安全群組規則

• 您可以指定允許規則，但無法指定拒絕規則。

• 當您首次建立安全群組時，它沒有傳入規則。因此，在您將傳入規則新增到安全群組之前，都不會允許傳入流量。

• 當您首次建立安全群組時，該安全群組會具有允許來自該資源的所有傳出流量的傳出規則。您可以移除規則並新增只允許特定傳出流量的傳出規則。若您的安全群組沒有傳出規則，將不會允許傳出流量。

• 當您將多個安全群組與資源建立關聯時，會將每個安全群組的規則彙總以構成一組規則，並使用這組規則來決定是否允許存取。

• 當您新增、更新或移除規則時，您的變更會自動套用至與安全群組相關聯的所有資源。如需說明，請參閱 設定安全群組規則。

• 有些規則變更的效果可取決於追蹤流量的方式。如需詳細資訊，請參閱 Amazon EC2 使用者指南中的連線追蹤。

• 當您建立安全性群組規則時， AWS 會為規則指派唯一 ID。當您使用或修改API或刪除規則時，您可CLI以使用規則的 ID。

• 通訊協定：要允許的通訊協定。最常見的通訊協定是 6 (TCPUDP)、17 () 和 1 (ICMP)。

• 連接埠範圍：對於TCPUDP、或自訂通訊協定，允許的連接埠範圍。您可以指定單一連接埠號碼 (例如，22)，或是連接埠號碼的範圍 (例如，7000-8000)。

• ICMP類型和代碼：對於ICMP，ICMP類型和代碼。例如，使用類型 8 作為ICMP回應要求，或輸入 128 ICMPv6 回應要求。

• 來源或目的地：允許流量的來源 (傳入規則) 或目的地 (傳出規則)。請指定下列其中一項：

  • 單一IPv4位址。您必須使用 /32 的字首長度。例如：203.0.113.1/32。

  • 單一IPv6位址。您必須使用 /128 的字首長度。例如：2001:db8:1234:1a00::123/128。

  • 以區CIDR塊標記法表示的IPv4位址範圍。例如：203.0.113.0/24。

  • 以區CIDR塊標記法表示的IPv6位址範圍。例如：2001:db8:1234:1a00::/64。

  • 字首清單的 ID。例如：pl-1234abc1234abc123。如需詳細資訊，請參閱使用託管前綴列表合併和管理網絡CIDR塊。

  • 安全群組的 ID。例如：sg-1234567890abcdef0。如需詳細資訊，請參閱安全群組參考。

• (Optional) Description ((選用) 描述)：您可以為規則新增描述，這可協助您在稍後更容易識別它。描述的長度最高可達 255 個字元。允許的字元為 a-z、A-Z、0-9、空格鍵和 ._-:/()#,@[]+=;{}!$*。

在安全群組規則中參考安全群組時，請注意下列事項：

• 兩個安全性群組都必須屬於相同VPC或對等群VPC組。

• 所參考安全群組中的規則不會新增至參考該安全群組的安全群組。

• 對於輸入規則，與安全群組相關聯的EC2執行個體可以從與參考安全群組相關聯的EC2執行個體私有 IP 位址接收輸入流量。

• 對於輸出規則，與安全群組相關聯的EC2執行個體可以將輸出流量傳送到與參照安全群組相關聯的EC2執行個體的私有 IP 位址。

範例

下圖顯示了兩個可用區域中的子網路、一VPC個網際網路閘道和一個 Application Load Balancer。每個可用區域都有一個用於 Web 伺服器的公用子網路，以及一個用於資料庫伺服器的私有子網路。負載平衡器、Web 伺服器和資料庫伺服器有個別的安全群組。建立下列安全群組規則以允許流量。

• 將規則新增至負載平衡器安全性群組，以允許HTTP和來自網際網路的HTTPS流量。來源是 0.0.0.0/0。

• 將規則新增至安全性群組，讓 Web 伺服器允許，以HTTP及僅來自負載平衡器的HTTPS流量。來源是負載平衡器的安全群組。

• 將規則新增至資料庫伺服器的安全群組，以允許來自 Web 伺服器的資料庫請求。來源是 Web 伺服器的安全群組。

• 參考CIDR圖塊的規則算作一個規則。

• 參考另一個安全群組的規則會計為一個規則，無論參考之安全群組的大小為何。

• 參考客戶管理之字首清單的規則會計為字首清單的大小上限。例如，如果字首清單的大小上限為 20，則參考此字首清單的規則會計為 20 個規則。

• 參考 AWS-managed 前置詞清單的規則會計為首碼清單的權重。例如，如果字首清單的權重為 10，則參考此字首清單的規則會計為 10 個規則。如需詳細資訊，請參閱可用的 AWS託管前綴列表。