Amazon Elastic Compute Cloud
Windows 实例用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

安全组规则引用

您可以创建安全组,并添加可反映与安全组关联的实例角色的规则。例如,配置为 Web 服务器的实例需要允许入站 HTTP 和 HTTPS 访问的安全组规则,而数据库实例需要允许数据库类型访问的规则,例如通过端口 3306 访问 MySQL。

以下是您可以添加到允许特定类型访问的安全组的规则类型示例。

Web 服务器

以下入站规则允许来自任何 IP 地址的 HTTP 和 HTTPS 访问。如果您为 VPC 启用了 IPv6,则可添加规则以控制来自 IPv6 地址的入站 HTTP 和 HTTPS 流量。

协议类型 协议编号 Port 源 IP 备注
TCP 6 80 (HTTP) 0.0.0.0/0 允许来自任何 IPv4 地址的入站 HTTP 访问。
TCP 6 443 (HTTPS) 0.0.0.0/0 允许来自任何 IPv4 地址的入站 HTTPS 访问
TCP 6 80 (HTTP) ::/0 (仅限 VPC) 允许来自任何 IPv6 地址的入站 HTTP 访问
TCP 6 443 (HTTPS) ::/0 (仅限 VPC) 允许来自任何 IPv6 地址的入站 HTTPS 访问

数据库服务器

以下入站规则是您可以为数据库访问添加的规则示例,具体取决于您在实例运行的数据库类型。有关 Amazon RDS 实例的更多信息,请参阅 Amazon Relational Database Service 用户指南

对于源 IP,请指定以下其中一项:

  • 您的本地网络中的特定 IP 地址或 IP 地址范围

  • 访问数据库的一组实例的安全组 ID

协议类型 协议编号 Port 备注
TCP 6 1433 (MS SQL) 访问 Microsoft SQL Server 数据库的默认端口,例如,在 Amazon RDS 实例上
TCP 6 3306 (MYSQL/Aurora) 访问 MySQL 或 Aurora 数据库的默认端口,例如,在 Amazon RDS 实例上
TCP 6 5439 (Redshift) 访问 Amazon Redshift 集群数据库的默认端口。
TCP 6 5432 (PostgreSQL) 访问 PostgreSQL 数据库的默认端口,例如,在 Amazon RDS 实例上
TCP 6 1521 (Oracle) 访问 Oracle 数据库的默认端口,例如,在 Amazon RDS 实例上

(仅限 VPC) 您可以选择限制来自数据库服务器的出站流量,例如,如果您希望允许对 Internet 的访问以便进行软件更新,则请限制所有其他类型的流量。您必须先删除允许所有出站流量的默认出站规则。

协议类型 协议编号 Port 目的地 IP 备注
TCP 6 80 (HTTP) 0.0.0.0/0 允许对任何 IPv4 地址进行出站 HTTP 访问
TCP 6 443 (HTTPS) 0.0.0.0/0 允许对任何 IPv4 地址进行出站 HTTPS 访问
TCP 6 80 (HTTP) ::/0 (仅限已启用 IPv6 的 VPC) 允许对任何 IPv6 地址进行出站 HTTP 访问
TCP 6 443 (HTTPS) ::/0 (仅限已启用 IPv6 的 VPC) 允许对任何 IPv6 地址进行出站 HTTPS 访问

来自同一组内的其他实例的访问

要允许与同一安全组关联的实例之间相互通信,您必须明确添加实现此目的的规则。

下表描述了允许关联的实例互相通信的 VPC 安全组的入站规则。该规则允许所有类型的流量。

协议类型 协议编号 端口 源 IP
-1 (All) -1 (All) -1 (All) 安全组 ID

下表描述了允许关联的实例互相通信的 EC2-Classic 安全组的入站规则。该规则允许所有类型的流量。

协议类型 协议编号 端口 源 IP
ICMP 1 -1 (All) 安全组 ID
TCP 6 0 - 65535 (All) 安全组 ID
UDP 17 0 - 65535 (All) 安全组 ID

从本地计算机进行访问

要连接到您的实例,您的安全组必须拥有允许 SSH 访问 (适用于 Linux 实例) 或 RDP 访问 (适用于 Windows 实例) 的入站规则。

协议类型 协议编号 Port 源 IP
TCP 6 22 (SSH) 您的计算机的公有 IPv4 地址或您的本地网络中的 IP 地址范围。如果您为 VPC 启用了 IPv6,并且您的实例有一个 IPv6 地址,则可以输入一个 IPv6 地址或范围。
TCP 6 3389 (RDP) 您的计算机的公有 IPv4 地址或您的本地网络中的 IP 地址范围。如果您为 VPC 启用了 IPv6,并且您的实例有一个 IPv6 地址,则可以输入一个 IPv6 地址或范围。

路径 MTU 发现

路径 MTU 是原始主机和接收主机之间的路径所支持的最大数据包大小。如果主机发送一个大于接收主机的 MTU 或大于路径上某台设备的 MTU 的数据包,则接收主机将返回以下 ICMP 消息:

Destination Unreachable: Fragmentation Needed and Don't Fragment was Set

要确保您的实例可以收到此消息并且数据包不会丢失,您必须将 ICMP 规则添加到您的入站安全组规则。

协议类型 协议编号 ICMP 类型 ICMP 代码 源 IP
ICMP 1 3 (Destination Unreachable) 4 (Fragmentation Needed and Don't Fragment was Set) 与您的实例进行通信的主机 IP 地址

对实例执行 ping 操作

ping 命令是一种 ICMP 流量。要对实例执行 ping 操作,您必须添加以下入站 ICMP 规则。

协议类型 协议编号 ICMP 类型 ICMP 代码 源 IP
ICMP 1 8 (Echo) 不适用 您的计算机的公有 IPv4 地址或您的本地网络中的 IPv4 地址范围

要使用 ping6 命令对您实例的 IPv6 地址执行 ping 操作,您必须添加以下入站 ICMPv6 规则。

协议类型 协议编号 ICMP 类型 ICMP 代码 源 IP
ICMPv6 58 128 (Echo) 0 您的计算机的 IPv6 地址或您的本地网络中的 IPv6 地址范围

DNS 服务器

如果您已将 EC2 实例设置为 DNS 服务器,则必须确保 TCP 和 UDP 流量可通过端口 53 访问您的 DNS 服务器。

对于源 IP,请指定以下其中一项:

  • 网络中的特定 IP 地址或 IP 地址范围

  • 您网络中需要访问 DNS 服务器的一组实例的安全组 ID。

协议类型 协议编号 Port
TCP 6 53
UDP 17 53

Amazon EFS 文件系统

如果您将 Amazon EFS 文件系统与 Amazon EC2 实例结合使用,与 Amazon EFS 装载目标关联的安全组必须允许使用 NFS 协议传输的流量。

协议类型 协议编号 端口 源 IP 备注
TCP 6 2049 (NFS) 安全组 ID. 允许从与该安全组关联的资源 (包括挂载目标) 进行入站 NFS 访问。

要在 Amazon EC2 实例上装载 Amazon EFS 文件系统,您必须连接到您的实例。因此,与您的实例关联的安全组必须拥有允许来自本地计算机或本地网络的入站 SSH 的规则。

协议类型 协议编号 端口 源 IP 备注
TCP 6 22 (SSH) 您的本地计算机的 IP 地址范围或网络的 IP 地址范围。 允许从您的本地计算机进行入站 SSH 访问。

Elastic Load Balancing

如果您正在使用负载均衡器,则与您的负载均衡器关联的安全组必须具有允许与您的实例或目标进行通信的规则。

入站
协议类型 协议编号 端口 源 IP 备注
TCP 6 侦听器端口

对于面向 Internet 的负载均衡器:0.0.0.0/0 (所有 IPv4 地址)

对于内部负载均衡器:VPC 的 IPv4 CIDR 块

在负载均衡器侦听器端口上允许入站流量。
出站
协议类型 协议编号 端口 目的地 IP 备注
TCP 6 实例侦听器端口 实例安全组的 ID 在实例侦听器端口上允许流向实例的出站流量.
TCP 6 运行状况检查端口 实例安全组的 ID 在运行状况检查端口上允许流向实例的出站流量.

您的实例的安全组规则必须允许负载均衡器通过侦听器端口和运行状况检查端口与您的实例进行通信。

入站
协议类型 协议编号 端口 源 IP 备注
TCP 6 实例侦听器端口

负载均衡器安全组的 ID

在实例侦听器端口上允许来自负载均衡器的流量.
TCP 6 运行状况检查端口 负载均衡器安全组的 ID 在运行状况检查端口上允许来自负载均衡器的流量.

有关更多信息,请参阅 传统负载均衡器 用户指南 中的为 Classic Load Balancer 配置安全组应用程序负载均衡器 用户指南 中的 Application Load Balancer的安全组