本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
您 VPCs 的預設安全群組
您建立的預設 VPCs 和任何 VPCs 都隨附預設安全群組。預設安全群組的名稱為 "default".
建議您為特定資源或資源群組建立安全群組,而非使用預設安全群組。但是,如果您未在建立資源時關聯安全群組,則資源會關聯至預設安全群組。例如,如果您在啟動 EC2 執行個體時未指定安全群組,我們會將執行個體與其 VPC 的預設安全群組建立關聯。
預設安全群組基本概念
-
您可以變更預設安全群組的規則。
-
您無法刪除預設安全群組。若您嘗試刪除預設安全群組,我們會傳回下列錯誤代碼:
Client.CannotDelete。
預設規則
下表說明預設安全群組的預設傳入規則。
| 來源 | 通訊協定 | 連接埠範圍 | 描述 |
|---|---|---|---|
sg-1234567890abcdef0 |
全部 | 全部 | 允許來自指派給此安全群組的所有資源的傳入流量。來源為此安全群組的 ID。 |
下表說明預設安全群組的預設傳出規則。
| 目的地 | 通訊協定 | 連接埠範圍 | 描述 |
|---|---|---|---|
| 0.0.0.0/0 | 全部 | 全部 | 允許所有傳出 IPv4 流量。 |
| ::/0 | 全部 | 全部 | 允許所有傳出 IPv6 流量。只有在您的 VPC 具有關聯的 IPv6 CIDR時,才會新增此規則。 |
範例
下圖顯示具有預設安全群組的 VPC、網際網路閘道和 NAT 閘道。預設安全性僅包含其預設規則,並與在 EC2 中執行的兩個 VPC 執行個體相關聯。在此案例中,每個執行個體都可以從所有連接埠和通訊協定上的其他執行個體接收傳入流量。預設規則不允許執行個體接收來自網際網路閘道或 NAT 閘道的流量。如果您的執行個體必須接收額外流量,建議您建立一個具有所需規則的安全群組,並將新的安全群組與執行個體建立關聯,而不是與預設安全群組建立關聯。
