安全群組規則

• 您可以指定允許規則，但無法指定拒絕規則。

• 當您首次建立安全群組時，它沒有傳入規則。因此，在您將傳入規則新增到安全群組之前，都不會允許傳入流量。

• 當您首次建立安全群組時，該安全群組會具有允許來自該資源的所有傳出流量的傳出規則。您可以移除規則並新增只允許特定傳出流量的傳出規則。若您的安全群組沒有傳出規則，將不會允許傳出流量。

• 當您將多個安全群組與資源建立關聯時，會將每個安全群組的規則彙總以構成一組規則，並使用這組規則來決定是否允許存取。

• 當您新增、更新或移除規則時，您的變更會自動套用至與安全群組相關聯的所有資源。如需說明，請參閱 設定安全群組規則。

• 有些規則變更的效果可取決於追蹤流量的方式。如需詳細資訊，請參閱 Amazon EC2使用者指南 中的連線追蹤。

• 當您建立安全群組規則時， 會 AWS 為規則指派唯一的 ID。當您使用 API或 CLI修改或刪除規則時，可以使用規則的 ID。

• 通訊協定：要允許的通訊協定。最常見的通訊協定為 6 （TCP）、17 （UDP） 和 1 （ICMP）。

• 連接埠範圍 ：對於 TCP、 UDP或自訂通訊協定，允許的連接埠範圍。您可以指定單一連接埠號碼 (例如，22)，或是連接埠號碼的範圍 (例如，7000-8000)。

• ICMP 類型和代碼 ：對於 ICMP，輸入ICMP類型和代碼。例如，針對ICMP回應請求使用類型 8，或針對ICMPv6回應請求使用類型 128。

• 來源或目的地：允許流量的來源 (傳入規則) 或目的地 (傳出規則)。請指定下列其中一項：

  • 單一IPv4地址。您必須使用 /32 的字首長度。例如：203.0.113.1/32。

  • 單一IPv6地址。您必須使用 /128 的字首長度。例如：2001:db8:1234:1a00::123/128。

  • CIDR 區塊表示法中的IPv4位址範圍。例如：203.0.113.0/24。

  • CIDR 區塊表示法中的IPv6位址範圍。例如：2001:db8:1234:1a00::/64。

  • 字首清單的 ID。例如：pl-1234abc1234abc123。如需詳細資訊，請參閱使用受管字首清單合併和管理網路CIDR區塊。

  • 安全群組的 ID。例如：sg-1234567890abcdef0。如需詳細資訊，請參閱安全群組參考。

• (Optional) Description ((選用) 描述)：您可以為規則新增描述，這可協助您在稍後更容易識別它。描述的長度最高可達 255 個字元。允許的字元為 a-z、A-Z、0-9、空格鍵和 ._-:/()#,@[]+=;{}!$*。

在安全群組規則中參考安全群組時，請注意下列事項：

• 兩個安全群組必須屬於相同VPC或對等的 VPC。

• 所參考安全群組中的規則不會新增至參考該安全群組的安全群組。

• 對於傳入規則，與安全群組相關聯的EC2執行個體可以接收來自與參考安全群組相關聯EC2執行個體之私有 IP 地址的傳入流量。

• 對於傳出規則，與安全群組相關聯的EC2執行個體可以將傳出流量傳送到與參考安全群組相關聯的EC2執行個體的私有 IP 地址。

範例

下圖顯示在兩個可用區域中VPC具有子網路的 、網際網路閘道和 Application Load Balancer 。每個可用區域都有一個用於 Web 伺服器的公用子網路，以及一個用於資料庫伺服器的私有子網路。負載平衡器、Web 伺服器和資料庫伺服器有個別的安全群組。建立下列安全群組規則以允許流量。

• 將規則新增至負載平衡器安全群組，以允許 HTTP和來自網際網路的HTTPS流量。來源是 0.0.0.0/0。

• 將規則新增至 Web 伺服器的安全群組，以便只允許來自負載平衡器的 HTTP和 HTTPS流量。來源是負載平衡器的安全群組。

• 將規則新增至資料庫伺服器的安全群組，以允許來自 Web 伺服器的資料庫請求。來源是 Web 伺服器的安全群組。

• 參考CIDR區塊的規則會視為一個規則。

• 參考另一個安全群組的規則會計為一個規則，無論參考之安全群組的大小為何。

• 參考客戶管理之字首清單的規則會計為字首清單的大小上限。例如，如果字首清單的大小上限為 20，則參考此字首清單的規則會計為 20 個規則。

• 參考 AWS受管字首清單的規則會視為字首清單的權重。例如，如果字首清單的權重為 10，則參考此字首清單的規則會計為 10 個規則。如需詳細資訊，請參閱可用的 受 AWS管字首清單。