Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

安全组：入站和出站规则

安全组 充当实例的虚拟防火墙以控制入站和出站流量。对于每个安全组，您可以添加规则以控制到实例的入站数据流，以及另外一套单独规则以控制出站数据流。

对于您的 VPC 连接，可以使用描述 QuickSight-VPC 创建一个新的安全组。此安全组必须允许来自要访问的数据目标的安全组的所有入站 TCP 流量。下例在 VPC 中创建新的安全组并返回其 ID。

aws ec2 create-security-group \
--name QuickSight-VPC \
--group-name quicksight-vpc \
--description "QuickSight-VPC" \
--vpc-id vpc-0daeb67adda59e0cd

要让 Amazon QuickSight 成功连接到您的 VPC 中的实例，请配置您的安全组规则以允许 QuickSight 网络接口和包含您的数据的实例之间的流量。为此，请配置附加到您的数据库实例入站规则的安全组，以便允许以下流量：

有关更多信息，请参阅《Amazon VPC 用户指南》中的您的 VPC 的安全组和 VPC 和子网。

入站规则

当您创建一个安全组时，它没有入站规则。在您向安全组添加入站规则之前，不允许来自另一台主机的入站流量传输到您的实例。

连接到 QuickSight 网络接口的安全组的行为与大多数安全组不同，因为它不是有状态的。其他安全组通常是有状态的。这意味着，在它们建立指向资源的安全组的出站连接后，将自动允许返回流量。相比之下， QuickSight 网络接口安全组不会自动允许返回流量。因此，向 QuickSight 网络接口安全组添加出口规则不起作用。要使其适用于 QuickSight 网络接口安全组，请务必添加一条入站规则，明确授权来自数据库主机的返回流量。

安全组中的入站规则必须允许所有端口上的流量。它之所以需要这样做，是因为任何入站返回数据包的目标端口号都设置为随机分配的端口号。

QuickSight 要限制仅连接到某些实例，您可以指定要允许的实例的安全组 ID（推荐）或私有 IP 地址。无论在哪种情况下，您的安全组入站规则仍需要允许所有端口（0–65535）上的流量。

QuickSight 要允许连接到 VPC 中的任何实例，您可以配置 QuickSight网络接口安全组。在这种情况下，请为其提供一条入站规则，允许在所有端口（0–65535）上通过 0.0.0.0/0 的流量。 QuickSight 网络接口使用的安全组应与用于数据库的安全组不同。我们建议您对 VPC 连接使用单独的安全组。

出站规则

默认情况下，安全组包含允许所有出站流量的出站规则。我们建议您删除此默认规则，并添加只允许特定出站流量的出站规则。

连接到 QuickSight 网络接口的安全组应具有出站规则，允许流量进入您的 VPC 中QuickSight 要连接的每个数据库实例。 QuickSight 要限制仅连接到某些实例，请指定要允许的实例的安全组 ID（推荐）或私有 IP 地址。可以在出站规则中设置此选项，并且为您的实例设置适当的端口号（实例正在侦听的端口）。

VPC 安全组还必须允许流向数据目标安全组的出站流量，特别是数据库正在侦听的一个或多个端口上的流量。