如何設定並管理 Amazon VPC 的安全群組與網路 ACL?
我想設定並管理 Amazon Virtual Private Cloud (Amazon VPC) 安全群組與網路存取控制清單 (Network ACL)。我想與其他 AWS 帳戶共用 VPC,或管理多個 VPC。
解決方法
**注意:**最佳實務是使用安全群組進行細部存取控制,並使用網路 ACL進行較廣泛的存取控制。
設定 Amazon VPC 安全群組
當您設定安全群組規則時,僅允許應用程式與服務運作所需的流量。
如有需要,您可以使用多個安全群組來分別管理不同類型的存取規則。例如,可將多個安全群組附加至單一彈性網路介面,以支援網路流量存取、資料庫存取,以及監控工具。
請確保依據您的 AWS 服務需求來設定規則。例如,對於 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,允許 Linux 的 SSH (連接埠 22) 或 Windows 執行個體的預設 TCP (連接埠 3389)。對於 Amazon Relational Database Service (Amazon RDS) 執行個體,允許資料庫專用的連接埠。
從您的電腦連線至執行個體的傳入規則範例:
| 通訊協定類型 | 通訊協定號碼 | 連接埠 | 來源 IP 位址 |
|---|---|---|---|
| TCP | 6 | 22 (SSH) | 您的電腦位址 |
| TCP | 6 | 3389 (TCP) | 您的電腦位址 |
從您的電腦連線至資料庫伺服器的傳入規則範例:
| 通訊協定類型 | 通訊協定號碼 | 連接埠 | 來源 IP 位址 |
|---|---|---|---|
| TCP | 6 | 1433 (MS SQL) | 您的電腦位址 |
| TCP | 6 | 3306 (MYSQL/Amazon Aurora) | 您的電腦位址 |
當您建立規則時,您也可以參考其他安全群組,而非單獨的私人 IP 位址或 CIDR 範圍。
將安全群組與多個 VPC 建立關聯
預設情況下,您只能將安全群組與您建立該安全群組之 VPC 中的資源建立關聯。若要在同一帳戶的同一 AWS 區域內跨多個 VPC 使用相同安全群組,請將安全群組與其他 VPC 建立關聯。
使用受管首碼清單整合與管理網路 CIDR 區塊
當您參考首碼清單時,資源的項目數額度包含首碼清單的最大項目數。例如,如果您在安全群組規則中參考具有 20 個最大項目的首碼清單,則這些項目會計為 20 個安全群組規則。
若要將多個具有相同連接埠和通訊協定,但不同 CIDR 區塊的安全群組規則整合成單一規則,請使用客戶管理的首碼清單。當您更新客戶管理的首碼清單時,參考該清單的安全群組規則會自動繼承變更。
與組織共用安全群組
您可以在 AWS Organizations 組織內跨多個帳戶共用 VPC。若要與組織中的其他帳戶共用安全群組,請使用共用安全群組功能。
例如,會員帳戶可以使用擁有帳戶在共用 VPC 子網路中建立的安全群組,而這些安全群組的規則符合整個組織的安全政策。
**注意:**會員帳戶可以使用共用安全群組,但無法修改其規則。
設定網路 ACL
當您 設定網路 ACL 時,請遵循以下最佳實務:
- 在網路 ACL 規則之間保留間隙,以容納未來規則,避免重新排序現有規則。
- 對不同子網路使用獨立的網路 ACL,以根據每個子網路中的資源控制傳入與傳出流量。
- 對傳出流量使用暫時性連接埠,以允許來自 AWS 服務的回應。
標籤資源
為協助您識別安全群組與網路 ACL 的用途及相關資源,請為它們新增標籤。標籤可讓您在不同團隊或專案之間有效地管理和組織資源。您可以系統化地篩選與管理資源,以利自動化操作與維護。
相關資訊
- 語言
- 中文 (繁體)
相關內容
- 已提問 2 年前
- 已提問 4 個月前
- 已提問 9 個月前
- AWS 官方已更新 3 個月前
