默认和自定义安全组
您的 Amazon 账户在每个区域的默认 VPC 中都自动拥有一个默认安全组。如果您在启动实例时没有指定安全组,实例会自动与 VPC 的默认安全组关联。如果您不希望您的实例使用默认安全组,则可创建自己的自定义安全组,并在启动实例时指定它们。
默认安全组
每个 VPC 均带有默认的安全组。建议您为特定实例或实例组创建安全组,而不要使用默认安全组。然而,假设您在启动实例时未指定安全组,则我们会将该实例关联到 VPC 的默认安全组。
默认安全组的名称为“default”。以下是默认安全组的默认规则。
入站 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
源 | 协议 | 端口范围 | 描述 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
sg-1234567890abcdef0 |
全部 | 全部 | 允许来自分配给此安全组的所有资源的入站流量。源为此安全组的 ID。 |
出站 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
目的地 | 协议 | 端口范围 | 描述 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
0.0.0.0/0 |
All |
All |
允许所有的出站 IPv4 流量。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
::/0 |
All |
All |
允许所有的出站 IPv6 流量。仅当 VPC 具有关联的 IPv6 CIDR 块时才添加此规则。 |
默认安全组基本信息
-
您可以更改默认安全组的规则。
-
您无法删除默认安全组。如果您尝试删除默认安全组,我们将返回以下错误代码:
Client.CannotDelete
。
自定义安全组
您可以创建多个安全组以反映实例扮演的不同角色;例如,Web 服务器或数据库服务器。
创建安全组时,您必须为其提供名称和描述。安全组的名称和描述最多 255 个字符,而且仅限于以下字符:
a-z、A-Z、0-9、空格和 ._-:/()#,@[]+=&;{}!$*
安全组名称不能以以下内容开头:sg-。安全组名称在 VPC 中必须是唯一的。
以下是您创建的安全组的默认规则:
-
不允许入站流量
-
允许所有出站流量
创建安全组后,您可以更改其入站规则,以反映您希望到达关联实例的入站流量的类型。您也可以更改其出站规则。
有关您可以添加到安全组的规则的更多信息,请参阅针对不同使用案例的安全组规则。