本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
EC2執行個體 Connect 端點的安全群組
安全群組負責控制允許到達和離開其關聯資源的流量。例如,除非與EC2執行個體相關聯的安全群組特別允許,否則我們拒絕進出 Amazon 執行個體的流量。
下列範例說明如何為執行個體 Connect 端點和目標執行個體設定安全群組規則。EC2
EC2執行個體 Connect 端點安全性群組
EC2執行個體 Connect 端點的安全群組規則必須允許目標執行個體的輸出流量離開端點。您可以將執行個體安全性群組或的IPv4位址範圍指定VPC為目的地。
端點的流量源自EC2執行個體 Connect 端點服務,無論端點安全性群組的輸入規則為何,都允許此流量。若要控制誰可以使用EC2執行個體 Connect 線端點連線至執行個體,請使用IAM政策。如需詳細資訊,請參閱使用執行個EC2體連線端點連線至執行個體的權限。
輸出規則範例:安全性群組參照
下列範例使用安全性群組參考,這表示目的地是與目標執行個體相關聯的安全性群組。此規則允許從端點傳輸到使用此安全性群組的所有執行個體的輸出流量。
通訊協定 | 目的地 | 連接埠範圍 | 註解 |
---|---|---|---|
TCP | ID of instance security group |
22 | 允許與執行個體安全群組相關聯的所有執行個體輸出SSH流量 |
輸出規則範例:IPv4位址範圍
下列範例允許輸出流量傳送至指定IPv4位址範圍。執行個體的IPv4位IPv4址是從其子網路指派的,因此您可以使用VPC.
通訊協定 | 目的地 | 連接埠範圍 | 註解 |
---|---|---|---|
TCP | VPC IPv4 CIDR |
22 | 允許輸出SSH流量 VPC |
目標例項安全性群組規則
目標執行個體的安全群組規則必須允許來自執行個體 Connect 端點的輸入流量。EC2您可以指定端點安全性群組或IPv4位址範圍作為來源。如果您指定位IPv4址範圍,則來源取決於用戶端 IP 保留是關閉還是開啟。如需詳細資訊,請參閱考量事項。
由於安全群組是可設定狀態的,因此VPC無論執行個體安全性群組的輸出規則為何,都允許回應流量離開。
輸入規則範例:安全性群組參考
下列範例使用安全性群組參考,這表示來源是與端點相關聯的安全性群組。此規則允許從端點SSH傳送到使用此安全群組的所有執行個體的輸入流量,無論用戶端 IP 保留是開啟還是關閉。如果沒有的其他輸入安全群組規則SSH,則執行個體只接受來自端點的SSH流量。
通訊協定 | 來源 | 連接埠範圍 | 註解 |
---|---|---|---|
TCP | ID of endpoint security group |
22 | 允許來自與端點安全群組關聯之資源的輸入SSH流量 |
輸入規則範例:用戶端 IP 保留關閉
下列範例允許來自指定IPv4位址範圍的輸入SSH流量。由於用戶端 IP 保留已關閉,因此來源位IPv4址是端點網路介面的位址。端點網路介面的位址是從其子網路指派的,因此您可以使用的IPv4位址範圍來允許連線到中的所有執行個體VPC。VPC
通訊協定 | 來源 | 連接埠範圍 | 註解 |
---|---|---|---|
TCP | VPC IPv4 CIDR |
22 | SSH允許來自 VPC |
輸入規則範例:用戶端 IP 保留
下列範例允許來自指定IPv4位址範圍的輸入SSH流量。由於用戶端 IP 保留已開啟,因此來源位IPv4址是用戶端的位址。
通訊協定 | 來源 | 連接埠範圍 | 註解 |
---|---|---|---|
TCP | Public IPv4 address range |
22 | 允許來自指定用戶端IPv4位址範圍的輸入流量 |