本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用安全群組
重要
AWS OpsWorks Stacks 服務已於 2024 年 5 月 26 日終止,並已針對新客戶和現有客戶停用。我們強烈建議客戶盡快將其工作負載遷移至其他解決方案。如果您對遷移有任何疑問,請透過 AWS re:Post
安全群組
重要
AWS OpsWorks Stacks 服務已於 2024 年 5 月 26 日終止,並已針對新客戶和現有客戶停用。我們強烈建議客戶盡快將其工作負載遷移至其他解決方案。如果您對遷移有任何疑問,請透過 AWS re:Post
每個 Amazon EC2 執行個體都有一或多個相關聯的安全群組,可管理執行個體的網路流量,就像防火牆一樣。安全群組有一或多個「規則」,每一個都會指定允許流量的特定類別。指定下列項目的規則:
-
允許流量的類型,例如 SSH 或 HTTP
-
此流量的通訊協定,例如 TCP 或 UDP
-
流量來源的 IP 地址範圍
-
流量的允許連接埠範圍
安全群組有兩種規則類型:
-
傳入規則管理傳入的網路流量。
例如,應用程式伺服器執行個體通常有一個傳入規則允許來自任何 IP 地址的 HTTP 流量傳入連接埠 80,另一個傳入規則允許來自指定 IP 地址集的 SSH 流量傳入連接埠 22。
-
傳出規則管理傳出的網路流量。
常用實務是使用允許任何傳出流量的預設設定。
如需安全群組的詳細資訊,請參閱 Amazon EC2 安全群組。
當您第一次在區域中建立堆疊時, AWS OpsWorks Stacks 會為每個 layer 建立內建的安全群組,並具有一組適當的規則。所有的群組都有允許所有傳出流量的預設傳出規則。一般而言,傳入規則允許下列項目:
-
從適當的 Stacks 層傳入 TCP、UDP AWS OpsWorks 和 ICMP 流量
-
連接埠 22 上的傳入 TCP 流量 (SSH 登入)
警告
預設的安全群組組態會向任何網路位置 (0.0.0.0/0) 開放 SSH (連接埠 22)。這可讓所有 IP 地址使用 SSH 存取您的執行個體。對於生產環境,您必須使用只允許特定 IP 地址或地址範圍之 SSH 存取的組態。在它們建立後立即更新預設的安全群組,或改用自訂的安全群組。
-
對於 Web 伺服器 layer,所有的傳入 TCP 以及 UDP 流量流向連接埠 80 (HTTP) 和 443 (HTTPS)
注意
內建的 AWS-OpsWorks-RDP-Server
安全群組會指派給所有的 Windows 執行個體,以允許 RDP 存取。不過,根據預設,它沒有任何規則。如果您執行的是 Windows 堆疊,並想要使用 RDP 存取執行個體,您必須新增允許 RDP 存取的傳入規則。如需詳細資訊,請參閱使用 RDP 登入。
若要查看每個群組的詳細資訊,請前往 Amazon EC2 主控台
注意
如果您不小心刪除 Stacks AWS OpsWorks 安全群組,重新建立的偏好方法是讓 AWS OpsWorks Stacks 為您執行任務。只要在相同的 AWS 區域和 VPC 建立新的堆疊,如果有的話,Stacks AWS OpsWorks 就會自動重新建立所有內建安全群組,包括您刪除的安全群組。您接著可以刪除您不再需要使用的堆疊,安全群組仍會留下。如果您想要手動重新建立安全群組,它必須是和原始安全群組完全一致 (包含群組名稱大小寫) 的複本。
此外,如果發生下列任何情況, AWS OpsWorks Stacks 將嘗試重新建立所有內建安全群組:
-
您可以在 Stacks AWS OpsWorks 主控台中對堆疊的設定頁面進行任何變更。
-
您啟動其中一個堆疊的執行個體。
-
您建立新的堆疊。
您可以使用以下任一種方法指定安全群組。您使用 Use OpsWorks security groups (使用 OpsWorks 安全群組) 設定在您建立堆疊時指定偏好。
-
是 (預設設定) – AWS OpsWorks Stacks 會自動將適當的內建安全群組與每個 layer 建立關聯。
您可以新增自訂安全群組與您偏好的設定,微調 layer 的內建安全群組。不過,當 Amazon EC2 評估多個安全群組時,會使用限制性最低的規則,因此您無法使用此方法指定比內建群組更嚴格的規則。
-
否 – AWS OpsWorks Stacks 不會將內建安全群組與 layer 建立關聯。
您必須建立適當的安全群組,並建立至少一個安全群組與您所建之每個 layer 的關聯。使用此方法指定比內建群組更嚴格的規則。請注意,只要您想要,您仍然可以手動建立內建安全群組與 layer 的關聯;只有需要自訂設定的 layer 才需要自訂的安全群組。
重要
如果您使用內建的安全群組,您即無法透過手動修改群組設定來建立更嚴格的規則。每次建立堆疊時, AWS OpsWorks Stacks 都會覆寫內建安全群組的組態,因此您所做的任何變更都會在下次建立堆疊時遺失。如果 layer 需要比內建安全群組更嚴格的安全群組設定,請將 Use OpsWorks security groups (使用 OpsWorks 安全群組) 設為 No (否),並使用您偏好的設定建立自訂安全群組,然後在建立時將其指派給 layer。