本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# vpc-sg-port-restriction-check
<a name="vpc-sg-port-restriction-check"></a>

检查安全组是否明确限制从 0.0.0 开始的受限端口的传入流量。 0/0 或:: /0。如果安全组允许来自 0.0.0 的传入流量，则该规则不合规。 0/0 或:: /0 通过 TCP/UDP 端口 22/3389 或在参数中指定。



**标识符：**VPC\_SG\_PORT\_RESTRICTION\_CHECK

**资源类型：**AWS:: EC2:: SecurityGroup

**触发器类型：** 定期

**AWS 区域：**除亚太 AWS 地区（新西兰）、亚太地区（泰国）、墨西哥（中部）、亚太地区（台北）、加拿大西部（卡尔加里）地区以外的所有支持区域

**参数：**

restrictPorts（可选）类型：CSV  
Comma-separated 不应为整个 IP 范围内的传入流量开放的端口列表。有效端口号范围为 0 到 65535。如果未指定，则此规则默认为检查 22 和 3389。

protocolType（可选）类型：字符串  
规则要检查的传输协议类型。有效值包括“TCP”、“UDP”和“ALL”（不区分大小写）。如果设置为“ALL”，则此规则将检查是否有使用“TCP”、“UDP”或“ALL”（-1）协议的规则。默认值为“ALL”。

排除ExternalSecurityGroups （可选）类型：布尔值  
布尔标志，用于排除对外部安全组的评估。如果设置为“true”，则此规则将不会在评估中包含外部安全组。否则，如果值设置为“false”，则会评估所有安全组。默认值为“true”。

ipType（可选）类型：字符串  
规则要检查的互联网协议（IP）版本。有效值包括“IPv4”、“IPv6”和“ALL”（不区分大小写）。如果未指定，则此规则默认为检查“ALL”。

## AWS CloudFormation 模板
<a name="w2aac20c16c17b7e1593c19"></a>

要使用 AWS CloudFormation 模板创建 AWS Config 托管规则，请参阅[使用 AWS CloudFormation 模板创建 AWS Config 托管规则](aws-config-managed-rules-cloudformation-templates.md)。