AWS Cloud9 不再提供給新客戶。 AWS Cloud9 的現有客戶可以繼續正常使用該服務。[進一步了解](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Cloud9 開發環境的 VPC 設定
<a name="vpc-settings"></a>

與 Amazon Virtual Private Cloud (Amazon VPC) 相關聯的每個 AWS Cloud9 開發環境都必須符合特定的 VPC 需求。這些環境包括 EC2 環境，以及與在 VPC 內執行的 AWS 雲端 運算執行個體相關聯的 SSH 環境。範例包括 Amazon EC2 和 Amazon Lightsail 執行個體。

## 的 Amazon VPC 需求 AWS Cloud9
<a name="vpc-settings-requirements"></a>

 AWS Cloud9 使用的 Amazon VPC 需要下列設定。如果您已熟知這些需求，並且只想建立相容的 VPC，請跳至 [建立 VPC 以及其他 VPC 資源](#vpc-settings-create-vpc)。

使用以下檢查清單來確認 VPC 符合下列**所有**要求：
+ VPC 可以與 AWS Cloud9 開發環境 AWS 帳戶 AWS 區域 位於相同的 ，或者 VPC 可以是與環境 AWS 帳戶 不同的共用 VPC。不過，VPC 必須 AWS 區域 位於與環境相同的 中。如需 Amazon VPCs的詳細資訊 AWS 區域，請參閱 [檢視 VPCs 清單 AWS 區域](#vpc-settings-requirements-list-vpcs)。如需為 建立 Amazon VPC 的更多說明 AWS Cloud9，請參閱 [建立 VPC 以及其他 VPC 資源](#vpc-settings-create-vpc)。如需有關使用共用 Amazon VPCs 的資訊，請參閱《Amazon [ VPCs 使用者指南》中的使用共用](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) *VPC。*
+ VPC 必須具有公有子網路。如果子網路的流量路由到網際網路閘道，則子網路為公有。如需 Amazon VPC 的子網路清單，請參閱 [檢視 VPC 的子網路清單](#vpc-settings-requirements-subnets-view)。
+ 如果您的環境透過 SSH 直接存取其 EC2 執行個體，則您只能在公有子網路中啟動執行個體。如需確認子網路是否為公有的詳細資訊，請參閱 [確認子網路是否為公有子網路](#vpc-settings-requirements-subnet-public)。
+ 如果使用 Systems Manager 存取[無輸入的 Amazon EC2 執行個體](ec2-ssm.md)，則可在公有或私有子網路中啟動執行個體。
+ 如果您使用的是公有子網路，請將網際網路閘道連接到 VPC。這樣執行個體的 AWS Systems Manager Agent(SSM Agent) 就可以連線到 Systems Manager。
+ 如果您使用的是私有子網路，請允許子網路執行個體在公有子網路中代管 NAT 閘道，藉此與網際網路通訊。如需檢視或變更網際網路閘道設定的詳細資訊，請參閱 [檢視或變更網際網路閘道的設定](#vpc-settings-requirements-internet-gateway-view)
+ 公有子網路的路由表必須具備一組採用最基本設定的路由。若要了解如何確認子網路是否具有路由表，請參閱[確認子網路是否擁有路由表](#vpc-settings-requirements-subnet-route-table)。如需如何建立路由表的資訊，請參閱 [建立路由表](#vpc-settings-requirements-route-table-create)。
+ VPC 的相關安全群組 （或 AWS 雲端 運算執行個體，視您的架構而定） 必須允許一組最低的傳入和傳出流量。如需 Amazon VPC 的安全群組清單，請參閱 [檢視 VPC 的安全群組清單](#vpc-settings-requirements-security-groups-vpc-view)。如需在 Amazon VPC 中建立安全群組的詳細資訊，請參閱 [在 VPC 中建立安全群組](#vpc-settings-requirements-security-group-vpc-create)。
+ 如要獲得多一層的安全保障，VPC 所具備的網路 ACL 必須允許一組最基本的傳入與傳出流量。若要確認 Amazon VPC 是否至少有一個網路 ACL，請參閱 [確認 VPC 是否至少有一個網路 ACL](#vpc-settings-requirements-network-acl-confirm)。如需建立網路 ACL 的詳細資訊，請參閱 [建立網路 ACL](#vpc-settings-requirements-network-acl-create)。
+ 如果您的開發環境[使用 SSM 存取 EC2 執行個體](ec2-ssm.md)，請確保該執行個體已由公有子網路指派了可在子網路中啟動的公有 IP 地址。若要這樣做，您必須為公有子網路啟用公有 IP 地址選項的自動指派，並將其設定為 `Yes`。您可以在子網路設定頁面中建立 AWS Cloud9 環境之前，在公有子網路上啟用此功能。如需修改公有子網路中自動指派 IP 設定的相關步驟，請參閱《*Amazon VPC 使用者指南*》中的[修改子網路的公有 IPv4 定址屬性](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-public-ip.html)。如需設定公有和私有子網路的詳細資訊，請參閱 [將子網路設定為公有或私有](#public-private-subnet) 

**注意**  
如需下列程序，請登入 AWS 管理主控台 並使用管理員登入資料來開啟 Amazon VPC 主控台 ([https://console.aws.amazon.com/vpc](https://console.aws.amazon.com/vpc)：//) 或 Amazon EC2 主控台 ([https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2)：//)。  
如果您使用 AWS CLI 或 AWS CloudShell，我們建議您 AWS CloudShell 使用 中管理員的登入資料來設定 AWS CLI 或 AWS 帳戶。如果您無法執行此操作，請洽詢您的 AWS 帳戶 管理員。

### 檢視 VPCs 清單 AWS 區域
<a name="vpc-settings-requirements-list-vpcs"></a>

若要使用 Amazon VPC 主控台，請在 AWS 導覽列中選擇 AWS Cloud9 建立環境 AWS 區域 的 。接著由導覽窗格中選擇 **Your VPCs** (您的 VPC)。

若要使用 AWS CLI 或 AWS CloudShell，請執行 Amazon EC2** `describe-vpcs` ** 命令，例如如下所示。

```
aws ec2 describe-vpcs --output table --query 'Vpcs[*].VpcId' --region us-east-2
```

在上述命令中，`us-east-2`將 取代 AWS 區域 為在其中 AWS Cloud9 建立環境的 。若要在 Windows 中執行上述命令，請將單引號 (' ') 取代為雙引號 (" ")。若要使用 `aws-shell` 執行上述命令，請省略 `aws`。

輸出包含 VPC ID 的清單。

### 檢視 VPC 的子網路清單
<a name="vpc-settings-requirements-subnets-view"></a>

若要使用 Amazon VPC 主控台，請從導覽窗格中選擇 **Your VPCs** (您的 VPC)。記下 **VPC ID** 欄內的 VPC ID。接著，從導覽窗格中選擇 **Subnets** (子網路)，並在 **VPC** 欄內尋找包含該 ID 的子網路。

若要使用 AWS CLI 或 `aws-shell`，請執行 Amazon EC2** `describe-subnets` ** 命令，例如，如下所示。

```
aws ec2 describe-subnets --output table --query 'Subnets[*].[SubnetId,VpcId]' --region us-east-2
```

在上述命令中，將 取代`us-east-2`為 AWS 區域 包含子網路的 。若要在 Windows 中執行上述命令，請將單引號 (' ') 取代為雙引號 (" ")。若要使用 `aws-shell` 執行上述命令，請省略 `aws`。

在輸出中，查看符合 VPC ID 的子網路。

### 確認子網路是否為公有子網路
<a name="vpc-settings-requirements-subnet-public"></a>

**重要**  
假設您要將環境的 EC2 執行個體啟動至私有子網路。確定允許該執行個體的輸出流量，以便其可以連線到 SSM 服務。若為私有子網路，傳出流量通常是透過網路位址轉譯 (NAT) 閘道或 VPC 端點所設定。(NAT 閘道需要公有子網路。)  
假設您存取 SSM 時選擇 VPC 端點，而非 NAT 閘道。如果執行個體的自動更新和安全性修補程式依賴網際網路存取，則其可能無法運作。您可以使用其他應用程式，例如 [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html)，來管理您環境可能需要的任何軟體更新。 AWS Cloud9 軟體將照常更新。

若要使用 Amazon VPC 主控台，請在導覽窗格中，選擇 **Subnets** (子網路)。選取 AWS Cloud9 您要使用的子網路旁的方塊。在 **Route Table** (路由表) 索引標籤上，若 **Target** (目標) 欄內具有以 **igw-** 開頭的項目，即表示該子網路為公有子網路。

若要使用 AWS CLI 或 `aws-shell`，請執行 Amazon EC2** `describe-route-tables` ** 命令。

```
aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b
```

在上述命令中，將 取代`us-east-2`為包含子網路 AWS 區域 的 ，並將 取代`subnet-12a3456b`為子網路 ID。若要在 Windows 中執行上述命令，請將單引號 (' ') 取代為雙引號 (" ")。若要使用 `aws-shell` 執行上述命令，請省略 `aws`。

在輸出中，如果至少有一個開頭為 `igw-` 的結果，代表子網路為公有。

在輸出中，如果沒有結果，路由表可能與 VPC (而不是子網路) 相關聯。若要確認此情況，請針對子網路相關的 VPC (而不是子網路本身) 執行 Amazon EC2 **`describe-route-tables`** 命令，如下所示。

```
aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-1 --filters Name=vpc-id,Values=vpc-1234ab56
```

在上述命令中，`us-east-2`將 取代 AWS 區域 為包含 VPC 的 ，並將 取代`vpc-1234ab56`為 VPC ID。若要在 Windows 中執行上述命令，請將單引號 (' ') 取代為雙引號 (" ")。若要使用 `aws-shell` 執行上述命令，請省略 `aws`。

在輸出中，如果至少有一個開頭為 `igw-` 的結果，則 VPC 包含網際網路閘道。

### 檢視或變更網際網路閘道的設定
<a name="vpc-settings-requirements-internet-gateway-view"></a>

若要使用 Amazon VPC 主控台，請在導覽窗格中，選擇 **Internet Gateways** (網際網路閘道)。選取網際網路閘道旁的方塊。查看每個標籤以檢視各項設定。若要變更任一標籤上的設定，請在適用的情況下選擇 **Edit** (編輯)，然後遵循螢幕上的指示進行。

若要使用 AWS CLI 或 `aws-shell` 查看設定，請執行 Amazon EC2** `describe-internet-gateways` ** 命令。

```
aws ec2 describe-internet-gateways --output table --region us-east-2 --internet-gateway-id igw-1234ab5c
```

在上述命令中，將 取代`us-east-2`為包含網際網路閘道 AWS 區域 的 ，並將 取代`igw-1234ab5c`為網際網路閘道 ID。若要使用 `aws-shell` 執行上述命令，請省略 `aws`。

### 建立網際網路閘道
<a name="vpc-settings-requirements-internet-gateway-create"></a>

若要使用 Amazon VPC 主控台，請在導覽窗格中，選擇 **Internet Gateways** (網際網路閘道)。接著，選擇 **Create internet gateway** (建立網際網路閘道)，然後遵循螢幕上的指示進行。

若要使用 AWS CLI 或 `aws-shell`，請執行 Amazon EC2** `create-internet-gateway` ** 命令。

```
aws ec2 create-internet-gateway --output text --query 'InternetGateway.InternetGatewayId' --region us-east-2
```

在上述命令中，將 取代`us-east-2`為 AWS 區域 包含新網際網路閘道的 。若要在 Windows 中執行上述命令，請將單引號 (' ') 取代為雙引號 (" ")。若要使用 `aws-shell` 執行上述命令，請省略 `aws`。

輸出包含新網際網路閘道的 ID。

### 將網際網路閘道連接至 VPC
<a name="vpc-settings-requirements-internet-gateway-attach"></a>

若要使用 Amazon VPC 主控台，請在導覽窗格中，選擇 **Internet Gateways** (網際網路閘道)。選取網際網路閘道旁的方塊。在適用的情況下，選擇 **Actions, Attach to VPC** (動作：連接至 VPC)，然後遵循螢幕上的指示進行。

若要使用 AWS CLI 或 `aws-shell`，請執行 Amazon EC2** `attach-internet-gateway` ** 命令，例如，如下所示。

```
aws ec2 attach-internet-gateway --region us-east-2 --internet-gateway-id igw-a1b2cdef --vpc-id vpc-1234ab56
```

在上述命令中，將 取代`us-east-2`為 AWS 區域 包含網際網路閘道的 。將 `igw-a1b2cdef` 取代為網際網路閘道 ID。然後將 `vpc-1234ab56` 取代為 VPC ID。若要使用 `aws-shell` 執行上述命令，請省略 `aws`。

### 確認子網路是否擁有路由表
<a name="vpc-settings-requirements-subnet-route-table"></a>

若要使用 Amazon VPC 主控台，請在導覽窗格中，選擇 **Subnets** (子網路)。選取 AWS Cloud9 您要使用之 VPC 的公有子網路旁的方塊。在 **Route table** (路由表) 標籤上，若 **Route Table** (路由表) 內出現數值，即表示該公有子網路有路由表。

若要使用 AWS CLI 或 `aws-shell`，請執行 Amazon EC2** `describe-route-tables` ** 命令。

```
aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b
```

在上述命令中，將 取代`us-east-2`為包含公 AWS 區域 有子網路的 ，並將 取代`subnet-12a3456b`為公有子網路 ID。若要在 Windows 中執行上述命令，請將單引號 (' ') 取代為雙引號 (" ")。若要使用 `aws-shell` 執行上述命令，請省略 `aws`。

如果輸出中有值，則公有子網路擁有至少有一個路由表。

在輸出中，如果沒有結果，路由表可能與 VPC (而不是子網路) 相關聯。若要確認此情況，請針對子網路相關的 VPC (而不是子網路本身) 執行 Amazon EC2 **`describe-route-tables`** 命令，如下所示。

```
aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56
```

在上述命令中，`us-east-2`將 取代 AWS 區域 為包含 VPC 的 ，並將 取代`vpc-1234ab56`為 VPC ID。若要在 Windows 中執行上述命令，請將單引號 (' ') 取代為雙引號 (" ")。若要使用 `aws-shell` 執行上述命令，請省略 `aws`。

如果在輸出中至少有一個結果，則 VPC 至少有一個路由表。

### 將路由表連接至子網路
<a name="vpc-settings-requirements-route-table-attach"></a>

若要使用 Amazon VPC 主控台，請在導覽窗格中選擇 **Route Tables** (路由表)。選取在您要連接之路由表旁邊的方塊。在 **Subnet Associations (子網路關聯)** 索引標籤中，選擇 **Edit (編輯)**，選擇您要將連接到其中之子網路旁的方塊，然後選擇 **Save (儲存)**。

若要使用 AWS CLI 或 `aws-shell`，請執行 Amazon EC2** `associate-route-table` ** 命令，例如，如下所示。

```
aws ec2 associate-route-table --region us-east-2 --subnet-id subnet-12a3456b --route-table-id rtb-ab12cde3
```

在上述命令中，將 取代`us-east-2`為 AWS 區域 包含路由表的 。將 `subnet-12a3456b` 取代為子網路 ID。然後將 `rtb-ab12cde3` 取代為路由表 ID。若要使用 `aws-shell` 執行上述命令，請省略 `aws`。

### 建立路由表
<a name="vpc-settings-requirements-route-table-create"></a>

若要使用 Amazon VPC 主控台，請在導覽窗格中選擇 **Route Tables** (路由表)。選擇 **Create Route Table** (建立路由表)，然後依照螢幕上的指示進行。

若要使用 AWS CLI 或 `aws-shell`，請執行 Amazon EC2** `create-route-table` ** 命令，例如如下所示。

```
aws ec2 create-route-table --output text --query 'RouteTable.RouteTableId' --region us-east-2 --vpc-id vpc-1234ab56
```

在上述命令中，將 取代`us-east-2`為包含新路由表的 AWS 區域 ，並將 取代`vpc-1234ab56`為 VPC ID。若要在 Windows 中執行上述命令，請將單引號 (' ') 取代為雙引號 (" ")。若要使用 `aws-shell` 執行上述命令，請省略 `aws`。

輸出包含新路由表的 ID。

### 檢視或變更路由表的設定
<a name="vpc-settings-requirements-route-table-view"></a>

若要使用 Amazon VPC 主控台，請在導覽窗格中選擇 **Route Tables** (路由表)。選取路由表旁的方塊。查看每個標籤以檢視各項設定。若要變更任一標籤上的設定，請選擇 **Edit** (編輯)，然後依照螢幕上的指示進行。

若要使用 AWS CLI 或 `aws-shell` 查看設定，請執行 Amazon EC2** `describe-route-tables` ** 命令，例如，如下所示。

```
aws ec2 describe-route-tables --output table --region us-east-2 --route-table-ids rtb-ab12cde3
```

在上述命令中，將 取代`us-east-2`為包含路由表 AWS 區域 的 ，並將 取代`rtb-ab12cde3`為路由表 ID。若要使用 `aws-shell` 執行上述命令，請省略 `aws`。

### 的最小建議路由表設定 AWS Cloud9
<a name="vpc-settings-requirements-route-table-settings"></a>


****  

|  **目的地**  |  **目標**  |  **狀態**  |  **傳播**  | 
| --- | --- | --- | --- | 
|  CIDR-BLOCK  |  本機  |  作用中  |  否  | 
|  0.0.0.0/0  |  `igw-INTERNET-GATEWAY-ID`  |  作用中  |  否  | 

上述設定中，`CIDR-BLOCK` 是子網路的 CIDR 區塊，而 `igw-INTERNET-GATEWAY-ID ` 是相容的網際網路閘道的 ID。

### 檢視 VPC 的安全群組清單
<a name="vpc-settings-requirements-security-groups-vpc-view"></a>

若要使用 Amazon VPC 主控台，請在導覽窗格中選擇 **Security Groups** (安全群組)。接著，在 **Search Security Groups** (搜尋安全群組) 方塊中輸入 VPC 的 ID 或名稱，並按下 `Enter`。搜尋結果清單將顯示該 VPC 的安全群組。

若要使用 AWS CLI 或 `aws-shell`，請執行 Amazon EC2** `describe-security-groups` ** 命令。

```
aws ec2 describe-security-groups --output table --query 'SecurityGroups[*].GroupId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56
```

在上述命令中，`us-east-2`將 取代 AWS 區域 為包含 VPC 的 ，並將 取代`vpc-1234ab56`為 VPC ID。若要在 Windows 中執行上述命令，請將單引號 (' ') 取代為雙引號 (" ")。若要使用 `aws-shell` 執行上述命令，請省略 `aws`。

輸出包含該 VPC 安全群組 ID 的清單。

### 檢視 AWS 雲端 運算執行個體的安全群組清單
<a name="vpc-settings-requirements-security-groups-instance-view"></a>

若要使用 Amazon EC2 主控台，請在導覽窗格中展開 **Instances** (執行個體)，接著選擇 **Instances** (執行個體)。在執行個體清單中，選擇執行個體旁的方塊。該執行個體的安全群組會隨即顯示於 **Security groups** (安全群組) 旁的 **Description** (說明) 標籤。

若要使用 AWS CLI 或 `aws-shell`，請執行 Amazon EC2** `describe-security-groups` ** 命令，例如，如下所示。

```
aws ec2 describe-instances --output table --query 'Reservations[*].Instances[*].NetworkInterfaces[*].Groups[*].GroupId' --region us-east-2 --instance-ids i-12a3c456d789e0123
```

在上述命令中，將 取代`us-east-2`為包含執行個體 AWS 區域 的 ，並將 取代`i-12a3c456d789e0123`為執行個體 ID。若要在 Windows 中執行上述命令，請將單引號 (' ') 取代為雙引號 (" ")。若要使用 `aws-shell` 執行上述命令，請省略 `aws`。

輸出包含該執行個體安全群組 ID 的清單。

### 在 VPC 中檢視或變更安全群組的設定
<a name="vpc-settings-requirements-security-group-vpc-view"></a>

若要使用 Amazon VPC 主控台，請在導覽窗格中選擇 **Security Groups** (安全群組)。選取安全群組旁的方塊。查看每個標籤以檢視各項設定。若要變更任一標籤上的設定，請在適用的情況下選擇 **Edit** (編輯)，然後遵循螢幕上的指示進行。

若要使用 AWS CLI 或 `aws-shell` 查看設定，請執行 Amazon EC2** `describe-security-groups` ** 命令，例如，如下所示。

```
aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456
```

在上述命令中，將 取代`us-east-2`為包含執行個體的 AWS 區域 ，並將 取代`sg-12a3b456`為安全群組 ID。若要使用 `aws-shell` 執行上述命令，請省略 `aws`。

### 檢視或變更 AWS 雲端 運算執行個體安全群組的設定
<a name="vpc-settings-requirements-security-group-instance-view"></a>

若要使用 Amazon EC2 主控台，請在導覽窗格中展開 **Instances** (執行個體)，接著選擇 **Instances** (執行個體)。在執行個體清單中，勾選執行個體旁的方塊；在 **Description** (說明) 標籤的 **Security groups** (安全群組) 中，選擇安全群組。請查看每個標籤；若要變更任一標籤上的設定，請在適用的情況下選擇 **Edit** (編輯)，然後遵循螢幕上的指示進行。

若要使用 AWS CLI 或 `aws-shell` 查看設定，請執行 Amazon EC2** `describe-security-groups` ** 命令，例如，如下所示。

```
aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456
```

在上述命令中，將 取代`us-east-2`為包含執行個體的 AWS 區域 ，並將 取代`sg-12a3b456`為安全群組 ID。若要使用 `aws-shell` 執行上述命令，請省略 `aws`。

### 的傳入和傳出流量設定下限 AWS Cloud9
<a name="vpc-settings-requirements-traffic-settings"></a>

**重要**  
執行個體的 IA 安全群組可能沒有傳入規則。如果發生此情況，這表示源自其他主機的傳入流量不允許送至執行個體。如需使用無輸入 EC2 執行個體的相關資訊，請參閱[使用 存取無輸入 EC2 執行個體 AWS Systems Manager](ec2-ssm.md)。
+  **傳入**：透過連接埠 22 使用 SSH 的所有 IP 地址。不過，您可以將這些 IP 地址限制為僅使用 的 IP 地址 AWS Cloud9 。如需詳細資訊，請參閱[的傳入 SSH IP 地址範圍 AWS Cloud9](ip-ranges.md)。
**注意**  
對於在 2018 年 7 月 31 日當天或之後建立的 EC2 環境， AWS Cloud9 會使用安全群組來限制透過連接埠 22 使用 SSH 的傳入 IP 地址。這些傳入 IP 地址特別僅是 AWS Cloud9 使用的地址。如需詳細資訊，請參閱[的傳入 SSH IP 地址範圍 AWS Cloud9](ip-ranges.md)。
+  **傳入 (僅限網路 ACL)**：對於 EC2 環境和與執行 Amazon Linux 或 Ubuntu Server 的 Amazon EC2 執行個體相關聯的 SSH 環境，所有 IP 地址都會透過連接埠 32768-61000 使用 TCP。如需詳細資訊及其他 Amazon EC2 執行個體類型的連接埠範圍，請參閱 *Amazon VPC 使用者指南*中的[暫時性連接埠](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html#VPC_ACLs_Ephemeral_Ports)。
+  **傳出**：使用任何通訊協定與連接埠的所有流量來源。

您可以在安全群組層級設定相應的行為。如要獲得多一層的安全保障，您也可以使用網路 ACL。如需詳細資訊，請參閱 *Amazon VPC 使用者指南*中的[比較安全群組和網路 ACL](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html#VPC_Security_Comparison)。

例如，若要為安全群組新增傳入及傳出規則，您可以按照下述方式設定相應的規則。




**傳入規則**  

|  **類型**  |  **通訊協定**  |  **連接埠範圍**  |  **來源**  | 
| --- | --- | --- | --- | 
|  SSH (22)  |  TCP (6)  |  22  |  0.0.0.0 (但請參閱以下注意事項和 [的傳入 SSH IP 地址範圍 AWS Cloud9](ip-ranges.md)。)  | 

**注意**  
對於在 2018 年 7 月 31 日當天或之後建立的 EC2 環境， AWS Cloud9 新增傳入規則，以透過連接埠 22 使用 SSH 限制傳入 IP 地址。這僅限於 AWS Cloud9 使用的地址。如需詳細資訊，請參閱[的傳入 SSH IP 地址範圍 AWS Cloud9](ip-ranges.md)。




**傳出規則**  

|  **類型**  |  **通訊協定**  |  **連接埠範圍**  |  **來源**  | 
| --- | --- | --- | --- | 
|  所有流量  |  ALL  |  ALL  |  0.0.0.0/0  | 

如果您也選擇將傳入及傳出規則新增至網路 ACL，則可以設定如下的規則。




**傳入規則**  

|  **規則 \$1**  |  **類型**  |  **通訊協定**  |  **連接埠範圍**  |  **來源**  |  **允許/拒絕**  | 
| --- | --- | --- | --- | --- | --- | 
|  100  |  SSH (22)  |  TCP (6)  |  22  |  0.0.0.0 (但請參閱 [的傳入 SSH IP 地址範圍 AWS Cloud9](ip-ranges.md)。)  |  允許  | 
|  200  |  自訂 TCP 規則  |  TCP (6)  |  32768-61000 (適用於 Amazon Linux 和 Ubuntu Server 執行個體。其他執行個體類型請參閱[暫時性連接埠](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html#VPC_ACLs_Ephemeral_Ports)。)  |  0.0.0.0/0  |  允許  | 
|   `*`   |  所有流量  |  ALL  |  ALL  |  0.0.0.0/0  |  拒絕  | 




**傳出規則**  

|  **規則 \$1**  |  **類型**  |  **通訊協定**  |  **連接埠範圍**  |  **來源**  |  **允許/拒絕**  | 
| --- | --- | --- | --- | --- | --- | 
|  100  |  所有流量  |  ALL  |  ALL  |  0.0.0.0/0  |  允許  | 
|   `*`   | 所有流量 |  ALL  |  ALL  |  0.0.0.0/0  |  拒絕  | 

如需安全群組與網路 ACL 的詳細資訊，請參閱 *Amazon VPC 使用者指南*中的下列內容。
+  [安全性](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) 
+  [您的 VPC 的安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) 
+  [網路 ACL](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html) 

### 在 VPC 中建立安全群組
<a name="vpc-settings-requirements-security-group-vpc-create"></a>

若要使用 Amazon VPC 或 Amazon EC2 主控台，請執行以下其中一項動作：
+ 在 Amazon VPC 主控台的導覽窗格中，選擇 **Security Groups** (安全群組)。選擇 **Create Security Group** (建立安全群組)，然後依照螢幕上的指示進行。
+ 在 Amazon EC2 主控台的導覽窗格中，展開 **Network & Security** (網路與安全)，接著選擇 **Security Groups** (安全群組)。選擇 **Create Security Group** (建立安全群組)，然後依照螢幕上的指示進行。

若要使用 AWS CLI 或 `aws-shell`，請執行 Amazon EC2** `create-security-group` ** 命令，例如，如下所示。

```
aws ec2 create-security-group --region us-east-2 --vpc-id vpc-1234ab56
```

在上述命令中，`us-east-2`將 取代 AWS 區域 為包含 VPC 的 ，並將 取代`vpc-1234ab56`為 VPC ID。若要使用 `aws-shell` 執行上述命令，請省略 `aws`。

### 確認 VPC 是否至少有一個網路 ACL
<a name="vpc-settings-requirements-network-acl-confirm"></a>

若要使用 Amazon VPC 主控台，請從導覽窗格中選擇 **Your VPCs** (您的 VPC)。選擇您要 AWS Cloud9 使用的 VPC 旁的方塊。在 **Summary** (摘要) 索引標籤上，若 **Network ACL** (網路 ACL) 內出現數值，即表示該 VPC 至少有一份網路 ACL。

若要使用 AWS CLI 或 `aws-shell`，請執行 Amazon EC2 **`describe-network-acls`**命令。

```
aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56
```

在上述命令中，`us-east-2`將 取代 AWS 區域 為包含 VPC 的 ，並將 取代`vpc-1234ab56`為 VPC ID。若要在 Windows 中執行上述命令，請將單引號 (' ') 取代為雙引號 (" ")。若要使用 `aws-shell` 執行上述命令，請省略 `aws`。

如果輸出至少包含清單中一個項目，VPC 至少有一個網路 ACL。

### 檢視 VPC 的網路 ACL 清單
<a name="vpc-settings-requirements-network-acls-view"></a>

若要使用 Amazon VPC 主控台，請在導覽窗格中選擇 **Network ACLs** (網路 ACL)。在 **Search Network ACLs** (搜尋網路 ACL) 方塊中輸入 VPC 的 ID 或名稱，並按下 `Enter`。搜尋結果清單將顯示該 VPC 的網路 ACL。

若要使用 AWS CLI 或 `aws-shell`，請執行 Amazon EC2** `describe-network-acls` ** 命令。

```
aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56
```

在上述命令中，`us-east-2`將 取代 AWS 區域 為包含 VPC 的 ，並將 取代`vpc-1234ab56`為 VPC ID。若要在 Windows 中執行上述命令，請將單引號 (' ') 取代為雙引號 (" ")。若要使用 `aws-shell` 執行上述命令，請省略 `aws`。

輸出包含該 VPC 網路 ACL 的清單。

### 檢視或變更網路 ACL 的設定
<a name="vpc-settings-requirements-network-acl-view"></a>

若要使用 Amazon VPC 主控台，請在導覽窗格中選擇 **Network ACLs** (網路 ACL)。選擇網路 ACL 旁的方塊。查看每個標籤以檢視各項設定。若要變更任一標籤上的設定，請在適用的情況下選擇 **Edit** (編輯)，然後遵循螢幕上的指示進行。

若要使用 AWS CLI 或 `aws-shell` 查看設定，請執行 Amazon EC2** `describe-network-acls` ** 命令。

```
aws ec2 describe-network-acls --output table --region us-east-2 --network-acl-ids acl-1234ab56
```

在上述命令中，將 取代`us-east-2`為 AWS 區域 包含網路 ACL 的 ，並將 取代`acl-1234ab56`為網路 ACL ID。若要使用 `aws-shell` 執行上述命令，請省略 `aws`。

### 建立網路 ACL
<a name="vpc-settings-requirements-network-acl-create"></a>

若要使用 Amazon VPC 主控台，請在導覽窗格中選擇 **Network ACLs** (網路 ACL)。選擇 **Create Network ACL** (建立網路 ACL)，然後依照螢幕上的指示進行。

若要使用 AWS CLI 或 `aws-shell`，請執行 Amazon EC2 **`create-network-acl`**命令。

```
aws ec2 create-network-acl --region us-east-2 --vpc-id vpc-1234ab56
```

在上述命令中，將 取代`us-east-2`為 AWS 區域 包含您要連接新網路 ACL 之 VPC 的 。亦將 `vpc-1234ab56` 取代為 VPC ID。若要使用 `aws-shell` 執行上述命令，請省略 `aws`。

## 建立 VPC 以及其他 VPC 資源
<a name="vpc-settings-create-vpc"></a>

使用下列程序來建立執行應用程式所需的 VPC 和其他 VPC 資源。VPC 資源包括子網路、路由表、網際網路閘道和 NAT 閘道。

**如何使用主控台建立 VPC、子網路和其他 VPC 資源**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在 VPC 儀表板上，選擇 **Create VPC (建立 VPC)**。

1. 針對 **Resources to create** (建立資源)，選擇 **VPC and more** (VPC 等)。

1. 若要建立 VPC 資源的名稱標籤，請保持選取**自動產生名稱標籤**。若要為 VPC 資源提供自己的名稱標籤，請將其清除。

1. 對於 **IPv4 CIDR 區塊**，您必須輸入 VPC 的 IPv4 地址範圍。的建議 IPv4 範圍 AWS Cloud9 為 `10.0.0.0/16`。

1. (選用) 若要支援 IPv6 流量，請選擇 **IPv6 CIDR 區塊** > **Amazon 提供的 IPv6 CIDR 區塊**。

1. 選擇**租用**選項。此選項會定義啟動至 VPC 的 EC2 執行個體，是否會在與其他 AWS 帳戶 共用的硬體上執行，或是在僅供您使用的硬體上執行。如果您選擇 VPC 的租用為 `Default`，則在此 VPC 中啟動的 EC2 執行個體將使用啟動執行個體時指定的租用屬性。如需詳細資訊，請參閱*《Amazon EC2 使用者指南》*中的[使用定義參數啟動執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-launch-instance-wizard.html)。

   如果您選擇 VPC 的租用為 `Dedicated`，則執行個體將會一律以硬體上之[專用預留執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html) (專供您使用) 的形式執行。如果您使用的是 AWS Outposts，您的 Outpost需要私有連線，而且必須使用`Default`租用。

1. 對於**可用區域 (AZs) 的數量**，我們建議您Availability Zones為生產環境在至少兩個 中佈建子網路。若要選擇子網路的 AZ，請展開**自訂 AZ**。否則，您可以讓 為您 AWS 選擇 AZs。

1. 若要設定您的子網路，請選擇**公有子網路數目**和**私有子網路數目**的值。若要選擇子網路的 IP 地址範圍，請展開**自訂子網路 CIDR 區塊**。否則，讓我們為您 AWS 選擇它們。

1. （選用） 如果私有子網路中的資源需要透過 IPv4 存取公有網際網路：對於 **NAT 閘道**，請選擇要在其中建立 NAT 閘道AZs 數量。在生產環境中，建議您在每個 AZ 中部署一個 NAT 閘道，並包含需要存取公有網際網路的資源。

1. （選用） 如果私有子網路中的資源需要透過 IPv6 存取公有網際網路：對於**僅輸出網際網路閘道**，請選擇**是**。

1. （選用） 若要直接從 VPC 存取 Amazon S3，請選擇 **VPC 端點** **S3 Gateway**。這會為 Amazon S3 建立閘道 VPC 端點。如需詳細資訊，請參閱*《AWS PrivateLink 指南》*中的[閘道 VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/gateway-endpoints.html)。

1. (選用) 在 **DNS 選項**，網域名稱解析的兩個選項都會依預設啟用。如果預設值不符合您的需求，您可以停用這些選項。

1. (選用) 若要將標籤新增至 VPC，請展開**其他標籤**，選擇**新增標籤**，然後輸入標籤金鑰和標籤值。

1. 在**預覽**窗格中，您可以視覺化您設定的 VPC 資源之間的關係。實線代表資源之間的關係。虛線代表 NAT 閘道、網際網路閘道和閘道端點的網路流量。建立 VPC 後，可以隨時使用**資源映射**索引標籤以此格式將 VPC 中的資源視覺化。

1. 完成 VPC 的設定後，請選擇**建立 VPC**。

## 僅建立 VPC
<a name="create-vpc-only"></a>

使用下列程序，透過 Amazon VPC 主控台建立沒有其他 VPC 資源的 VPC。

**如何使用主控台建立不含任何其他 VPC 資源的 VPC**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在 VPC 儀表板上，選擇 **Create VPC (建立 VPC)**。

1. 在**建立資源**，選擇**僅 VPC**。

1. (選用) 在**名稱標籤**中，輸入您 VPC 的名稱。執行此作業會使用 `Name` 做為索引鍵，以及您指定的值來建立標籤。

1. 對於 **IPv4 CIDR 區塊**，執行下列其中一個動作：
   + 選擇 **IPv4 CIDR 手動輸入**，然後輸入 VPC 的 IPv4 地址範圍。的建議 IPv4 範圍 AWS Cloud9 為 `10.0.0.0/16`。
   + 選擇 **IPAM 配置的 IPv4 CIDR 區塊**，選取 Amazon VPC IP Address Manager (IPAM) IPv4 地址集區和網路遮罩。CIDR 區塊的大小會受 IPAM 集區上的分配規則所限制。IPAM 是一種 VPC 功能，可協助您規劃、追蹤和監控 AWS 工作負載的 IP 地址。如需詳細資訊，請參閱《*Amazon Virtual Private Cloud 管理員指南*》中的[什麼是 IPAM？](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)。

     如果您使用 IPAM 來管理 IP 地址，我們建議您選擇此選項。否則，您為 VPC 指定的 CIDR 區塊可能會與 IPAM CIDR 配置重疊。

1. (選用) 若要建立雙堆疊 VPC，請為您的 VPC 指定 IPv6 地址範圍。對於 **IPv6 CIDR 區塊**，執行下列其中一個動作：
   + 選擇 **IPAM 配置的 IPv6 CIDR 區塊**，然後選取您的 IPAM IPv6 地址集區和網路遮罩。CIDR 區塊的大小會受 IPAM 集區上的分配規則所限制。
   + 若要從 IPv6 地址的 Amazon 集區請求 IPv6 CIDR 區塊，請選擇 **Amazon 提供的 IPv6 CIDR 區塊**。針對**網路邊界群組**，選取從中 AWS 公告 IP 地址的群組。Amazon 所提供 IPv6 CIDR 區塊的固定大小為 /56。
   + 選擇**我擁有的 IPv6 CIDR**，使用您使用自 AWS 有 IP 地址 (BYOIP) 帶到 的 IPv6 CIDR 區塊。 [https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html)在 **Pool** (集區) 欄位中，選擇要從中配置 IPv6 CIDR 區塊的 IPv6 地址集區。

1. (選用) 選擇**租用**選項。此選項會定義您在 VPC 中啟動的 EC2 執行個體是否會在與其他 共用的硬體上執行， AWS 帳戶 或在僅供您使用的硬體上執行。如果您選擇 VPC 的租用為 `Default`，則在此 VPC 中啟動的 EC2 執行個體將使用啟動執行個體時指定的租用屬性。如需詳細資訊，請參閱*《Amazon EC2 使用者指南》*中的[使用定義參數啟動執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-launch-instance-wizard.html)。

   如果您選擇 VPC 的租用為 `Dedicated`，則執行個體將會一律以硬體上之[專用預留執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html) (專供您使用) 的形式執行。如果您使用的是 AWS Outposts，您的 Outpost需要私有連線，而且必須使用`Default`租用。

1. (選用) 若要將標籤新增至 VPC，請選擇**新增標籤**，然後輸入標籤金鑰和標籤值。

1. 選擇**建立 VPC**。

1. 建立 VPC 後，您可以新增子網。

## 建立 的子網路 AWS Cloud9
<a name="vpc-settings-create-subnet"></a>

您可以使用 Amazon VPC 主控台為相容的 VPC 建立子網路 AWS Cloud9。您是否可以為 EC2 執行個體建立私有子網路或公有子網路，取決於您的環境連線到執行個體的方式：
+ **透過 SSH 直接存取：**僅限公有子網路
+ **透過 Systems Manager 存取權**：公有或私有子網路皆可

在私有子網路中啟動環境的 EC2 的選項僅適用於您使用[主控台、命令列或 CloudFormation](ec2-ssm.md) 建立「無輸入」EC2 環境的情況。

您必須按照可將子網路設為公有或私有的[相同子網路建立步驟](#create-subnet-proc)操作。如果子網路與路由至網際網路閘道的路由表建立關聯，就會成為公有子網路。但如果子網路與未路由至網際網路閘道的路由表建立關聯，則成為私有子網路。如需詳細資訊，請參閱[將子網路設定為公有或私有](#public-private-subnet) 

如果您遵循先前的程序來建立 的 VPC AWS Cloud9，則不需要遵循此程序。因為**建立新的 VPC** 精靈會自動為您建立子網路。

**重要**  
對於環境， AWS 帳戶 必須在相同的 AWS 區域 中具有相容的 VPC。如需詳細資訊，請參閱 [的 Amazon VPC 需求 AWS Cloud9](#vpc-settings-requirements) 所述的 VPC 需求。
針對此程序，我們建議您使用 IAM 管理員的登入資料登入 AWS 管理主控台 並開啟 Amazon VPC 主控台 AWS 帳戶。如果您無法執行此操作，請洽詢您的 AWS 帳戶 管理員。
某些組織可能不允許您自行建立子網路。如果您無法建立子網路，請洽詢您的 AWS 帳戶 管理員或網路管理員。<a name="create-subnet-proc"></a>

**建立子網路**

1. 如果 Amazon VPC 主控台尚未開啟，請登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/vpc](https://console.aws.amazon.com/vpc) 的 Amazon VPC 主控台。

1. 在導覽列中，如果 AWS 區域 與環境的區域不同，請選擇正確的區域。

1. 如果尚未顯示 **Subnets** (子網路) 頁面，從導覽窗格中選擇 **Subnets** (子網路)。

1. 選擇 **Create Subnet (建立子網路)**。

1. 在 **Create Subnet** (建立子網路) 對話方塊中，為 **Name tag** (名稱標籤) 輸入子網路的名稱。

1. 對於 **VPC**，選擇要與此子網路關聯的 VPC。

1. 針對**可用區域**，選擇子網路要使用 AWS 區域 的 內的可用區域，或選擇**無偏好設定**，讓 為您 AWS 選擇可用區域。

1. 在 **IPv4 CIDR block** (IPv4 CIDR 區塊) 中，以 CIDR 格式輸入要供此子網路使用的 IP 地址範圍。該 IP 地址範圍必須是 VPC 中的 IP 地址之子集。

   如需 CIDR 區塊的相關資訊，請參閱 *Amazon VPC 使用者指南*中的 [VPC 和子網路規模調整](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-sizing.html)。另請參閱 [3.1。RFC 4632 的基本概念與字首標記法](http://tools.ietf.org/html/rfc4632#section-3.1)，或 Wikipedia 中的 [IPv4 CIDR 區塊](http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing#IPv4_CIDR_blocks)。

建立子網路後，[設定為公有或私有子網路](#public-private-subnet)。

## 將子網路設定為公有或私有
<a name="public-private-subnet"></a>

建立子網路之後，您可以指定子網路與網際網路通訊的方式，藉此設為公有或私有。

公有子網路具有公有 IP 地址，且與網際網路閘道 (IGW) 連接，以便允許子網路執行個體與網際網路及其他 AWS 服務之間的通訊。

私有子網路中的執行個體具有私有 IP 地址，且會使用網路位址轉譯 (NAT) 閘道來傳送子網路執行個體與網際網路及其他 AWS 服務之間的往來流量。NAT 閘道必須託管在公有子網路中。

------
#### [ Public subnets ]

**注意**  
即使您環境的執行個體是在私有子網路中啟動，VPC 也必須具備至少一個公有子網路。這是因為轉送執行個體往來流量的 NAT 閘道必須託管在公有子網路中。

將子網路設定為公有時，必須將網際網路閘道 (IGW) 連接到子網路，設定路由表以指定該 IGW 的路由，並且定義安全群組中的設定以便控制傳入和傳出流量。

 如需瞭解如何執行這些任務，請參閱[建立 VPC 以及其他 VPC 資源](#vpc-settings-create-vpc)。

**重要**  
如果您的開發環境[使用 SSM 存取 EC2 執行個體](ec2-ssm.md)，請確保該執行個體已由公有子網路指派了可在子網路中啟動的公有 IP 地址。若要這樣做，您必須為公有子網路啟用公有 IP 地址選項的自動指派，並將其設定為 `Yes`。您可以在子網路設定頁面中建立 AWS Cloud9 環境之前，在公有子網路上啟用此功能。如需修改公有子網路中自動指派 IP 設定的相關步驟，請參閱《*Amazon VPC 使用者指南*》中的[修改子網路的公有 IPv4 定址屬性](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-public-ip.html)。如需設定公有和私有子網路的詳細資訊，請參閱[將子網路設定為公有或私有](#public-private-subnet)。

------
#### [ Private subnets ]

如果您建立透過 Systems Manager 存取的無輸入執行個體，您可以在私有子網路中啟動該執行個體。私有子網路沒有公有 IP 地址。因此，您需要 NAT 閘道將私有 IP 地址對應至請求的公有地址，並且還需要將公有 IP 地址對應回至回應的私有地址。

**警告**  
您將需要為您帳戶中建立及使用的 NAT 閘道支付費用。適用的費率為 NAT 閘道的每小時用量率及資料處理率。同時也適用 Amazon EC2 資料傳輸費。如需詳細資訊，請參閱 [Amazon VPC 定價](https://aws.amazon.com/vpc/pricing/)。

建立和設定 NAT 閘道前，您必須先執行以下作業：
+ 建立公有 VPC 子網路來代管 NAT 閘道。
+ 佈建可指派至 NAT 閘道的[彈性 IP 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html#WorkWithEIPs)。
+ 如為私有子網路，請清除 **Enable auto-assign public IPv4 address** (啟用自動指派公有 IPv4 地址)核取方塊，以便為要在其中啟動的執行個體指派私有 IP 地址。如需詳細資訊，請參閱 *Amazon VPC 使用者指南*中的[在 VPC 設定 IP 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html)。

如需瞭解任務步驟，請參閱 *Amazon VPC 使用者指南*中的[使用 NAT 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with)。

**重要**  
目前，如果您環境的 EC2 執行個體是在私有子網路中啟動，則無法使用[AWS 受管臨時憑證](security-iam.md#auth-and-access-control-temporary-managed-credentials)來允許 EC2 環境 AWS 服務 代表 IAM 使用者等 AWS 實體存取 。

------