如何配置和管理 Amazon VPC 安全组和网络 ACL?
我想配置和管理 Amazon Virtual Private Cloud (Amazon VPC) 安全组和网络访问控制列表(网络 ACL)。我想与其他 AWS 账户共享 VPC,或者管理多个 VPC。
解决方案
**注意:**最佳做法是使用安全组进行精细访问控制,使用网络 ACL 进行更广泛的访问。
配置 Amazon VPC 安全组
配置安全组规则时,仅允许应用程序和服务运行所需的流量。
如果需要,您可以使用多个安全组来分别管理不同类型的访问规则。例如,将多个安全组附加到单个弹性网络接口,用于 Web 流量访问、数据库访问和监控工具。
确保根据您的 AWS 服务要求配置规则。例如,对于 Amazon Elastic Compute Cloud (Amazon EC2) 实例,允许为 Linux 实例使用 SSH(端口 22),为 Windows 实例使用默认 TCP(端口 3389)。对于 Amazon Relational Database Service (Amazon RDS) 实例,允许使用数据库特定端口。
从您的计算机连接到实例的入站规则示例:
| 协议类型 | 协议号 | 端口 | 源 IP 地址 |
|---|---|---|---|
| TCP | 6 | 22 (SSH) | 您的计算机地址 |
| TCP | 6 | 3389 (TCP) | 您的计算机地址 |
从您的数据库服务器连接到实例的入站规则示例:
| 协议类型 | 协议号 | 端口 | 源 IP 地址 |
|---|---|---|---|
| TCP | 6 | 1433 (MS SQL) | 您的计算机地址 |
| TCP | 6 | 3306 (MYSQL/Amazon Aurora) | 您的计算机地址 |
创建规则时,还可以引用其他安全组而不是单个私有 IP 地址或 CIDR 范围。
将安全组与多个 VPC 关联
默认情况下,您只能将安全组与创建安全组的 VPC 中的资源进行关联。要在账户中同一 AWS 区域内的多个 VPC 上使用同一个安全组,请将安全组与其他 VPC 关联。
使用托管前缀列表整合和管理网络 CIDR 数据块
当您引用前缀列表时,资源条目数量的配额包括前缀列表的最大条目数。例如,如果您引用安全组规则中最多 20 个条目的前缀列表,则这些条目计为 20 条安全组规则。
要将具有相同端口和协议但 CIDR 数据块不同的多个安全组规则合并为一条规则,请使用客户管理的前缀列表。当您更新客户管理的前缀列表时,引用该列表的安全组规则会自动继承更改。
与组织共享安全组
您可以在 AWS Organizations 组织内的多个账户之间共享 VPC。要与组织中的其他账户共享安全组,请使用共享安全组功能。
例如,成员账户可以使用所有者账户根据符合共享 VPC 子网中组织范围安全策略的规则创建的安全组。
**注意:**成员账户可以使用共享安全组,但不能修改规则。
配置网络 ACL
配置网络 ACL 时,请遵循以下最佳实践:
- 在网络 ACL 规则之间留出间隔以适应未来的规则,这样您就无需对现有规则重新排序。
- 对不同的子网使用不同的网络 ACL,根据每个子网中的资源控制入站和出站流量。
- 使用临时端口传输出站流量,以允许来自 AWS 服务的响应。
标签资源
为了帮助您确定安全组和网络 ACL 的用途和相关资源,请为它们添加标签。标签可让您高效地管理和组织不同团队或项目的资源。您可以系统地筛选和管理资源以实现自动化和维护。
相关信息
- 语言
- 中文 (简体)
相关内容
- AWS 官方已更新 3 年前
