默认和自定义安全组 - Amazon Elastic Compute Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

默认和自定义安全组

您的 Amazon 账户在每个区域的默认 VPC 中都自动拥有一个默认安全组。如果您在启动实例时没有指定安全组,实例会自动与 VPC 的默认安全组关联。如果您不希望您的实例使用默认安全组,则可创建自己的自定义安全组,并在启动实例时指定它们。

默认安全组

每个 VPC 均带有默认的安全组。建议您为特定实例或实例组创建安全组,而不要使用默认安全组。然而,假设您在启动实例时未指定安全组,则我们会将该实例关联到 VPC 的默认安全组。

默认安全组的名称为“default”。以下是默认安全组的默认规则。

入站
协议 端口范围 描述
sg-1234567890abcdef0 全部 全部 允许来自分配给此安全组的所有资源的入站流量。源为此安全组的 ID。
出站
目的地 协议 端口范围 描述

0.0.0.0/0

All

All

允许所有的出站 IPv4 流量。

::/0

All

All

允许所有的出站 IPv6 流量。仅当 VPC 具有关联的 IPv6 CIDR 块时才添加此规则。

默认安全组基本信息
  • 您可以更改默认安全组的规则。

  • 您无法删除默认安全组。如果您尝试删除默认安全组,我们将返回以下错误代码:Client.CannotDelete

自定义安全组

您可以创建多个安全组以反映实例扮演的不同角色;例如,Web 服务器或数据库服务器。

创建安全组时,您必须为其提供名称和描述。安全组的名称和描述最多 255 个字符,而且仅限于以下字符:

a-z、A-Z、0-9、空格和 ._-:/()#,@[]+=&;{}!$*

安全组名称不能以以下内容开头:sg-。安全组名称在 VPC 中必须是唯一的。

以下是您创建的安全组的默认规则:

  • 不允许入站流量

  • 允许所有出站流量

创建安全组后,您可以更改其入站规则,以反映您希望到达关联实例的入站流量的类型。您也可以更改其出站规则。

有关您可以添加到安全组的规则的更多信息,请参阅针对不同使用案例的安全组规则