使用安全组
以下任务说明了如何使用安全组。
安全组的规则控制允许达到与该安全组相关联资源的入站流量。有关安全组规则的更多信息,请参阅 安全组规则。
创建安全组
在默认情况下,新安全组起初只有一条出站规则,即允许所有通信离开资源。您必须添加规则,以便允许任何入站数据流或限制出站数据流。
使用控制台创建安全组
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Security Groups(安全组)。
-
选择Create security group(创建安全组)。
-
输入安全组的名称和描述。在创建安全组后,您无法更改其名称和描述。
-
从 VPC 中,选择一个 VPC。安全组只能在为其创建该组的 VPC 中使用。
-
您可以现在添加安全组规则,也可以稍后再添加。有关更多信息,请参阅 向安全组添加规则。
-
您可以现在添加标签,也可以稍后再添加。要添加标签,请选择 Add new tag(添加新标签),然后输入标签键和值。
-
选择Create security group(创建安全组)。
创建安全组后,您可能需要执行下列操作之一:
使用 Amazon CLI 创建安全组
使用 create-security-group 命令。
查看安全组
您可以查看如下关于您安全组的详细信息。
使用控制台查看您的安全组
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Security Groups(安全组)。
-
此时将列出您的安全组。要查看特定安全组的详细信息,包括其入站和出站规则,请选择该安全组。有关更新安全组规则的更多信息,请参阅 更新安全组规则。
查看跨区域的所有安全组
通过以下网址打开 Amazon EC2 全局视图控制台:https://console.aws.amazon.com/ec2globalview/home
使用 Amazon CLI 查看安全组
使用 describe-security-groups 和 describe-security-group-rules 命令。
为安全组添加标签
向资源添加标签以帮助整理和识别资源,例如,按用途、拥有者或环境。您可以为安全组添加标签。每个安全组的标签键必须是唯一的。如果您添加的标签中的键已经与规则关联,它将更新该标签的值。
使用控制台为安全组添加标签
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Security Groups(安全组)。
-
选中安全组对应的复选框。
-
选择 Actions(操作)、Manage tags(管理标签)。Manage tags(管理标签)部分显示分配给安全组的所有标签。
-
要添加标签,请选择添加新标签,然后输入标签键和标签值。要删除标签,请选择要删除的标签旁的 Remove (删除)。
-
选择 Save changes(保存更改)。
使用 Amazon CLI 标记安全组
使用 create-tags 命令。
删除安全组
仅当安全组未与任何资源关联时,您才能删除该安全组。您无法删除默认安全组。
如果您使用控制台,则可以一次删除多个安全组。如果您使用的是命令行或 API,则一次只能删除一个安全组。
使用控制台删除安全组
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Security Groups(安全组)。
-
选择安全组,然后依次选择操作、删除安全组。
-
当系统提示进行确认时,选择 Delete(删除)。
使用 Amazon CLI 删除安全组
使用 delete-security-group 命令。
使用 Firewall Manager 管理安全组
Amazon Firewall Manager 可简化跨多个账户和资源的安全组管理和维护任务。借助 Firewall Manager,您可以通过单个中央管理员账户为组织配置和审计安全组。即使您添加新资源,Firewall Manager 也会自动跨账户和资源应用您的规则和保护。如果要保护整个企业,或者经常添加要通过中央管理员账户保护的新资源,Firewall Manager 尤其有用。
您可以使用 Firewall Manager 通过以下方式集中管理安全组:
在企业中配置通用基准安全组:您可以使用通用安全组策略在企业中提供集中控制的安全组与账户和资源的关联。您可以指定在企业中应用策略的位置和方式。
审核企业中的现有安全组:您可以使用审核安全组策略来检查企业的安全组中使用的现有规则。您可以设置策略的适用范围以审计企业中标记的所有账户、特定账户或资源。Firewall Manager 自动检测新账户和资源并对它们进行审计。您可以创建审核规则来设置有关企业中允许或禁止哪些安全组规则的护栏,并检查未使用或冗余的安全组。
获取有关不合规资源的报告并进行修正:您可以获取不符合基准和审核策略的资源的报告和警报。您还可以设置自动修正工作流,以修正 Firewall Manager 检测到的任何不合规资源。
要了解有关使用 Firewall Manager 管理安全组的更多信息,请参阅《Amazon WAF 开发人员指南》中的以下资源: