Security Group概念
安全群組會做為您執行個體的虛擬防火牆,控制傳入及傳出流量。當您在 VPC 中啟動執行個體時,您可以為執行個體指派最多五個安全群組。安全群組會在執行個體層級執行,而非子網路層級。因此,在您 VPC 中子網路內的每個執行個體都可指派給一組不同的安全群組。
原廠說明文件 <--連結-->
Security Group基礎特性
- 您可以為每個 VPC 建立的安全群組數、每個安全群組可新增的規則數,以及您可以與網路界面建立關聯的安全群組數都具有配額。如需更多詳細資訊,請參閱 Amazon VPC 配額。
- 您可以指定允許規則,但無法指定拒絕規則。
- 您可以為傳入和傳出規則分別指定規則。
- 當您建立安全群組時,它沒有傳入規則。因此,直到您將傳入規則新增到安全群組之前,來自其他主機的流量都無法傳入您的執行個體。
- 根據預設,安全群組會包含允許所有傳出流量的規則。您可以移除規則並新增只允許特定傳出流量的傳出規則。若您的安全群組沒有傳出規則,將不會允許來自您執行個體的傳出流量。
- 安全群組是具狀態 — 的,若您從執行個體傳送請求,該請求的回應流量將允許流入,與對內安全群組規則無關。無論傳出規則為何,針對允許傳入流量的回應都會允許傳出。
- 與安全群組相關聯的執行個體無法與彼此交談,除非您新增允許流量的規則 (例外:預設安全群組預設具有這些規則)。
- 安全群組與網路界面關聯。在您啟動執行個體之後,您可以變更與執行個體相關聯的安全群組,以變更與主要網路界面 (eth0) 相關聯的安全群組。您也可以指定或變更與任何其他網路界面相關聯的安全群組。根據預設,當您建立網路界面時,它會與 VPC 的預設安全群組相關聯,除非您指定不同的安全群組。如需網路界面的詳細資訊,請參閱彈性網路界面。
- 當您建立安全群組時,您必須提供名稱和描述。適用的規定如下:
- 名稱和描述的長度最多可達 255 個字元。
- 名稱和描述僅能使用下列字元:a-z、A-Z、0-9、空格,以及 ._-:/()#,@[]+=&;{}!$*。
- 當名稱尾隨空格時,我們會裁切空格並儲存名稱。例如,如果您輸入「測試安全群組」作為名稱,我們會將其儲存為「測試安全群組」。
- 安全群組名稱不能以 sg- 為開頭,因為這些表示預設安全群組。
- 安全群組名稱在 VPC 中必須是唯一的。
- 安全群組只能在您建立安全群組時指定的 VPC 中使用。
原廠說明文件 <--連結-->