安全群組 - AMS 進階使用者指南
預設安全群組建立、變更或刪除安全群組尋找安全群組

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

安全群組

在 AWS VPCs 中,AWS 安全群組充當虛擬防火牆,控制一或多個堆疊 (執行個體或一組執行個體) 的流量。啟動堆疊時,它會與一或多個安全群組相關聯,以決定允許哪些流量到達該群組:

  • 對於公有子網路中的堆疊,預設安全群組接受來自所有位置 (網際網路) 的 HTTP (80) 和 HTTPS (443) 流量。堆疊也接受來自您公司網路和 AWS 堡壘的內部 SSH 和 RDP 流量。然後,這些堆疊可以透過任何連接埠輸出到網際網路。它們也可以輸出到您的私有子網路和公有子網路中的其他堆疊。

  • 私有子網路中的堆疊可以輸出到私有子網路中的任何其他堆疊,而堆疊中的執行個體可以完全透過任何通訊協定互相通訊。

重要

私有子網路上堆疊的預設安全群組允許私有子網路中的所有堆疊與該私有子網路中的其他堆疊通訊。如果您想要限制私有子網路中堆疊之間的通訊,您必須建立新的安全群組來描述限制。例如,如果您想要限制與資料庫伺服器的通訊,以便該私有子網路中的堆疊只能透過特定連接埠從特定應用程式伺服器通訊,請請求特殊安全群組。本節將說明如何執行此操作。

預設安全群組

MALZ

下表說明堆疊的預設傳入安全群組 (SG) 設定。SG 名為「SentinelDefaultSecurityGroupPrivateOnly-vpc-ID」,其中 ID 是 AMS 多帳戶登陸區域帳戶中的 VPC ID。允許所有流量透過此安全群組傳出至 "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly" (允許堆疊子網路中的所有本機流量)。

第二個安全群組「SentinelDefaultSecurityGroupPrivateOnly」允許所有流量傳出至 0.0.0.0/0。

提示

如果您要為 AMS 變更類型選擇安全群組,例如 EC2 建立或 OpenSearch 建立網域,您可以使用此處所述的其中一個預設安全群組,或您建立的安全群組。您可以在 AWS EC2 主控台或 VPC 主控台中找到每個 VPC 的安全群組清單。

還有其他預設安全群組用於內部 AMS 用途。

AMS 預設安全群組 (傳入流量)
類型 通訊協定 連接埠範圍 來源

所有流量

全部

全部

SentinelDefaultSecurityGroupPrivateOnly (限制相同安全群組成員的傳出流量)

所有流量

全部

全部

SentinelDefaultSecurityGroupPrivateOnlyEgressAll (不限制傳出流量)

HTTP、HTTPS、SSH、RDP

TCP

80 / 443 (來源 0.0.0.0/0)

允許從堡壘存取 SSH 和 RDP

SentinelDefaultSecurityGroupPublic (不限制傳出流量)

MALZ 堡壘:

SSH

TCP

22

SharedServices VPC CIDR 和 DMZ VPC CIDR,以及客戶提供的內部部署 CIDRs

SSH

TCP

22

RDP

TCP

3389

RDP

TCP

3389

SALZ 堡壘:

SSH

TCP

22

mc-initial-garden-LinuxBastionSG

SSH

TCP

22

mc-initial-garden-LinuxBastionDMZSG

RDP

TCP

3389

mc-initial-garden-WindowsBastionSG

RDP

TCP

3389

mc-initial-garden-WindowsBastionDMZSG

SALZ

下表說明堆疊的預設傳入安全群組 (SG) 設定。SG 名為 "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly-ID",其中 ID 是唯一的識別符。允許所有流量透過此安全群組傳出至 "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly" (允許堆疊子網路中的所有本機流量)。

第二個安全群組 "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnlyEgressAll-ID" 允許所有流量傳出至 0.0.0.0/0。

提示

如果您要為 AMS 變更類型選擇安全群組,例如 EC2 建立或 OpenSearch 建立網域,您可以使用此處所述的其中一個預設安全群組,或您建立的安全群組。您可以在 AWS EC2 主控台或 VPC 主控台中找到每個 VPC 的安全群組清單。

還有其他預設安全群組用於內部 AMS 用途。

AMS 預設安全群組 (傳入流量)
類型 通訊協定 連接埠範圍 來源

所有流量

全部

全部

SentinelDefaultSecurityGroupPrivateOnly (限制相同安全群組成員的傳出流量)

所有流量

全部

全部

SentinelDefaultSecurityGroupPrivateOnlyEgressAll (不限制傳出流量)

HTTP、HTTPS、SSH、RDP

TCP

80 / 443 (來源 0.0.0.0/0)

允許從堡壘存取 SSH 和 RDP

SentinelDefaultSecurityGroupPublic (不限制傳出流量)

MALZ 堡壘:

SSH

TCP

22

SharedServices VPC CIDR 和 DMZ VPC CIDR,以及客戶提供的內部部署 CIDRs

SSH

TCP

22

RDP

TCP

3389

RDP

TCP

3389

SALZ 堡壘:

SSH

TCP

22

mc-initial-garden-LinuxBastionSG

SSH

TCP

22

mc-initial-garden-LinuxBastionDMZSG

RDP

TCP

3389

mc-initial-garden-WindowsBastionSG

RDP

TCP

3389

mc-initial-garden-WindowsBastionDMZSG

建立、變更或刪除安全群組

您可以請求自訂安全群組。如果預設安全群組不符合應用程式或組織的需求,您可以修改或建立新的安全群組。這類請求會被視為需要核准,並由 AMS 操作團隊審核。

若要在堆疊和 VPCs 外部建立安全群組,請使用Deployment | Advanced stack components | Security group | Create (review required)變更類型 (ct-1oxx2g2d7hc90) 提交 RFC。

針對 Active Directory (AD) 安全群組修改,請使用下列變更類型:

  • 若要新增使用者:使用 Management | Directory Service | 使用者和群組 | 新增使用者至群組 【ct-24pi85mjtza8k】 提交 RFC

  • 若要移除使用者:使用管理 | Directory Service | 使用者和群組 | 從群組移除使用者 【ct-2019s9y3nfml4】 提交 RFC

注意

使用「需要檢閱」CTs時,AMS 建議您使用 ASAP 排程選項 (在主控台中選擇 ASAP,在 API/CLI 中保留開始和結束時間空白),因為這些 CTs 需要 AMS 運算子來檢查 RFC,並在核准和執行之前與您通訊。如果您排程這些 RFCs,請務必至少允許 24 小時。如果未在排定的開始時間之前進行核准,則會自動拒絕 RFC。

尋找安全群組

若要尋找連接到堆疊或執行個體的安全群組,請使用 EC2 主控台。找到堆疊或執行個體後,您可以看到連接到該堆疊或執行個體的所有安全群組。

如需在命令列尋找安全群組並篩選輸出的方法,請參閱 describe-security-groups