本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 為您的 Amazon EC2 執行個體建立安全群組。 安全群組就像是防火牆,用於關聯的執行個體,可在執行個體層級控制傳入及傳出流量。您可以將規則新增至安全群組,讓您能夠使用 SSH (Linux 執行個體) 或 RDP (Windows 執行個體) 連線至執行個體。您也可以新增允許用戶端流量的規則,例如,目的地為 Web 伺服器的 HTTP 和 HTTPS 流量。 您可以在啟動執行個體時,為執行個體指派安全群組。當您新增或移除規則時,這些變更會自動套用到所有您已指派該安全群組的執行個體。 在您啟動執行個體之後,您便無法變更指派給它的安全群組。如需詳細資訊,請參閱[變更 Amazon EC2 執行個體的安全群組。](changing-security-group.md)。 您可以在建立安全群組時新增傳入和傳出安全群組規則,也可以稍後再新增這些規則。如需詳細資訊,請參閱[設定安全群組規則](changing-security-group.md#add-remove-security-group-rules)。如需可新增至安全群組的規則範例,請參閱[不同使用案例的安全群組規則](security-group-rules-reference.md)。 **考量事項** + 新的安全群組一開始只有允許流量離開資源的傳出規則。您必須新增規則啟用任何傳入流量,或是限制傳出流量。 + 為允許 SSH 或 RDP 存取執行個體的規則設定來源時,請勿允許從任何地方存取,因為它會允許從網際網路上的所有 IP 位址存取執行個體。通常在測試環境中短暫進行此操作是沒有問題的,但用在生產環境則不安全。 + 若特定連接埠有超過一個規則,Amazon EC2 會套用最寬鬆的規則。例如,若您有一個規則,允許 IP 位址 203.0.113.1 存取 TCP 連接埠 22 (SSH);另一個規則允許所有人存取 TCP 連接埠 22,則所有人皆能存取 TCP 連接埠 22。 + 您可以將多個安全性群組指派給執行個體。因此,執行個體可以有數百個適用的規則。這可能會在您存取執行個體時產生問題。但建議您盡可能緊縮您的規則。 + 當您將安全群組指定為規則的來源或目標時,規則會影響所有與安全群組相關聯的執行個體。傳入流量會根據與來源安全群組相關聯之執行個體的私有 IP 地址允許 (而非公有 IP 或彈性 IP 地址)。如需有關 IP 地址的詳細資訊,請參閱 [Amazon EC2 執行個體 IP 定址](using-instance-addressing.md)。 + 請注意,根據預設 Amazon EC2 會封鎖連接埠 25 上的流量。如需詳細資訊,請參閱[使用通訊埠 25 傳送的電子郵件限制](ec2-resource-limits.md#port-25-throttle)。 ------ #### [ Console ] **建立安全群組** 1. 在 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。 1. 在導覽窗格中,選擇 **Security Groups** (安全群組)。 1. 選擇 **Create Security Group** (建立安全群組)。 1. 輸入安全性群組的描述性名稱和簡短描述。您無法在建立安全群組之後變更安全群組的名稱和說明。 1. 針對 **VPC**,選擇您要在其中執行 Amazon EC2 執行個體的 VPC。 1. (選用) 若要新增傳入規則,請選擇**傳入規則**。針對每個規則,選擇**新增規則**並指定通訊協定、連接埠和來源。例如,若要允許 SSH 流量,請選擇 **SSH** for **Type**,並為**來源**指定電腦或網路的公有 IPv4 地址。 1. (選用) 若要新增傳出規則,請選擇**傳出規則**。針對每個規則,選擇**新增規則**並指定通訊協定、連接埠和目的地。在 Outbound (傳出) 索引標籤上,保留允許所有傳出流量的預設規則。 1. (選用) 若要新增標籤,請選擇 **Add new tag** (新增標籤),然後輸入標籤金鑰和值。 1. 選擇**建立安全群組**。 ------ #### [ AWS CLI ] **建立安全群組** 使用下面的 [create-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html) 命令。 ``` aws ec2 create-security-group \ --group-name my-security-group \ --description "my security group" \ --vpc-id vpc-1234567890abcdef0 ``` 若要了解新增規則的範例,請參閱 [設定安全群組規則](changing-security-group.md#add-remove-security-group-rules)。 ------ #### [ PowerShell ] **建立安全群組** 使用 [New-EC2SecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2SecurityGroup.html) cmdlet。 ``` New-EC2SecurityGroup ` -GroupName my-security-group ` -Description "my security group" ` -VpcId vpc-1234567890abcdef0 ``` 若要了解新增規則的範例,請參閱 [設定安全群組規則](changing-security-group.md#add-remove-security-group-rules)。 ------