本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 安全群組：傳入和傳出規則
<a name="vpc-security-groups"></a>

*安全群組*會做為您執行個體的虛擬防火牆，控制傳入及傳出流量。針對每個安全群組，您可新增規則，用以控制傳入執行個體的流量，以及另一組規則，用以控制傳出的流量。

針對 VPC 連線，請使用描述 `QuickSight-VPC` 建立新的安全群組。此安全群組必須允許來自您要連線之資料目的地安全群組的所有傳入 TCP 流量。下列範例會在 VPC 中建立新的安全群組，並傳回新安全群組的 ID。

```
aws ec2 create-security-group \
--group-name quicksight-vpc \
--description "QuickSight-VPC" \
--vpc-id vpc-0daeb67adda59e0cd
```

**重要**  
網路組態夠複雜，我們強烈建議您建立新的安全群組，以便與 Amazon Quick 搭配使用。如果您需要聯絡 AWS Support，這也能讓其可更輕鬆地協助您。建立新群組並非絕對必要。不過，下列主題是根據您遵循此建議的假設而定的。

若要讓 Quick 成功連線到 VPC 中的執行個體，請設定您的安全群組規則，以允許 Amazon Quick 網路介面與包含您資料的執行個體之間的流量。若要執行這項操作，請設定連接至資料庫執行個體傳入規則的安全群組，以允許下列流量：
+ 從 Amazon Quick 連線的連接埠
+ 從下列其中一個選項：
  + 與 Amazon Quick 網路介面相關聯的安全群組 ID （建議） 

    或
  + Amazon Quick 網路界面的私有 IP 地址

如需詳細資訊，請參閱《Amazon VPC 使用者指南》中的 [VPC 的安全群組](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html)和 [VPC 和子網路](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html)。**

參閱下列主題，進一步了解傳入和傳出規則。

**Topics**
+ [傳入規則](#vpc-inbound-rules)
+ [傳出規則](#vpc-outbound-rules)

## 傳入規則
<a name="vpc-inbound-rules"></a>

**重要**  
如果連線是在 2023 年 4 月 27 日之前建立的，則以下章節適用於您的 VPC 連線。

當您建立安全群組時，它沒有傳入規則。直到您將傳入規則新增到安全群組之前，來自其他主機的流量都無法傳入您的執行個體。

連接至 Amazon Quick 網路界面的安全群組行為與大多數安全群組不同，因為它不具狀態。其他安全群組通常為 *stateful (具有狀態)*。這表示，在其建立了與資源安全群組的傳出連線後，就會自動允許傳回流量。相反地，Amazon Quick 網路介面安全群組不會自動允許傳回流量。因此，將輸出規則新增至 Amazon Quick 網路介面安全群組無法運作。若要讓它適用於 Amazon Quick 網路介面安全群組，請務必新增傳入規則，以明確授權來自資料庫主機的傳回流量。

安全群組中的傳入規則必須允許所有連接埠上的流量。它需要這樣做，因為任何傳入回傳封包的目的地連接埠號碼會設定為隨機分配的連接埠號碼。

若要限制 Amazon Quick 僅連線到特定執行個體，您可以指定要允許之執行個體的安全群組 ID （建議） 或私有 IP 地址。無論是哪一種情況，安全群組傳入規則仍需要允許所有連接埠 (0–65535) 上的流量。

若要允許 Amazon Quick 連線到 VPC 中的任何執行個體，您可以設定 Amazon Quick 網路介面安全群組。在這種情況下，請指定傳入規則，以在所有連接埠 (0–65535) 上允許流量傳送到 0.0.0.0/0。Amazon Quick 網路界面使用的安全群組應與資料庫使用的安全群組不同。我們建議您為 VPC 連線使用不同的安全群組。

**重要**  
如果您使用長期的 Amazon RDS 資料庫執行個體，請檢查組態，查看您是否使用資料庫安全群組。資料庫安全群組控制是與不在 VPC 中，而是在 EC2-Classic 平台上的資料庫執行個體搭配使用。  
如果這是您的組態，而且您未將資料庫執行個體移至 VPC 以搭配 Amazon Quick 使用，請務必更新資料庫安全群組的傳入規則。更新它們以允許來自您用於 Amazon Quick 的 VPC 安全群組的傳入流量。如需詳細資訊，請參閱《*Amazon RDS 使用者指南*》中的[使用安全群組控制存取](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html)。

## 傳出規則
<a name="vpc-outbound-rules"></a>

**重要**  
如果連線是在 2023 年 4 月 27 日之前建立的，則以下章節適用於您的 VPC 連線。

根據預設，安全群組會包含允許所有傳出流量的規則。建議您移除此預設規則，並新增只允許特定傳出流量的傳出規則。

**警告**  
請勿使用傳出規則在 Amazon Quick 網路介面上設定安全群組，以允許所有連接埠上的流量。如需有關管理來自 VPC 網路輸出流量的重要考量和建議的資訊，請參閱《Amazon VPC 使用者指南》中的 *VPC 的安全最佳實務*。[https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html)

連接至 Amazon Quick 網路界面的安全群組應具有傳出規則，允許流量流向 VPC 中您希望 Amazon Quick 連線的每個資料庫執行個體。若要限制 Amazon Quick 僅連線到特定執行個體，請指定要允許之執行個體的安全群組 ID （建議） 或私有 IP 地址。您可以在傳出規則中為您的執行個體設定適當連接埠號碼 (執行個體接聽的連接埠) 時，同時進行此設定。

VPC 安全群組也必須允許資料目的地安全群組的輸出流量，特別是資料庫接聽的連接埠。