本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 安全组
<a name="about-security-groups"></a>

在 AWS 中 VPCs，AWS 安全组充当虚拟防火墙，控制一个或多个堆栈（一个或一组实例）的流量。堆栈启动时，它会与一个或多个安全组相关联，这些安全组决定了允许哪些流量到达堆栈：
+ 对于公有子网中的堆栈，默认安全组接受来自所有位置（互联网）的 HTTP (80) 和 HTTPS (443) 流量。这些堆栈还接受来自您的公司网络和 AWS 堡垒的内部 SSH 和 RDP 流量。然后，这些堆栈可以通过任何端口导出到互联网。它们还可以输出到您的私有子网和公有子网中的其他堆栈。
+ 私有子网中的堆栈可以输出到私有子网中的任何其他堆栈，并且堆栈中的实例可以通过任何协议相互完全通信。

**重要**  
私有子网上堆栈的默认安全组允许私有子网中的所有堆栈与该私有子网中的其他堆栈通信。如果要限制私有子网内堆栈之间的通信，则必须创建描述限制的新安全组。例如，如果您想限制与数据库服务器的通信，使该私有子网中的堆栈只能通过特定端口从特定的应用程序服务器进行通信，请请求特殊的安全组。本节将介绍如何执行此操作。

## 默认安全组
<a name="default-sec-groups"></a>

------
#### [ MALZ ]

下表描述了堆栈的默认入站安全组 (SG) 设置。SG 名为 “SentinelDefaultSecurityGroupPrivateOnly-vpc-id”，其中是 {{ID}} AMS 多账户着陆区账户中的 VPC ID。允许所有流量通过此安全组出站到 SentinelDefaultSecurityGroupPrivateOnly “mc-initial-garden-”（允许堆栈子网内的所有本地流量）。

第二个安全组 “” 允许所有流量出站到 0.0.0.0/0。SentinelDefaultSecurityGroupPrivateOnly

**提示**  
如果您为 AMS 更改类型选择安全组，例如 EC2 创建或 OpenSearch 创建域，则应使用此处描述的默认安全组之一，或者使用您创建的安全组。您可以在 AWS EC2 控制台或 VPC 控制台中找到每个 VPC 的安全组列表。

还有其他用于内部 AMS 目的的默认安全组。


**AMS 默认安全组（入站流量）**  

<table>
<thead>
  <tr><th>Type</th><th>协议</th><th>端口范围</th><th>来源</th></tr>
</thead>
<tbody>
  <tr><td>所有流量</td><td>All</td><td>全部</td><td>SentinelDefaultSecurityGroupPrivateOnly （限制同一安全组成员的出站流量）</td></tr>
  <tr><td>所有流量</td><td>All</td><td>全部</td><td>SentinelDefaultSecurityGroupPrivateOnlyEgressAll （不限制出站流量）</td></tr>
  <tr><td>HTTP、HTTPS、SSH、RDP</td><td>TCP</td><td>80/443（来源 0.0.0.0/0）<br />允许从堡垒访问 SSH 和 RDP</td><td>SentinelDefaultSecurityGroupPublic （不限制出站流量）</td></tr>
  <tr><td colspan="4">**MALZ 堡垒**：</td></tr>
  <tr><td>SSH</td><td>TCP</td><td>22</td><td rowspan="4">SharedServices VPC CIDR 和 DMZ VPC CIDR，以及客户提供的本地部署 CIDRs</td></tr>
  <tr><td>SSH</td><td>TCP</td><td>22</td></tr>
  <tr><td>RDP</td><td>TCP</td><td>3389</td></tr>
  <tr><td>RDP</td><td>TCP</td><td>3389</td></tr>
  <tr><td colspan="4">**SALZ 堡垒**：</td></tr>
  <tr><td>SSH</td><td>TCP</td><td>22</td><td>mc-initial-garden-LinuxBastion SG</td></tr>
  <tr><td>SSH</td><td>TCP</td><td>22</td><td>mc-initial-garden-LinuxBastion DMZSG</td></tr>
  <tr><td>RDP</td><td>TCP</td><td>3389</td><td>mc-initial-garden-WindowsBastion SG</td></tr>
  <tr><td>RDP</td><td>TCP</td><td>3389</td><td>mc-initial-garden-WindowsBastion DMZSG</td></tr>
</tbody>
</table>


------
#### [ SALZ ]

下表描述了堆栈的默认入站安全组 (SG) 设置。SG 名为 “mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly-{{ID}}”，其中{{ID}}是唯一标识符。允许所有流量通过此安全组出站到 SentinelDefaultSecurityGroupPrivateOnly “mc-initial-garden-”（允许堆栈子网内的所有本地流量）。

第二个安全组 “mc-initial-garden--” 允许所有流量出站到 0.0.0.0/0。SentinelDefaultSecurityGroupPrivateOnlyEgressAll {{ID}}

**提示**  
如果您为 AMS 更改类型选择安全组，例如 EC2 创建或 OpenSearch 创建域，则应使用此处描述的默认安全组之一，或者使用您创建的安全组。您可以在 AWS EC2 控制台或 VPC 控制台中找到每个 VPC 的安全组列表。

还有其他用于内部 AMS 目的的默认安全组。


**AMS 默认安全组（入站流量）**  

<table>
<thead>
  <tr><th>Type</th><th>协议</th><th>端口范围</th><th>来源</th></tr>
</thead>
<tbody>
  <tr><td>所有流量</td><td>All</td><td>全部</td><td>SentinelDefaultSecurityGroupPrivateOnly （限制同一安全组成员的出站流量）</td></tr>
  <tr><td>所有流量</td><td>All</td><td>全部</td><td>SentinelDefaultSecurityGroupPrivateOnlyEgressAll （不限制出站流量）</td></tr>
  <tr><td>HTTP、HTTPS、SSH、RDP</td><td>TCP</td><td>80/443（来源 0.0.0.0/0）<br />允许从堡垒访问 SSH 和 RDP</td><td>SentinelDefaultSecurityGroupPublic （不限制出站流量）</td></tr>
  <tr><td colspan="4">**MALZ 堡垒**：</td></tr>
  <tr><td>SSH</td><td>TCP</td><td>22</td><td rowspan="4">SharedServices VPC CIDR 和 DMZ VPC CIDR，以及客户提供的本地部署 CIDRs</td></tr>
  <tr><td>SSH</td><td>TCP</td><td>22</td></tr>
  <tr><td>RDP</td><td>TCP</td><td>3389</td></tr>
  <tr><td>RDP</td><td>TCP</td><td>3389</td></tr>
  <tr><td colspan="4">**SALZ 堡垒**：</td></tr>
  <tr><td>SSH</td><td>TCP</td><td>22</td><td>mc-initial-garden-LinuxBastion SG</td></tr>
  <tr><td>SSH</td><td>TCP</td><td>22</td><td>mc-initial-garden-LinuxBastion DMZSG</td></tr>
  <tr><td>RDP</td><td>TCP</td><td>3389</td><td>mc-initial-garden-WindowsBastion SG</td></tr>
  <tr><td>RDP</td><td>TCP</td><td>3389</td><td>mc-initial-garden-WindowsBastion DMZSG</td></tr>
</tbody>
</table>


------

## 创建、更改或删除安全组
<a name="create-security-group"></a>

您可以请求自定义安全组。如果默认安全组不能满足您的应用程序或组织的需求，则可以修改或创建新的安全组。此类申请将被视为需要批准，并将由AMS运营团队进行审查。

要在堆栈之外创建安全组 VPCs，请使用`Deployment | Advanced stack components | Security group | Create (managed automation)`更改类型 (ct-1oxx2g2d7hc90) 提交 RFC。

要修改活动目录 (AD) 安全组，请使用以下更改类型：
+ 添加用户：使用管理 \| Directory Service \| 用户和群组 \| 将用户添加到群组 [ct-24pi85mjtza8k] 提交 RFC
+ 要移除用户：使用管理 \| Directory Service \| 用户和群组 \| 从群组中移除用户 [ct-2019s9y3nfml4] 提交 RFC

**注意**  
使用手动操作时 CTs，AMS 建议您使用 “尽快**安排**” 选项（在控制台中选择 “尽快”，在 **AP** I/CLI 中将开始和结束时间留空），因为这 CTs 需要 AMS 操作员检查 RFC，并可能在批准和运行之前与您沟通。如果您安排这些活动 RFCs，请务必留出至少 24 小时的时间。如果在预定开始时间之前未获得批准，RFC 将被自动拒绝。

## 查找安全组
<a name="find-security-group"></a>

要查找附加到堆栈或实例的安全组，请使用 EC2 控制台。找到堆栈或实例后，您可以看到与其关联的所有安全组。

有关在命令行中查找安全组并筛选输出的方法，请参阅[https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html)。