AWS 托管式前缀列表的规则计为前缀列表的权重。例如，如果前缀列表的权重为 10，则引用此前缀列表的规则计为 10 条规则。有关更多信息，请参阅 可用的 AWS 托管前缀列表。