# 将安全组与多个 VPC 关联
<a name="security-group-assoc"></a>

如果您的工作负载在具有共同网络安全要求的多个 VPC 中运行，则可以使用安全组 VPC 关联功能将安全组与同一区域中的多个 VPC 关联。这样，您就可以在一个位置管理和维护账户中多个 VPC 的安全组。

![\[与两个 VPC 关联的安全组示意图。\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/userguide/images/sec-group-vpc-assoc.png)


上图显示包含两个 VPC 的 AWS 账户 A。每个 VPC 都有在私有子网中运行的工作负载。在这种情况下，VPC A 和 B 子网中的工作负载具有相同的网络流量要求，因此账户 A 可以使用安全组 VPC 关联功能将 VPC A 中的安全组与 VPC B 关联。对关联安全组进行的任何更新都会自动应用于 VPC B 子网中工作负载的流量。

**安全组 VPC 关联功能的要求**
+ 您必须拥有 VPC 或共享其中一个 VPC 子网才能将安全组与 VPC 关联。
+ VPC 和安全组必须位于同一 AWS 区域。
+ 您不能将默认安全组与其他 VPC 关联，也不能将安全组与默认 VPC 关联。
+ 安全组所有者和 VPC 所有者都可以查看安全组 VPC 关联。

**支持此功能的服务**
+ Amazon API Gateway（仅限 REST API）
+ AWS Auto Scaling
+ CloudFormation
+ Amazon EC2
+ Amazon EFS
+ Amazon EKS
+ Amazon FSx
+ AWS PrivateLink
+ Amazon Route 53
+ Elastic Load Balancing
  + 应用程序负载均衡器
  + 网络负载均衡器

## 将安全组与其他 VPC 关联
<a name="assoc-sg"></a>

本节介绍如何使用 AWS 管理控制台和 AWS CLI 将安全组与 VPC 关联。

------
#### [ AWS Management Console ]

**要将安全组与其他 VPC 关联**

1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。

1. 在左侧导航窗格中，选择**安全组**。

1. 选择安全组以查看详细信息。

1. 选择 **VPC 关联**选项卡。

1. 选择 **Associate VPC (关联 VPC)**。

1. 在 **VPC ID** 下，选择要与安全组关联的 VPC。

1. 选择 **Associate VPC (关联 VPC)**。

------
#### [ Command line ]

**要将安全组与其他 VPC 关联**

1. 使用 [associate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/associate-security-group-vpc.html) 创建 VPC 关联。

1. 使用 [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) 查看 VPC 关联的状态，然后等待该状态变为 `associated`。

------

VPC 现已与安全组关联。

 例如，将 VPC 与安全组关联后，您可以[在 VPC 中启动一个实例并选择这一新的安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html)，或者[在现有安全组规则中引用此安全组](security-group-rules.md#security-group-referencing)。

## 取消安全组与其他 VPC 的关联
<a name="disassoc-sg"></a>

本节介绍如何使用 AWS 管理控制台和 AWS CLI 取消安全组与 VPC 的关联。如果您的目标是删除安全组，则可能需要这样做。如果安全组已关联，则无法将其删除。仅当关联的 VPC 中没有使用该安全组的网络接口时，您才能取消与该安全组的关联。

------
#### [ AWS Management Console ]

**要取消安全组与 VPC 的关联**

1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。

1. 在左侧导航窗格中，选择**安全组**。

1. 选择安全组以查看详细信息。

1. 选择 **VPC 关联**选项卡。

1. 选择**取消关联 VPC**。

1. 在 **VPC ID** 下，选择要与安全组取消关联的 VPC。

1. 选择**取消关联 VPC**。

1. 在 VPC 关联选项卡中查看取消关联的**状态**，然后等待该状态变为 `disassociated`。

------
#### [ Command line ]

**要取消安全组与 VPC 的关联**

1. 使用 [disassociate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/disassociate-security-group-vpc.html) 取消与 VPC 的关联。

1. 使用 [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) 查看 VPC 取消关联的状态，然后等待该状态变为 `disassociated`。

------

VPC 现已取消与安全组的关联。