全部產品
Search
文件中心

Elastic Compute Service:管理安全性群組

更新時間:Dec 19, 2024

安全性群組是一種虛擬防火牆,使用安全性群組可以幫您控制ECS執行個體的出入站流量,實現網路的隔離與互連等能力。本文介紹安全性群組的建立、查詢、修改、刪除等操作。

操作前須知

  • 安全性群組能力概述和使用建議。具體資訊,請參見安全性群組概述

  • 安全性群組分為普通安全性群組和企業級安全性群組,在安全性群組容量、是否支援組內互連、是否支援添加授權對象為安全性群組以及預設的存取控制規則等方面有一定差異。具體資訊,請參見普通安全性群組與企業級安全性群組

  • 關於安全性群組的使用限制,請參見安全性群組使用限制

建立安全性群組

  • 在您建立ECS執行個體時,如果您還未建立過安全性群組,阿里雲會為您建立一個預設安全性群組。如果您希望ECS執行個體加入自訂安全性群組,您可以手動建立安全性群組。

  • 普通安全性群組的預設組內聯通策略為組內互連,您可修改組內聯通策略。具體資訊,請參見修改普通安全性群組的組內連通策略

使用ECS控制台

  1. 進入安全性群組頁面。

    1. 登入ECS管理主控台

    2. 在左側導覽列,選擇網路與安全 > 安全性群組

    3. 在頁面左側頂部,選擇目標資源所在的資源群組和地區。地區

  2. 單擊建立安全性群組

    image

  3. 基本資料地區,設定安全性群組的基本資料。

    1. 設定安全性群組名稱、描述、資源群組、標籤等資訊,方便您更好地識別您建立的安全性群組。

    2. 設定網路,選擇傳統網路或指定Virtual Private Cloud。更多資訊,請參見網路類型

    3. 設定安全性群組類型,選擇普通安全性群組或企業級安全性群組。更多資訊,請參見普通安全性群組與企業級安全性群組

    image

  4. 訪問規則地區,設定安全性群組規則。

    預設情況下,ECS控制台已經為您配置了基本的安全性群組規則。如果您需要自訂規則,可以參考以下操作。更多資訊,請參見添加安全性群組規則

    1. 單擊入方向或者出方向頁簽,選擇安全性群組規則方向。

    2. 單擊手動添加

    3. 設定自訂的安全性群組規則。關於安全性群組規則的介紹,請參見安全性群組規則

    image

  5. 單擊建立安全性群組

    建立成功後,您可以在安全性群組列表頁中查看安全性群組。更多資訊,請參見查詢安全性群組

使用API

使用CreateSecurityGroup - 建立安全性群組,建立安全性群組。

複製安全性群組

您可以通過複製安全性群組快速建立一個或多個安全性群組,且支援跨地區、跨網路類型複製安全性群組。適用於在安全性群組規則較多時,進行跨地區複製安全性群組規則、安全性群組規則備份等情境。

如果您需要將安全性群組的網路類型更換為專用網路,您需要在目標地區建立至少一個可用的專用網路。具體操作,請參見建立和管理專用網路

如下情境,您可能需要複製安全性群組:

  • 假設您已經在地區A裡建立了一個安全性群組SG1,此時您需要對地區B裡的執行個體使用與SG1完全相同的規則,您可以直接將SG1複製到地區B,而不需要在地區B從零開始建立安全性群組。

  • 假設您已經建立了一個適用於傳統網路的安全性群組SG2,此時您需要對一些處於VPC網路裡的執行個體使用與SG2完全相同的規則,您可以在複製SG2時將網路類型改為VPC,產生一個適用於VPC網路的安全性群組。

  • 如果您需要對一個線上業務執行新的安全性群組規則,您可以複製原來的安全性群組作為備份。

重要

複製安全性群組預設只複製此安全性群組以及安全性群組規則,不複製與此安全性群組相關聯的執行個體或者彈性網卡。

使用ECS控制台

  1. 網路與安全 > 安全性群組頁面,找到需要複製的安全性群組,單擊操作列中的複製安全性群組

  2. 複製安全性群組對話方塊裡,設定新安全性群組的資訊:

    • 目標地區:選擇新安全性群組適用的地區。

    • 安全性群組名稱:設定新安全性群組的名稱。

    • 專用網路ID:選擇新安全性群組的網路類型,選擇傳統網路或者具體的專用網路。如果沒有可用的專用網路,您可以單擊建立專用網路去專用網路控制台建立網路。

    • 保留規則:選擇是否保留原安全性群組的所有規則。如果選中,複製安全性群組時會將原安全性群組中的所有規則複製到新安全性群組中,且複製後優先順序大於100的規則將調整優先順序為100。否則,將丟棄這部分規則。

    • 描述:設定新安全性群組的描述資訊。

    • 複製本安全性群組標籤到複製安全性群組:選擇是否需要將原安全性群組的標籤複製到新安全性群組。

  3. 單擊確定

    說明

    複製成功後,複製安全性群組對話方塊會自動關閉。您可以在目標地區的安全性群組列表中看到複製的新安全性群組。

複製安全性群組成功後,您可能需要進行以下操作:

修改安全性群組

建立安全性群組後,您可以根據需要隨時修改安全性群組的名稱、描述資訊和標籤資訊,以便更方便地識別特定的安全性群組。

使用ECS控制台

  1. 網路與安全 > 安全性群組頁面,找到需要修改的安全性群組,修改如下資訊。

    • 修改名稱和描述

      1. 分別在安全性群組ID/名稱列和描述列將滑鼠懸浮至名稱和描述處,然後單擊image.png表徵圖。

      2. 在彈出的對話方塊中,修改對應資訊,然後單擊確定

        說明
        • 安全性群組名稱:長度為2~128個字元,不能以特殊字元及數字開頭,只可包含特殊字元中的點號(.)、底線(_)、連字號(-)和半形冒號(:)。

        • 描述:長度為2~256個字元,不能以http://或https://開頭。

    • 編輯標籤資訊

      標籤用於標識具有相同特徵的資源,例如所屬組織相同或用途相同的安全性群組,您可以基於標籤方便地檢索和管理資源。更多資訊,請參見標籤

      1. 根據實際情況,按照如下方式修改標籤。

        • 如果安全性群組尚未綁定標籤,在標籤列將滑鼠懸浮至image.png表徵圖,然後單擊綁定

        • 如果安全性群組已經綁定了標籤,在標籤列將滑鼠懸浮至image.png表徵圖,然後單擊編輯

      2. 編輯標籤對話方塊,選擇已有標籤或輸入新的標籤,然後單擊確認

        說明

        綁定標籤後,您可以基於標籤篩選安全性群組並完成各種管理動作,例如將ECS執行個體加入某類安全性群組、為某類安全性群組添加安全性群組規則等。

使用API

使用ModifySecurityGroupAttribute - 修改安全性群組的名稱或者描述,修改安全性群組的名稱和描述資訊。

查詢安全性群組

建立安全性群組後,您可以通過安全性群組名稱、安全性群組ID或者專用網路ID查詢相關安全性群組。

使用ECS控制台

網路與安全 > 安全性群組頁面,輸入待查詢的安全性群組名稱安全性群組ID專用網路ID並單擊搜尋表徵圖,通過智能匹配查詢相關安全性群組。

說明

您也可以選擇安全性群組名稱安全性群組ID進行精確查詢,或選擇專用網路ID查詢該專用網路下的所有安全性群組。

image

使用API

使用DescribeSecurityGroups - 查詢安全性群組基本資料列表,查詢安全性群組資訊。

刪除安全性群組

如果您的業務已經不再需要某個安全性群組,您可以刪除這個安全性群組。安全性群組刪除後,組內所有安全性群組規則將被刪除。

安全性群組存在以下情況時,會刪除失敗:

  • 在安全性群組內有ECS執行個體或彈性網卡時,不能刪除。您需要先將執行個體或者彈性網卡移出安全性群組,再刪除安全性群組。具體操作,請參見管理安全性群組與ECS執行個體管理安全性群組與彈性網卡

  • 在安全性群組被其他安全性群組的規則作為授權對象時,不能刪除。您需要先刪除相應的授權規則,再刪除安全性群組。具體操作,請參見刪除安全性群組規則

  • 安全性群組已開啟刪除保護功能。

    在您使用DeleteSecurityGroup介面刪除安全性群組時返回錯誤碼InvalidOperation.DeletionProtection,或使用控制台刪除安全性群組看到類似刪除保護的提示時,說明該安全性群組開啟了刪除保護功能。在您建立ACK叢集時,關聯的安全性群組會開啟刪除保護功能,來防止誤刪除。刪除保護功能無法手動關閉,只有在刪除了關聯的ACK叢集後,才能夠自動關閉。更多資訊,請參見關閉安全性群組刪除保護

使用ECS控制台

  1. 網路與安全 > 安全性群組頁面,通過如下兩種方式刪除安全性群組。

    • 刪除單個安全性群組:找到待刪除的安全性群組,然後單擊操作列中的刪除

    • 大量刪除安全性群組:選中一個或多個安全性群組,在頁面底部單擊大量刪除

  2. 刪除安全性群組對話方塊中,確認資訊後,單擊確定

使用API

使用DeleteSecurityGroup - 刪除安全性群組,刪除安全性群組。

安全性群組常見問題與最佳實務