本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
EC2 Instance Connect Endpoint 的安全群組
安全群組負責控制允許到達和離開其關聯資源的流量。例如,除非與執行個體相關聯的安全群組特別允許,否則我們會拒絕往返 Amazon EC2 執行個體的流量。
下列範例示範如何設定 EC2 Instance Connect Endpoint 和目標執行個體的安全群組規則。
EC2 Instance Connect Endpoint 安全群組規則
EC2 Instance Connect Endpoint 的安全群組規則必須允許目標執行個體的傳出流量離開端點。您可以指定執行個體安全群組或 VPC 的 IPv4 地址範圍做為目的地。
到端點的流量來自 EC2 Instance Connect Endpoint Service,無論端點安全群組的傳入規則為何,都會獲得允許。若要控制誰可以使用 EC2 Instance Connect Endpoint 連線到執行個體,請使用 IAM 政策。如需詳細資訊,請參閱使用 EC2 Instance Connect Endpoint 連線到執行個體所需的許可。
傳出規則範例:安全群組參考
下列範例使用安全群組參考,這表示目的地是與目標執行個體相關聯的安全群組。此規則允許從端點向使用此安全群組的所有執行個體的傳出流量。
| 通訊協定 | 目的地 | 連接埠範圍 | 註解 |
|---|---|---|---|
| TCP | 執行個體安全群組的 ID |
22 | 允許與執行個體安全群組相關的所有執行個體的傳出 SSH 流量 |
傳出規則範例:IPv4 地址範圍
下列範例允許傳出流量到指定的 IPv4 地址範圍。執行個體的 IPv4 地址是從其子網路指派,因此您可以使用 VPC 的 IPv4 地址範圍。
| 通訊協定 | 目的地 | 連接埠範圍 | 註解 |
|---|---|---|---|
| TCP | VPC A IPv4 CIDR |
22 | 允許傳出 SSH 流量到 VPC |
目標執行個體安全群組規則
目標執行個體的安全群組規則必須允許來自 EC2 Instance Connect Endpoint 的傳入流量。您可以指定端點安全群組或 IPv4 地址範圍做為來源。如果您指定 IPv4 地址範圍,來源將取決於用戶端 IP 保留是否關閉或開啟。如需詳細資訊,請參閱考量事項。
由於安全群組具有狀態,因此無論執行個體安全群組的傳出規則為何,回應流量都可以離開 VPC。
傳入規則範例:安全群組參考
下列範例使用安全群組參考,這表示來源是與端點相關聯的安全群組。此規則允許從端點到所有使用此安全群組的執行個體的傳入 SSH 流量,不論用戶端 IP 保留為開啟或關閉。如果沒有 SSH 的其他傳入安全群組規則,則執行個體只會接受來自端點的 SSH 流量。
| 通訊協定 | 來源 | 連接埠範圍 | 註解 |
|---|---|---|---|
| TCP | 端點安全群組的 ID |
22 | 允許來自與端點安全群組相關聯資源的傳入 SSH 流量 |
傳入規則範例:用戶端 IP 保留關閉
下列範例允許傳入 SSH 流量自指定的 IPv4 地址範圍。由於用戶端 IP 保留已關閉,來源 IPv4 地址會是端點網路介面的地址。端點網路介面的地址是由其子網路指派,因此您可以使用 VPC 的 IPv4 地址範圍來允許與 VPC 中所有執行個體的連線。
| 通訊協定 | 來源 | 連接埠範圍 | 註解 |
|---|---|---|---|
| TCP | VPC A IPv4 CIDR |
22 | 允許來自 VPC 的傳入 SSH 流量。 |
傳入規則範例:用戶端 IP 保留開啟
下列範例允許傳入 SSH 流量自指定的 IPv4 地址範圍。由於用戶端 IP 保留已開啟,來源 IPv4 地址會是用戶端的地址。
| 通訊協定 | 來源 | 連接埠範圍 | 註解 |
|---|---|---|---|
| TCP | 公用 IPv4 地址範圍 |
22 | 允許傳入流量自指定的用戶端 IPv4 地址範圍 |
