配置安全组规则 - Amazon Virtual Private Cloud

配置安全组规则

创建安全组后,即可添加、更新或删除安全组的规则。在添加、更新或删除规则时,更改将自动应用于与安全组关联的资源。

所需的权限

在开始之前,请确保您拥有所需权限。有关更多信息,请参阅 管理安全组规则

协议和端口

  • 使用控制台,当您选择预定义的类型时,将为您指定协议端口范围。要输入端口范围,必须选择以下自定义类型之一:自定义 TCP自定义 UDP

  • 使用 AWS CLI,您可以使用 --protocol--port 选项添加带有单个端口的单个规则。要添加多个规则或具有端口范围的规则,请改用 --ip-permissions 选项。

来源和目标

  • 使用控制台,您可以将以下内容指定为入站规则的源或出站规则的目标:

    • 自定义 – IPv4 CIDR 块、IPv6 CIDR 块、安全组或前缀列表。

    • Anywhere-IPv4 – 0.0.0.0/0 IPv4 CIDR 块。

    • Anywhere-IPv6 – ::/0 IPv6 CIDR 块。

    • 我的 IP – 本地计算机的公有 IPv4 地址。

  • 使用 AWS CLI,您可以使用 --cidr 选项指定 IPv4 CIDR 块,也可以使用 --source-group 选项指定安全组。要指定前缀列表或 IPv6 CIDR 块,请使用 --ip-permissions 选项。

警告

如果您选择 Anywhere-IPv4,则将允许来自所有 IPv4 地址的流量。如果您选择 Anywhere-IPv6,则将允许来自所有 IPv6 地址的流量。最佳做法是仅授权需要访问资源的特定 IP 地址范围。

使用控制台配置安全组规则

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择安全组

  3. 选择安全组。

  4. 要编辑入站规则,请从操作入站规则选项卡中选择编辑入站规则

    1. 要添加规则,请选择添加规则,再输入规则的类型、协议、端口和来源。

      如果类型为 TCP 或 UDP,则必须输入允许的端口范围。对于自定义 ICMP,您必须从 Protocol(协议)中选择 ICMP 类型名称,并从 Port range(端口范围)中选择代码名称(如果适用)。对于任何其他类型,则会为您配置协议和端口范围。

    2. 要更新规则,请根据需要更改规则的协议、描述和来源。但是,您无法更改来源类型。例如,若来源是 IPv4 CIDR 块,则无法指定 IPv6 CIDR 块、前缀列表或安全组。

    3. 要删除规则,请选择规则的删除按钮。

  5. 要编辑出站规则,请从操作出站规则选项卡中选择编辑出站规则

    1. 要添加规则,请选择添加规则,再输入规则的类型、协议、端口和目标。您也可以输入可选描述。

      如果类型为 TCP 或 UDP,则必须输入允许的端口范围。对于自定义 ICMP,您必须从 Protocol(协议)中选择 ICMP 类型名称,并从 Port range(端口范围)中选择代码名称(如果适用)。对于任何其他类型,则会为您配置协议和端口范围。

    2. 要更新规则,请根据需要更改规则的协议、描述和来源。但是,您无法更改来源类型。例如,若来源是 IPv4 CIDR 块,则无法指定 IPv6 CIDR 块、前缀列表或安全组。

    3. 要删除规则,请选择规则的删除按钮。

  6. 选择保存规则

使用 AWS CLI 配置安全组规则