默认和自定义安全组 - Amazon Elastic Compute Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

默认和自定义安全组

您的Amazon账户在每个区域的默认 VPC 中都自动拥有一个默认安全组。如果您在启动实例时没有指定安全组,实例会自动与 VPC 的默认安全组关联。如果您不希望您的实例使用默认安全组,则可创建自己的自定义安全组,并在启动实例时指定它们。

默认安全组

您的Amazon账户在每个区域的默认 VPC 中都自动拥有一个默认安全组。如果您在启动实例时没有指定安全组,实例会自动与 VPC 的默认安全组关联。

默认安全组名称为 default,而且拥有一个由Amazon分配的 ID。下表介绍默认安全组的默认规则。

入站规则
协议 端口范围 描述

安全组 ID(其自己的资源 ID)

All

All

允许来自分配给相同安全组的网络接口和实例的入站流量。

出站规则
目的地 协议 端口范围 描述

0.0.0.0/0

All

All

允许所有的出站 IPv4 流量。

::/0

All

All

允许所有的出站 IPv6 流量。仅当 VPC 具有关联的 IPv6 CIDR 块时才添加此规则。

您可以添加或删除任何默认安全组的入站和出站规则。

您无法删除默认安全组。如果您尝试删除默认安全组,会显示以下错误:Client.CannotDelete: the specified group: "sg-51530134" name: "default" cannot be deleted by a user

自定义安全组

如果您不希望您的实例使用默认安全组,则可创建自己的安全组,并在启动实例时指定它们。您可以创建多个安全组以反映实例扮演的不同角色;例如,Web 服务器或数据库服务器。

创建安全组时,您必须为其提供名称和描述。安全组的名称和描述最多 255 个字符,而且仅限于以下字符:

a-z、A-Z、0-9、空格和 ._-:/()#,@[]+=&;{}!$*

安全组名称不能以 sg- 开头。安全组名称在 VPC 中必须是唯一的。

以下是您创建的安全组的默认规则:

  • 不允许入站流量

  • 允许所有出站流量

创建安全组后,您可以更改其入站规则,以反映您希望到达关联实例的入站流量的类型。您也可以更改其出站规则。

有关您可以添加到安全组的规则的更多信息,请参阅针对不同使用案例的安全组规则