本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 安全组:入站和出站规则 *安全组* 充当实例的虚拟防火墙以控制入站和出站流量。对于每个安全组,您可以添加规则以控制到实例的入站数据流,以及另外一套单独规则以控制出站数据流。 对于您的 VPC 连接,可以使用描述 `QuickSight-VPC` 创建一个新的安全组。此安全组必须允许来自要访问的数据目标的安全组的所有入站 TCP 流量。下例在 VPC 中创建新的安全组并返回其 ID。 ``` aws ec2 create-security-group \ --group-name quicksight-vpc \ --description "QuickSight-VPC" \ --vpc-id vpc-0daeb67adda59e0cd ``` **重要** 网络配置非常复杂,因此我们强烈建议您创建一个新的安全组以用于 Amazon Quick。此外,如果您需要联系 Amazon Support 以获得帮助,这样做也会较为简单。创建新组并不是绝对必要的。但是,以下主题是基于您遵循此建议的假设。 要让 Quick 成功连接到您的 VPC 中的实例,请配置您的安全组规则以允许 Amazon Quick 网络接口和包含您的数据的实例之间的流量。为此,请配置附加到您的数据库实例入站规则的安全组,以便允许以下流量: + 从 Amazon Quick 连接的端口 + 来自以下选项之一: + 与 Amazon Quick 网络接口关联的安全组 ID(推荐) 或者 + Amazon Quick 网络接口的私有 IP 地址 有关更多信息,请参阅 *Amazon VPC 用户指南中的您的 VPC VPCs * [[和子网](https://docs.amazonaws.cn/AmazonVPC/latest/UserGuide/VPC_Subnets.html)的安全组](https://docs.amazonaws.cn/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html)。 使用下面列出的主题来了解有关入站和出站规则的更多信息。 **Topics** + [ ## 入站规则 ](#vpc-inbound-rules) + [ ## 出站规则 ](#vpc-outbound-rules) ## 入站规则 **重要** 如果连接是在 2023 年 4 月 27 日之前创建的,则以下部分适用于您的 VPC 连接。 当您创建一个安全组时,它没有入站规则。在您向安全组添加入站规则之前,不允许来自另一台主机的入站流量传输到您的实例。 连接到 Amazon Quick 网络接口的安全组的行为与大多数安全组不同,因为它不是有状态的。其他安全组通常是*有状态的*。这意味着,在它们建立指向资源的安全组的出站连接后,将自动允许返回流量。相比之下,Amazon Quick 网络接口安全组不会自动允许返回流量。因此,向 Amazon Quick 网络接口安全组添加出口规则不起作用。要使其适用于 Amazon Quick 网络接口安全组,请务必添加一条入站规则,明确授权来自数据库主机的返回流量。 安全组中的入站规则必须允许所有端口上的流量。它之所以需要这样做,是因为任何入站返回数据包的目标端口号都设置为随机分配的端口号。 要限制 Amazon Quick 仅连接到某些实例,您可以指定要允许的实例的安全组 ID(推荐)或私有 IP 地址。无论在哪种情况下,您的安全组入站规则仍需要允许所有端口(0–65535)上的流量。 要允许 Amazon Quick 连接到 VPC 中的任何实例,您可以配置 Amazon Quick 网络接口安全组。在这种情况下,请为其提供一条入站规则,允许在所有端口(0–65535)上通过 0.0.0.0/0 的流量。Amazon Quick 网络接口使用的安全组应与用于数据库的安全组不同。我们建议您对 VPC 连接使用单独的安全组。 **重要** 如果您使用的是长期 Amazon RDS 数据库实例,请检查您的配置,查看是否正在使用数据库安全组。数据库安全组用于不在 VPC 中但在 EC2-Classic 平台上的数据库实例。 如果这是您的配置,并且您没有将数据库实例移至 VPC 以与 Amazon Quick 配合使用,请务必更新数据库安全组的入站规则。更新它们以允许来自你用于 Amazon Quick 的 VPC 安全组的入站流量。有关更多信息,请参阅 *Amazon RDS 用户指南*中的[使用安全组控制访问权限](https://docs.amazonaws.cn/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html)。 ## 出站规则 **重要** 如果连接是在 2023 年 4 月 27 日之前创建的,则以下部分适用于您的 VPC 连接。 默认情况下,安全组包含允许所有出站流量的出站规则。我们建议您删除此默认规则,并添加只允许特定出站流量的出站规则。 **警告** 请勿将 Amazon Quick 网络接口上的安全组配置为允许所有端口上的流量的出站规则。有关管理来自的网络出口流量的关键注意事项和建议的信息 VPCs,请参阅 *Amazon VPC 用户指南中的您的 VPC* [安全最佳实践](https://docs.amazonaws.cn/vpc/latest/userguide/vpc-security-best-practices.html)。 连接到 Amazon Quick 网络接口的安全组应具有出站规则,允许流量进入您希望 Amazon Quick 连接的 VPC 中的每个数据库实例。要限制 Amazon Quick 仅连接到某些实例,请指定允许的实例的安全组 ID(推荐)或私有 IP 地址。可以在出站规则中设置此选项,并且为您的实例设置适当的端口号(实例正在侦听的端口)。 VPC 安全组还必须允许流向数据目标安全组的出站流量,特别是数据库正在侦听的一个或多个端口上的流量。