Amazon VPC 中的互联网络流量隐私 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon VPC 中的互联网络流量隐私

Amazon Virtual Private Cloud 提供三种功能,以供您用来提高和监控 Virtual Private Cloud (VPC) 的安全性:

  • 安全组:安全组在资源级别(例如 EC2 实例)允许或拒绝特定入站和出站流量。启动实例时,您可将其与一个或多个安全组关联。在您的 VPC 中的每项实例都可能属于不同的安全组集合。如果您在启动实例时没有指定安全组,则实例会自动与其 VPC 的默认安全组关联。有关更多信息,请参阅安全组

  • 网络访问控制列表 (ACL):网络 ACL 在子网级别允许或拒绝特定的入站和出站流量。有关更多信息,请参阅 使用网络 ACL 控制指向子网的流量

  • 流日志:流日志捕获有关在您的 VPC 中传入和传出网络接口的 IP 流量的信息。您可以为 VPC、子网或各个网络接口创建流日志。流日志数据将发布到 CloudWatch Logs 或 Amazon S3,可帮助您诊断过于严格或过于宽松的安全组和网络 ACL 规则。有关更多信息,请参阅 使用 VPC 流日志记录 IP 流量

  • 流量镜像:您可以从 Amazon EC2 实例的弹性网络接口复制网络流量。然后将流量发送到带外安全和监控设备。有关更多信息,请参阅流量镜像指南

您可以使用 Amazon Identity and Access Management (IAM) 来控制组织中有权限创建和管理安全组、网络 ACL 和流日志的成员。例如,您可以授予您的网络管理员此许可,而不将许可授予授予仅需要启动实例的人员。有关更多信息,请参阅 适用于 Amazon VPC 的 Identity and Access Management

Amazon 安全组和网络 ACL 不会筛选发往和来自以下位置的流量:

  • Amazon 域名服务 (DNS)

  • Amazon 动态主机配置协议 (DHCP)

  • Amazon EC2 实例元数据

  • Amazon ECS 任务元数据端点

  • Windows 实例的许可证激活

  • Amazon Time Sync Service

  • 默认 VPC 路由器使用的预留 IP 地址

比较安全组和网络 ACL

下表概述了安全组和网络 ACL 之间的基本差异。

安全组 网络 ACL
在实例级别运行 在子网级别运行
仅当与实例关联时才应用于该实例 应用于关联子网中部署的所有实例(如果安全组规则过于宽松,则提供额外的防御层)
仅支持允许规则 支持允许规则和拒绝规则
在决定是否允许流量前评估所有规则 在决定是否允许流量时,按顺序评估规则,从编号最低的开始
有状态:返回数据流会得到允许,不受任何规则的影响 无状态:返回流量必须被规则明确允许

下图展示了由安全组和网络 ACL 提供的安全层。例如,来自互联网网关的数据流会使用路由表中的路由,路由到合适的子网。与子网关联的网络 ACL 规则控制允许进入子网的数据流。与实例关联的安全组规则控制允许进入实例的数据流。


        使用安全组和网络 ACL 控制数据流

您只能使用安全组保护您的实例。但是,您可以添加网络 ACL 作为额外的防御层。有关更多信息,请参阅示例:控制对子网中的实例的访问