安全组
安全组 充当 EC2 实例的虚拟防火墙,用于控制传入和传出流量。入站规则控制传入到实例的流量,出站规则控制从实例传出的流量。
启动实例时,您可以指定一个或多个安全组。如果您未指定安全组,则 Amazon EC2 将使用默认安全组。您可以为每个安全组添加规则,规定流入或流出其关联实例的流量。您可以随时修改安全组的规则。新规则和修改后的规则将自动应用到与安全组相关联的所有实例。在 Amazon EC2 确定是否允许流量到达实例时,它评估与实例关联的所有安全组中的所有规则。
一、安全组规则
1.特征:
安全组规则始终是宽松的;您无法创建拒绝访问的规则
安全组规则允许您根据协议和端口号筛选流量
当您将多个安全组与一个实例相关联时,将有效汇总每个安全组的规则,以创建一组规则。Amazon EC2 使用这组规则确定是否允许访问。
为一个实例分配多个安全组。
2.创建规则时,您可以指定以下内容
名称、协议、端口范围、ICMP 类型和代码、源或目标
二、安全组连接跟踪:使用连接跟踪来跟踪有关进出实例的流量的信息。
默认和自定义安全组
1.默认 VPC 中都自动拥有一个默认安全组。如果您在启动实例时没有指定安全组,实例会自动与 VPC 的默认安全组关联。
入站规则
源 协议 端口范围 描述
安全组 ID(其自己的资源 ID)All All 允许来自分配给相同安全组的网络接口和实例的入站流量。
出站规则
目的地 协议 端口范围 描述
0.0.0.0/0 All All 允许所有的出站 IPv4 流量。
::/0 All All 允许所有的出站 IPv6 流量。仅当 VPC 具有关联的 IPv6 CIDR 块时才添加此规则。
三、管理安全组
3.1创建安全组
控制台:
1.通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/。
2.在导航窗格中,选择 Security Groups (安全组)。
3.选择创建安全组。
4.在 Basic details (基本详细信息) 部分中,执行以下操作。
5.输入安全组的描述性名称和简要说明。创建安全组后,无法对其进行编辑。名称和描述的长度最多为 255 个字符。允许的字符包括 a-z、A-Z、0-9、空格和 ._-:/()#,@[]+=&;{}!$*。
对于 VPC,请选择 VPC。
5.您可以现在添加安全组规则,也可以稍后再添加。有关更多信息,请参阅向安全组添加规则。
6.您可以现在添加标签,也可以稍后再添加。要添加标签,请选择 Add new tag (添加新标签),然后输入标签键和值。
7.选择创建安全组。
命令行:
1.创建安全组
aws ec2 create-security-group --group-name MySecurityGroup --description "My security gr
oup" --vpc-id vpc-1a2b3c4d
2.查看安全组
aws ec2 describe-security-groups \
--group-ids sg-903004f8
3.2 更新安全组
使用控制台更新规则
- 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/。
- 在导航窗格中,选择 Security Groups。
- 选择安全组。
- 依次选择 Actions (操作)、Edit inbound rules (编辑入站规则),或 Actions (操作)、Edit outbound rules (编辑出站规则)。
- 根据需要更新规则。
- 选择 Save rules (保存规则)。
3.3 删除安全组规则
使用控制台更新安全组规则
- 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/。
- 在导航窗格中,选择 Security Groups。
- 选择安全组。
- 选择 Actionis (操作),然后选择 Edit inbound rules (编辑入站规则) 以删除入站规则,或选择 Edit outbound rules (编辑出站规则) 以删除出站规则。
- 选择您希望删除的规则旁边的 Delete(删除)按钮。
- 选择 Save rules (保存规则)。