設定安全群組規則

建立安全群組之後，您可以新增、更新和刪除其安全群組規則。當您新增、更新或刪除規則時，變更會自動套用至與安全群組相關聯的任何資源。

所需的許可

開始之前，請務必備妥必要的許可。如需更多詳細資訊，請參閱管理安全群組規則。

通訊協定與連接埠

在主控台中選取預先定義的類型後，系統會為您指定通訊協定與連接埠範圍。若要輸入連接埠範圍，您必須選取下列其中一個自訂類型：自訂 TCP 或自訂 UDP。
透過 AWS CLI，可以使用 --protocol 與 --port 選項新增具有單一連接埠的單一規則。若要新增多個規則，或具有連接埠範圍的規則，請改用 --ip-permissions 選項。

資料來源和目的地

透過主控台，可以指定下列內容作為傳入規則的來源，或傳出規則的目的地：
- 自訂 – IPv4 CIDR 區塊、IPv6 CIDR 區塊、安全群組或字首清單。
- Anywhere-IPv4 – 0.0.0.0/0 IPv4 CIDR 區塊。
- Anywhere-IPv6 – ::/0 IPv6 CIDR 區塊。
- 我的 IP：自動新增您本機電腦的公有 IPv4 地址。
透過 AWS CLI，可以使用 --cidr 選項指定 IPv4 CIDR 區塊，或使用 --source-group 選項指定安全群組。若要指定字首清單或 IPv6 CIDR 區塊，請使用 --ip-permissions 選項。

警告

如果您選擇任何位置-IPv4，則會允許來自所有 IPv4 地址的流量。如果您選擇任何位置-IPv6，則會允許來自所有 IPv6 地址的流量。最佳實務是僅授權需要存取資源的特定 IP 位址範圍。

使用主控台為安全群組配置規則

在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。
在導覽窗格中，選擇安全群組。
選取安全群組。
若要編輯傳入規則，請從動作或傳入規則索引標籤中選擇編輯傳入規則。
1. 若要新增規則，請選擇新增規則，並輸入規則的類型、通訊協定、連接埠和來源。
  
  針對 TCP 或 UDP，您必須輸入要允許的連接埠範圍。針對自訂 ICMP，則必須從 Protocol (通訊協定) 中選擇 ICMP 類型名稱，然後再從 Port Range (連接埠範圍) 中選擇代碼名稱 (若適用)。如果是任何其他類型，則系統會自動為您設定通訊協定和連接埠範圍。
2. 若要更新規則，請視需要變更其通訊協定、描述和來源。不過，您無法變更來源類型。例如，如果來源是 IPv4 CIDR 區塊，則無法指定 IPv6 CIDR 區塊、字首清單或安全群組。
3. 若要刪除規則，請選擇其刪除按鈕。
若要編輯傳出規則，請從動作或傳出規則索引標籤中選擇編輯傳出規則。
1. 若要新增規則，請選擇新增規則，並輸入規則的類型、通訊協定、連接埠和目的地。您也可以選擇輸入描述。
  
  針對 TCP 或 UDP，您必須輸入要允許的連接埠範圍。針對自訂 ICMP，則必須從 Protocol (通訊協定) 中選擇 ICMP 類型名稱，然後再從 Port Range (連接埠範圍) 中選擇代碼名稱 (若適用)。如果是任何其他類型，則系統會自動為您設定通訊協定和連接埠範圍。
2. 若要更新規則，請視需要變更其通訊協定、描述和來源。不過，您無法變更來源類型。例如，如果來源是 IPv4 CIDR 區塊，則無法指定 IPv6 CIDR 區塊、字首清單或安全群組。
3. 若要刪除規則，請選擇其刪除按鈕。
選擇儲存規則。

使用 AWS CLI 設定安全群組傳入規則

使用 authorize-security-group-ingress 和 authorize-security-group-egress 命令。
使用 revoke-security-group-ingress 和 revoke-security-group-egress 命令。
修改 – 使用 modify-security-group-rules、update-security-group-rule-descriptions-ingress 和 update-security-group-rule-descriptions-egress 命令。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

建立安全群組

刪除安全群組