使用安全组 - Amazon Elastic Compute Cloud
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用安全组

在启动实例时,您可以向实例分配安全组。在添加或删除规则时,所做的更改将自动应用于已分配安全组的所有实例。

启动实例后,您可以更改其安全组。想要了解更多有关信息,请参阅 Amazon VPC 用户指南中的更改实例的安全组主题。

您可以使用 Amazon EC2 控制台和命令行工具创建、查看、更新和删除安全组及安全组规则。

创建安全组

您可以使用以下方法之一创建自定义安全组。您必须指定您正在为其创建安全组的 VPC。

新控制台

创建安全组

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择 Security Groups

  3. 选择创建安全组

  4. Basic details (基本详细信息) 部分中,执行以下操作。

    1. 输入安全组的描述性名称和简要说明。名称和描述的长度最多为 255 个字符,可以包括 a-z, A-Z, 0-9, spaces, and ._-:/()#,@[]+=&;{}!$*

    2. 对于 VPC,请选择要在其中创建安全组的 VPC。安全组只能在创建该组的 VPC 中使用。

  5. 您可以现在添加安全组规则,也可以在创建安全组后随时添加这些规则。有关添加安全组规则的更多信息,请参阅在安全组中添加规则

  6. 选择创建

旧控制台

创建安全组

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择 Security Groups

  3. 选择 Create Security Group

  4. 为安全组指定名称和描述。

  5. 对于 VPC,选择 VPC 的 ID。

  6. 您可以开始添加规则,也可以选择 Create (创建) 以立即创建安全组(您可以在以后随时添加规则)。有关添加规则的更多信息,请参阅在安全组中添加规则

Command line

创建安全组

使用以下命令之一:

复制安全组

您可以通过创建现有安全组的副本来创建新安全组。复制安全组时,将使用与原始安全组相同的入站和出站规则创建副本。如果原始安全组位于 VPC 中,则除非您指定不同的安全组,否则将在相同 VPC 中创建副本。

副本会收到一个新的唯一安全组 ID,您必须为其指定名称。您还可以添加描述。

您无法将安全组从一个区域复制到另一区域。

您可以使用以下方法之一创建安全组的副本。

新控制台

复制安全组

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择 Security Groups

  3. 选择要复制的安全组,然后选择 Actions (操作)Copy to new security group (复制到新安全组)

  4. 指定名称和可选描述,并根据需要更改 VPC 和安全组规则。

  5. 选择创建

旧控制台

复制安全组

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择 Security Groups

  3. 选择您要复制的安全组,然后依次选择操作复制到新项目

  4. Create Security Group (创建安全组) 对话框随即打开,其中预填充了现有安全组中的规则。为新的安全组指定名称和说明。对于 VPC,选择 VPC 的 ID。完成后,选择 Create

查看安全组

您可以使用以下方法之一查看有关安全组的信息。

新控制台

查看安全组

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择 Security Groups

  3. 此时将列出您的安全组。要查看特定安全组的详细信息,包括其入站和出站规则,请在安全组 ID 列中选择其 ID。

旧控制台

查看安全组

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择 Security Groups

  3. (可选)从筛选条件列表中选择 VPC ID,然后选择 VPC 的 ID。

  4. 选择一个安全组。将在 Description (描述) 选项卡上显示常规信息,在 Inbound (入站) 选项卡上显示入站规则,在 Outbound (出站) 选项卡上显示出站规则,并在 Tags (标签) 选项卡上显示标签。

Command line

查看安全组

使用以下命令之一。

在安全组中添加规则

当您向安全组添加规则时,这一新规则会自动应用于与该安全组关联的任何实例。应用规则可能会有短暂的延迟。有关选择允许特定类型访问的安全组规则的更多信息,请参阅 安全组规则引用。有关安全组规则配额,请参阅 Amazon VPC 用户指南中的 Amazon VPC 配额

您可以使用以下方法之一向安全组添加规则。

新控制台

在安全组中添加入站规则

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择 Security Groups

  3. 在列表中,选择安全组,选择 Actions (操作),然后选择 Edit inbound rules (编辑入站规则)

  4. 选择添加规则,然后执行以下操作:

    1. 对于类型,选择要允许的协议类型。

      • 如果您选择自定义 TCP 或 UDP 协议,则必须手动输入允许的端口范围。

      • 如果您选择自定义 ICMP 协议,则必须请从协议中选择 ICMP 类型名称,并从端口范围中选择代码名称 (如果适用)。

      • 如果您选择任何其他类型,则会自动配置协议和端口范围。

    2. 对于,执行以下操作之一。

      • 选择自定义,然后以 CIDR 表示法输入 IP 地址、CIDR 块、其他安全组或允许入站流量的前缀列表。

      • 选择任何位置以允许指定协议的所有入站流量到达您的实例。此选项会自动将 0.0.0.0/0 IPv4 CIDR 块添加为允许的源。这在测试环境中可以接受一小段时间,但是在生产环境中并不安全。在生产中,请仅授权特定 IP 地址或地址范围访问您的实例。

        如果您的安全组位于启用 IPv6 的 VPC 中,则此选项会自动为 IPv6 流量添加第二条规则 (::/0)。

      • 选择我的 IP 以仅允许来自本地计算机的公有 IPv4 地址的入站流量。

    3. 对于描述,您可以选择指定规则的简单描述。

  5. 选择 Preview changes (预览更改),然后选择 Save rules (保存规则)

在安全组中添加出站规则

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择 Security Groups

  3. 在列表中,选择安全组,然后选择 Actions (操作)Edit outboud rules (编辑出站规则)

  4. 选择添加规则,然后执行以下操作:

    1. 对于类型,选择要允许的协议类型。

      • 如果您选择自定义 TCP 或 UDP 协议,则必须手动输入允许的端口范围。

      • 如果您选择自定义 ICMP 协议,则必须请从协议中选择 ICMP 类型名称,并从端口范围中选择代码名称 (如果适用)。

      • 如果您选择任何其他类型,则会自动配置协议和端口范围。

    2. 对于目标,执行以下操作之一。

      • 选择自定义,然后以 CIDR 表示法输入 IP 地址、CIDR 块、其他安全组或允许出站流量的前缀列表。

      • 选择任意位置以允许传送到所有 IP 地址的出站流量。此选项会自动将 0.0.0.0/0 IPv4 CIDR 块添加为允许的源。

        如果您的安全组位于启用 IPv6 的 VPC 中,则此选项会自动为 IPv6 流量添加第二条规则 (::/0)。

      • 选择我的 IP 以仅允许流向本地计算机的公有 IPv4 地址的出站流量。

    3. 对于描述,您可以选择指定规则的简单描述。

  5. 选择预览更改确认

旧控制台

向安全组添加规则

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择安全组,然后选择相应安全组。

  3. Inbound 选项卡上,选择 Edit

  4. 在对话框中选择添加规则并执行以下操作:

    • 对于类型,请选择相应协议。

    • 如果您选择自定义 TCP 或 UDP 协议,请在端口范围中指定端口范围。

    • 如果您选择自定义 ICMP 协议,请从协议中选择 ICMP 类型名称,并从端口范围中选择代码名称 (如果适用)。

    • 对于,请选择下列选项之一:

      • 自定义:在提供的字段中,您必须用 CIDR 表示法指定一个 IP 地址、CIDR 块或者其他安全组。

      • 任何位置:自动添加 0.0.0.0/0 IPv4 CIDR 块。使用该选项后,指定类型的所有流量都可达到您的实例。这在测试环境中可以接受一小段时间,但是在生产环境中并不安全。在生产中,请仅授权特定 IP 地址或地址范围访问您的实例。

        如果您的安全组位于已启用 IPv6 的 VPC 中,选择 Anywhere (任何位置) 选项后,系统会创建两个规则 — 一个用于 IPv4 流量 (0.0.0.0/0),另一个用于 IPv6 流量 (::/0)。

      • 我的 IP:自动添加本地计算机的公有 IPv4 地址。

    • 对于描述,您可以选择指定规则的描述。

    有关您可以添加的规则类型的更多信息,请参阅 安全组规则引用

  5. 选择 Save

  6. 您也可以指定出站规则。在出站选项卡中,依次选择编辑添加规则,并执行以下操作:

    • 对于类型,请选择相应协议。

    • 如果您选择自定义 TCP 或 UDP 协议,请在端口范围中指定端口范围。

    • 如果您选择自定义 ICMP 协议,请从协议中选择 ICMP 类型名称,并从端口范围中选择代码名称 (如果适用)。

    • 对于目标,请选择下列选项之一:

      • 自定义:在提供的字段中,您必须用 CIDR 表示法指定一个 IP 地址、CIDR 块或者其他安全组。

      • 任何位置:自动添加 0.0.0.0/0 IPv4 CIDR 块。该选项允许出站流量流向所有 IP 地址。

        如果您的安全组位于已启用 IPv6 的 VPC 中,选择 Anywhere (任何位置) 选项后,系统会创建两个规则 — 一个用于 IPv4 流量 (0.0.0.0/0),另一个用于 IPv6 流量 (::/0)。

      • 我的 IP:自动添加本地计算机的 IP 地址。

    • 对于描述,您可以选择指定规则的描述。

  7. 选择 Save

Command line

向安全组添加规则

使用以下命令之一。

向安全组添加一个或多个传出规则

使用以下命令之一。

更新安全组规则

您可以使用以下方法之一更新安全组规则。

新控制台

使用控制台修改现有安全组规则的协议、端口范围或者源或目标时,控制台会删除现有规则并为您添加新规则。

更新安全组规则

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择 Security Groups

  3. 选择要更新的安全组,选择 Actionis (操作),然后选择 Edit inbound rules (编辑入站规则) 以更新入站流量的规则,或选择 Edit outbound rules (编辑出站规则) 以更新出站流量的规则。

  4. 根据需要更新规则,然后选择 预览更改确认

旧控制台

使用控制台修改现有安全组规则的协议、端口范围或者源或目标时,控制台会删除现有规则并为您添加新规则。

更新安全组规则

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择 Security Groups

  3. 选择要更新的安全组,然后选择 Inbound (入站) 选项卡以更新入站流量的规则,或选择 Outbound (出站) 选项卡以更新出站流量的规则。

  4. 选择 Edit

  5. 根据需要修改规则条目,然后选择 Save

Command line

您无法使用 Amazon EC2 API 或命令行工具更新现有规则的协议、端口范围或者源或目标。相反,您必须删除该现有规则并添加新规则。不过,您可以更新现有规则的描述。

更新现有入站规则的描述

使用以下命令之一。

更新现有出站规则的描述

使用以下命令之一。

从安全组中删除规则

当您从安全组中删除规则时,此更改会自动应用于与该安全组关联的任何实例。

您可以使用以下方法之一从安全组中删除规则。

新控制台

要删除安全组规则

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择 Security Groups

  3. 选择要更新的安全组,选择 Actionis (操作),然后选择 Edit inbound rules (编辑入站规则) 以删除入站规则,或选择 Edit outbound rules (编辑出站规则) 以删除出站规则。

  4. 选择要删除的规则右侧的删除按钮。

  5. 选择预览更改确认

旧控制台

要删除安全组规则

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择 Security Groups

  3. 选择一个安全组。

  4. 入站选项卡中 (用于入站规则) 或出站选项卡中 (用于出站规则),请选择编辑。选择要删除的每个规则旁边的删除 (十字图标)。

  5. 选择 Save

Command line

从安全组中删除一个或多个传入规则

使用以下命令之一。

从安全组中删除一个或多个传出规则

使用以下命令之一。

删除安全组

您不能删除与实例关联的安全组。您不能删除默认安全组。您不能删除由同一 VPC 中其他安全组中的规则引用的安全组。如果您的安全组由自己的一个规则引用,则必须先删除该规则,然后才能删除安全组。

新控制台

删除安全组

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择 Security Groups

  3. 选择要删除的安全组,然后选择操作删除安全组删除

旧控制台

删除安全组

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择 Security Groups

  3. 选择一个安全组,然后依次选择操作删除安全组

  4. 选择 Yes, Delete

Command line

删除安全组

使用以下命令之一。