您的 VPC 的默认安全组
您的默认 VPC 和您创建的任何 VPC 都带有默认安全组。默认安全组的名称为“default”。
建议您为特定资源或资源组创建安全组,而不要使用默认安全组。然而如果您在创建时未将某些资源关联到安全组,我们会将其关联到默认安全组。例如,如果您在启动 EC2 实例时未指定安全组,则我们会将该实例关联到 VPC 的默认安全组。
默认安全组基本信息
-
您可以更改默认安全组的规则。
-
您无法删除默认安全组。如果您尝试删除默认安全组,会显示以下错误代码:
Client.CannotDelete。
默认规则
下表介绍默认安全组的默认入站规则。
| 来源 | 协议 | 端口范围 | 描述 |
|---|---|---|---|
sg-1234567890abcdef0 |
全部 | 全部 | 允许来自分配给此安全组的所有资源的入站流量。源为此安全组的 ID。 |
下表介绍默认安全组的默认出站规则。
| 目标位置 | 协议 | 端口范围 | 描述 |
|---|---|---|---|
| 0.0.0.0/0 | All | All | 允许所有的出站 IPv4 流量。 |
| ::/0 | All | All | 允许所有的出站 IPv6 流量。仅当 VPC 具有关联的 IPv6 CIDR 块时才添加此规则。 |
示例
下图显示了一个具有一个默认安全组、一个互联网网关和一个 NAT 网关的 VPC。默认安全组仅包含其默认规则,并且与在 VPC 中运行的两个 EC2 实例相关联。在此场景中,每个实例都可以在所有端口和协议上接收来自另一个实例的入站流量。默认规则不允许这些实例接收来自互联网网关或 NAT 网关的流量。如果您的实例必须接收更多流量,则建议您使用所需规则创建安全组,并将新的安全组与实例关联,而不是与默认安全组。
