更改 Amazon EC2 实例的安全组
您可以在启动 Amazon EC2 实例时指定安全组。启动实例后,即可添加或删除安全组。您也可以随时添加、删除或编辑关联安全组的安全组规则。
安全组与网络接口关联。添加或删除安全组会更改与主网络接口关联的安全组。您还可以更改与任何辅助网络接口关联的安全组。有关更多信息,请参阅 修改网络接口属性。
添加或删除安全组
启动实例后,即可在关联的安全组列表中添加或删除安全组。当您将多个安全组与一个实例相关联时,将有效汇总每个安全组的规则,以创建一组规则。Amazon EC2 使用这组规则确定是否允许流量。
要求
-
实例必须处于
running
或stopped
状态。 -
安全组特定于 VPC。您可以将一个安全组与一个或多个实例关联。
使用控制台更改实例的安全组
通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/
。 -
在导航窗格中,选择实例。
-
选择您的实例,依次选择 Actions(操作)、Security(安全)和 Change security groups(更改安全组)。
-
对于 Associated security groups (关联的安全组),从列表中选择一个安全组,然后选择 Add security group (添加安全组)。
要删除已关联的安全组,请为该安全组选择 Remove (删除)。
-
选择保存。
使用命令行更改实例的安全组
-
modify-instance-attribute (Amazon CLI)
-
Edit-EC2InstanceAttribute (Amazon Tools for Windows PowerShell)
配置安全组规则
创建安全组后,即可添加、更新或删除安全组的规则。在添加、更新或删除规则时,更改将自动应用于与安全组关联的资源。
有关可以添加到安全组的规则示例,请参阅针对不同使用案例的安全组规则。
来源和目标
您可以将以下内容指定为入站规则的来源或出站规则的目标。
-
自定义 – IPv4 CIDR 块、IPv6 CIDR 块、其他安全组或前缀列表。
-
Anywhere-IPv4 – 0.0.0.0/0 IPv4 CIDR 块。
-
Anywhere-IPv6 – ::/0 IPv6 CIDR 块。
-
我的 IP – 本地计算机的公有 IPv4 地址。
警告
如果要为端口 22(SSH)或 3389(RDP)添加入站规则,强烈建议仅授权特定 IP 地址或特定范围内的 IP 地址访问实例。如果选择 Anywhere-IPv4,则允许来自所有 IPv4 地址的流量使用指定协议访问实例。如果选择 Anywhere-IPv6,则允许来自所有 IPv6 地址的流量使用指定协议访问实例。
使用控制台配置安全组规则
通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/
。 -
在导航窗格中,选择 Security Groups(安全组)。
-
选择安全组。
-
要编辑入站规则,请从操作或入站规则选项卡中选择编辑入站规则。
-
要添加规则,请选择添加规则,再输入规则的类型、协议、端口和来源。
如果类型为 TCP 或 UDP,则必须输入允许的端口范围。对于自定义 ICMP,您必须从 Protocol(协议)中选择 ICMP 类型名称,并从 Port range(端口范围)中选择代码名称(如果适用)。对于任何其他类型,则会为您配置协议和端口范围。
-
要更新规则,请根据需要更改规则的协议、描述和来源。但是,您无法更改来源类型。例如,若来源是 IPv4 CIDR 块,则无法指定 IPv6 CIDR 块、前缀列表或安全组。
-
要删除规则,请选择规则的删除按钮。
-
-
要编辑出站规则,请从操作或出站规则选项卡中选择编辑出站规则。
-
要添加规则,请选择添加规则,再输入规则的类型、协议、端口和目标。您也可以输入可选描述。
如果类型为 TCP 或 UDP,则必须输入允许的端口范围。对于自定义 ICMP,您必须从 Protocol(协议)中选择 ICMP 类型名称,并从 Port range(端口范围)中选择代码名称(如果适用)。对于任何其他类型,则会为您配置协议和端口范围。
-
要更新规则,请根据需要更改规则的协议、描述和来源。但是,您无法更改来源类型。例如,若来源是 IPv4 CIDR 块,则无法指定 IPv6 CIDR 块、前缀列表或安全组。
-
要删除规则,请选择规则的删除按钮。
-
-
选择保存规则。