在 中建立、設定和刪除 Amazon EC2安全群組 AWS CLI - AWS Command Line Interface
必要條件建立安全群組新增規則至安全群組刪除您的安全群組參考

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 中建立、設定和刪除 Amazon EC2安全群組 AWS CLI

您可以為 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體建立安全群組,該執行個體基本上以防火牆的形式運作,並具有決定哪些網路流量可以進入和離開的規則。

使用 AWS Command Line Interface (AWS CLI) 建立安全群組、將規則新增至現有安全群組,以及刪除安全群組。

注意

如需其他命令範例,請參閱AWS CLI 參考指南

必要條件

若要執行 ec2 命令,您需要:

建立安全群組

您可以建立與虛擬私有雲端 (VPCs) 相關聯的安全群組。

下列aws ec2 create-security-group範例示範如何為指定的 建立安全群組VPC。

$ aws ec2 create-security-group --group-name my-sg --description "My security group" --vpc-id vpc-1a2b3c4d
{
    "GroupId": "sg-903004f8"
}

若要檢視安全群組的初始資訊,請執行 aws ec2 describe-security-groups 命令。您只能透過 參考 EC2-VPC 安全群組vpc-id,不能參考其名稱。

$ aws ec2 describe-security-groups --group-ids sg-903004f8
{
    "SecurityGroups": [
        {
            "IpPermissionsEgress": [
                {
                    "IpProtocol": "-1",
                    "IpRanges": [
                        {
                            "CidrIp": "0.0.0.0/0"
                        }
                    ],
                    "UserIdGroupPairs": []
                }
            ],
            "Description": "My security group"
            "IpPermissions": [],
            "GroupName": "my-sg",
            "VpcId": "vpc-1a2b3c4d",
            "OwnerId": "123456789012",
            "GroupId": "sg-903004f8"
        }
    ]
}

新增規則至安全群組

當您執行 Amazon EC2執行個體時,您必須在安全群組中啟用規則,以允許傳入網路流量用於連線至映像的方法。

例如,如果您啟動 Windows 執行個體,通常會新增規則,以允許TCP連接埠 3389 上的傳入流量以支援遠端桌面通訊協定 (RDP)。如果您要啟動 Linux 執行個體,通常會新增規則,以允許TCP連接埠 22 上的傳入流量以支援SSH連線。

使用 aws ec2 authorize-security-group-ingress 命令以新增規則至安全群組。此命令的必要參數是電腦的公有 IP 地址,或是連接電腦的網路 (以地址範圍的形式),CIDR以符號表示。

注意

我們提供下列服務 https://checkip.amazonaws.com/,讓您判斷公有 IP 地址。若要尋找可協助您識別 IP 地址的其他服務,請使用瀏覽器來搜尋「我的 IP 地址是什麼」。如果您使用動態 IP 地址 (透過私有網路的NAT閘道) 從防火牆後方透過 ISP或 連線,您的地址可能會定期變更。在這種情況下,您必須找出用戶端電腦所用 IP 地址的範圍。

下列範例說明如何sg-903004f8使用 IP 地址將 RDP(TCP 連接埠 3389) 規則新增至 ID 為 EC2的安全VPC群組。

若要開始,請找出 IP 地址。

$ curl https://checkip.amazonaws.com
x.x.x.x

然後您就可以透過執行 aws ec2 authorize-security-group-ingress 命令來將 IP 地址新增至安全群組。

$ aws ec2 authorize-security-group-ingress --group-id sg-903004f8 --protocol tcp --port 3389 --cidr x.x.x.x/x

下列命令會將另一個規則SSH新增至相同安全群組中的執行個體以啟用 。

$ aws ec2 authorize-security-group-ingress --group-id sg-903004f8 --protocol tcp --port 22 --cidr x.x.x.x/x

若要檢視安全群組的任何變更,請執行 aws ec2 describe-security-groups 命令。

$ aws ec2 describe-security-groups --group-ids sg-903004f8
{
    "SecurityGroups": [
        {
            "IpPermissionsEgress": [
                {
                    "IpProtocol": "-1",
                    "IpRanges": [
                        {
                            "CidrIp": "0.0.0.0/0"
                        }
                    ],
                    "UserIdGroupPairs": []
                }
            ],
            "Description": "My security group"
            "IpPermissions": [
                {
                    "ToPort": 22,
                    "IpProtocol": "tcp",
                    "IpRanges": [
                        {
                            "CidrIp": "x.x.x.x/x"
                        }
                    ]
                    "UserIdGroupPairs": [],
                    "FromPort": 22
                }
            ],
            "GroupName": "my-sg",
            "OwnerId": "123456789012",
            "GroupId": "sg-903004f8"
        }
    ]
}

刪除您的安全群組

若要刪除安全群組,請執行 aws ec2 delete-security-group 命令。

注意

您不能刪除目前已經連接到環境的安全群組。

下列命令範例會刪除 EC2- VPC安全群組。

$ aws ec2 delete-security-group --group-id sg-903004f8

參考

AWS CLI 參考:

其他參考: