本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

EC2 執行個體的 Amazon EC2安全群組

安全群組可做為EC2執行個體的虛擬防火牆，以控制傳入和傳出流量。傳入規則會控制傳入至您的執行個體的流量，以及傳出規則會控制從您的執行個體傳出的流量。啟動執行個體時，您會為其指派一個或多個安全群組。如果您未指定安全群組，Amazon EC2會使用 的預設安全群組VPC。在您啟動執行個體之後，您可變更其安全群組。

安全性是 AWS 和 之間的共同責任。如需詳細資訊，請參閱 Amazon 的安全性 EC2。 AWS 提供安全群組作為保護執行個體的工具之一，而且您需要設定這些群組以符合您的安全需求。若您有安全群組無法完全滿足的需求，您可以在使用安全群組的同時在您的任何執行個體上維持您自己的防火牆。

定價

使用安全群組無需額外收費。

概要

安全群組只能用於VPC為其建立的 。您可以將每個執行個體與多個安全群組建立關聯，也可以將每個安全群組與多個執行個體建立關聯。您在各個安全群組新增規則，允許流量往返於建立關聯的執行個體。您可隨時修改安全群組規則。新的、修改過的規則會自動套用至與安全群組建立關聯的所有執行個體。當 Amazon EC2決定是否允許流量到達執行個體時，它會評估與執行個體相關聯的所有安全群組的所有規則。如需詳細資訊，請參閱 Amazon VPC使用者指南 中的安全群組規則。

下圖顯示VPC具有子網路、網際網路閘道和安全群組的 。子網路包含EC2執行個體。安全群組與執行個體相關聯。僅有安全群組規則允許的流量才能到達執行個體。例如，如果安全群組包含允許來自網路SSH流量的規則，則您可以使用 從電腦連線至執行個體SSH。如果安全群組包含規則，允許來自與其相關聯的資源的所有流量，則每個執行個體都可以接收從其他執行個體傳送的任何流量。

安全群組是具有狀態的群組—若您從執行個體傳送請求，該請求的回應流量將允許流入，與對內安全群組規則無關。此外，允許對允許傳入流量的回應流出，無論傳出規則為何。如需詳細資訊，請參閱連線追蹤。