本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Application Load Balancer 的安全群組
<a name="load-balancer-update-security-groups"></a>

Application Load Balancer 的安全群組會控制允許到達和離開負載平衡器的流量。您必須確保負載平衡器可以在接聽程式連接埠和運作狀態檢查連接埠上與已註冊的目標通訊。當您將接聽程式新增到負載平衡器，或針對目標群組更新負載平衡器用來路由請求的運作狀態檢查連接埠時，您必須確認與負載平衡器相關聯的安全群組在新的連接埠上允許這兩個方向的流量。如果不是如此，您可以編輯目前相關聯之安全群組的規則，或將其他安全群組與負載平衡器建立關聯。您可以選擇要允許的連接埠和通訊協定。例如，您可以開放網際網路控制訊息通訊協定 (ICMP) 連線負載平衡器回應 ping 請求 (不過，ping 請求不會轉發到任何執行個體)。

**考量事項**
+ 為了確保您的目標僅接收來自負載平衡器的流量，請將與目標相關聯的安全群組限制為僅接受來自負載平衡器的流量。這可以透過將負載平衡器的安全群組設定為目標安全群組的輸入規則中的來源來實現。
+ 如果您的 Application Load Balancer 是 Network Load Balancer 的目標，Application Load Balancer 的安全群組會使用連線追蹤來追蹤來自 Network Load Balancer 的流量相關資訊。無論為 Application Load Balancer 設定的安全群組規則為何，都會發生此情況。如需詳細資訊，請參閱《*Amazon EC2 使用者指南*》中的[安全群組連線追蹤](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html)。
+ 建議您允許傳入 ICMP 流量以支援路徑 MTU 探索。如需詳細資訊，請參閱《*Amazon EC2 使用者指南*》中的[路徑 MTU 探索](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html#path_mtu_discovery)。

## 建議的規則
<a name="security-group-recommended-rules"></a>

對於執行個體做為目標的面向網際網路負載平衡器，建議使用下列規則。


| 
| 
| **Inbound** | 
| --- |
|  來源  |  連接埠範圍  |  Comment  | 
|  0.0.0.0/0  |  *接聽程式*  |  在負載平衡器接聽程式連接埠上允許所有傳入流量  | 
|   **Outbound**   | 
| --- |
|  目標  |  連接埠範圍  |  Comment  | 
|  *執行個體安全群組*  |  *執行個體接聽程式*  |  在執行個體接聽程式連接埠上允許流向執行個體的傳出流量  | 
|  *執行個體安全群組*  |  *運作狀態檢查*  |  在運作狀態檢查連接埠上允許流向執行個體的傳出流量  | 

對於執行個體做為目標的內部負載平衡器，建議使用下列規則。


| 
| 
| **Inbound** | 
| --- |
|  來源  |  連接埠範圍  |  Comment  | 
|  *VPC CIDR*  |  *接聽程式*  |  在負載平衡器接聽程式連接埠上允許來自 VPC CIDR 的傳入流量  | 
|   **Outbound**   | 
| --- |
|  目標  |  連接埠範圍  |  Comment  | 
|  *執行個體安全群組*  |  *執行個體接聽程式*  |  在執行個體接聽程式連接埠上允許流向執行個體的傳出流量  | 
|  *執行個體安全群組*  |  *運作狀態檢查*  |  在運作狀態檢查連接埠上允許流向執行個體的傳出流量  | 

對於執行個體本身為 Network Application Load Balancer 目標的 Application Load Balancer，建議使用下列規則。


| 
| 
| **Inbound** | 
| --- |
|  來源  |  連接埠範圍  |  Comment  | 
|  *用戶端 IP 地址/CIDR*  |  *`alb `接聽程式*  |  允許負載平衡器接聽程式連接埠上的傳入用戶端流量  | 
|  *VPC CIDR*  |  *`alb `接聽程式*  |  允許透過負載平衡器接聽程式連接埠 AWS PrivateLink 上的傳入用戶端流量  | 
|  *VPC CIDR*  |  *`alb `接聽程式*  |  允許來自 Network Load Balancer 的傳入運作狀態檢查流量  | 
|   **Outbound**   | 
| --- |
|  目標  |  連接埠範圍  |  Comment  | 
|  *執行個體安全群組*  |  *執行個體接聽程式*  |  在執行個體接聽程式連接埠上允許流向執行個體的傳出流量  | 
|  *執行個體安全群組*  |  *運作狀態檢查*  |  在運作狀態檢查連接埠上允許流向執行個體的傳出流量  | 

## 更新相關聯的安全群組
<a name="update-group"></a>

您可以隨時更新與負載平衡器相關聯的安全群組。

------
#### [ Console ]

**更新安全群組**

1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。

1. 在導覽窗格上選擇 **Load Balancers (負載平衡器)**。

1. 選取負載平衡器。

1. 在**安全性**索引標籤中，選擇**編輯**。

1. 若要將安全群組與負載平衡器建立關聯，請選取安全群組。若要移除安全群組關聯，請選擇安全群組的 **X** 圖示。

1. 選擇**儲存變更**。

------
#### [ AWS CLI ]

**更新安全群組**  
使用 [set-security-groups](https://docs.aws.amazon.com/cli/latest/reference/elbv2/set-security-groups.html) 命令。

```
aws elbv2 set-security-groups \
    --load-balancer-arn load-balancer-arn \
    --security-groups sg-01dd3383691d02f42 sg-00f4e409629f1a42d
```

------
#### [ CloudFormation ]

**更新安全群組**  
更新 [AWS::ElasticLoadBalancingV2::LoadBalancer](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-loadbalancer.html) 資源。

```
Resources:
  myLoadBalancer:
    Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
    Properties:
      Name: my-alb
      Type: application
      Scheme: internal
      Subnets: 
        - !Ref subnet-AZ1
        - !Ref subnet-AZ2
      SecurityGroups: 
        - !Ref mySecurityGroup
        - !Ref myNewSecurityGroup
```

------