本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

使用安全群組控制存取

VPC 安全群組會控制進出資料庫叢集流量的存取權限。根據預設，您資料庫叢集的網路存取是關閉的。您可以在允許從 IP 地址範圍、連接埠或安全群組存取的安全群組中指定規則。設定傳入規則後，相同規則就會套用到與該安全群組相關聯的所有資料庫叢集。您最多可在安全群組中指定 20 條規則。

VPC 安全群組概觀

每個 VPC 安全群組都可能可以讓特定來源存取 VPC 中與該 VPC 安全群組相關聯的資料庫叢集。來源可以是地址的來源 (例如，203.0.113.0/24) 或另一個 VPC 安全群組。藉由指定 VPC 安全群組做為來源，您允許從使用來源 VPC 安全群組的所有執行個體 (通常指的是應用程式伺服器) 傳入的流量。VPC 安全群組可以擁有同時掌管入站和出站流量的規則。但是，傳出流量規則通常不適用於資料庫叢集。僅在資料庫叢集充當用戶端時，傳出流量規則才適用。您必須使用 Amazon EC2 API 或 VPC 主控台上的 Security Group (安全群組) 選項，才能建立 VPC 安全群組。

為您的 VPC 安全群組建立允許存取 VPC 中叢集的規則時，您必須針對規則允許存取的每個地址範圍指定一個連接埠。例如，如果您想要對 VPC 中的執行個體開啟安全殼 (SSH) 存取，則可以建立一個規則，允許存取所指定之地址範圍的 TCP 連接埠 22。

您可以設定多個 VPC 安全群組，允許存取 VPC 中不同執行個體的不同連接埠。例如，您可以建立 VPC 安全群組，允許存取 VPC 中 Web 伺服器的 TCP 連接埠 80。然後，您可以建立另一個 VPC 安全群組，允許存取 VPC 中 Aurora MySQL 資料庫執行個體的 TCP 連接埠 3306。

如需 VPC 安全群組的詳細資訊，請參閱《Amazon Virtual Private Cloud 使用者指南》中的安全群組。

安全群組案例

VPC 中資料庫叢集的常見使用方式，是與在相同 VPC 的 Amazon EC2 執行個體中執行的應用程式伺服器共享資料，這是由 VPC 外的應用程式用戶端存取的。針對此案例，您可以使用 AWS Management Console 上的 RDS 和 VPC 頁面，或 RDS 和 EC2 API 操作來建立必要的執行個體和安全群組：

此案例可以下列圖表顯示。

如需此案例中設定 VPC 的詳細說明，請參閱 教學課程：建立要與資料庫叢集搭配使用的 VPC (僅限 IPv4)。如需使用 VPC 的詳細資訊，請參閱 Amazon VPC 和 ora。

建立 VPC 安全群組

您可以使用 VPC 主控台，建立資料庫執行個體的 VPC 安全群組。如需建立安全群組的相關資訊，請參閱《Amazon Virtual Private Cloud 使用者指南》中的建立安全群組以存取 VPC 中的資料庫叢集和安全群組。

將安全群組與資料庫叢集建立關聯

您可以使用 RDS 主控台上的修改叢集、ModifyDBCluster Amazon RDS API 或modify-db-cluster AWS CLI 命令，將安全群組與資料庫叢集建立關聯。

下列 CLI 範例會將特定 VPC 群組產生關聯，並從資料庫叢集中移除資料庫安全群組

aws rds modify-db-cluster --db-cluster-identifier dbName --vpc-security-group-ids sg-ID

如需修改資料庫叢集的詳細資訊，請參閱修改 Amazon Aurora 資料庫叢集。