全部产品
Search
文档中心

云服务器 ECS:管理安全组

更新时间:Dec 24, 2024

安全组是一种虚拟防火墙,使用安全组可以帮您控制ECS实例的出入站流量,实现网络的隔离与互通等能力。本文介绍安全组的创建、查询、修改、删除等操作。

操作前须知

  • 安全组能力概述和使用建议。具体信息,请参见安全组

  • 安全组分为普通安全组和企业级安全组,在安全组容量、是否支持组内互通、是否支持添加授权对象为安全组以及默认的访问控制规则等方面有一定差异。具体信息,请参见普通安全组与企业级安全组

  • 关于安全组的使用限制,请参见安全组使用限制

创建安全组

  • 在您创建ECS实例时,如果您还未创建过安全组,阿里云会为您创建一个默认安全组。如果您希望ECS实例加入自定义安全组,您可以手动创建安全组。

  • 普通安全组的默认组内联通策略为组内互通,您可修改组内联通策略。具体信息,请参见修改普通安全组的组内连通策略

使用ECS控制台

  1. 进入安全组页面。

    1. 登录ECS管理控制台

    2. 在左侧导航栏,选择网络与安全 > 安全组

    3. 在页面左侧顶部,选择目标资源所在的资源组和地域。地域

  2. 单击创建安全组

    image

  3. 基本信息区域,设置安全组的基本信息。

    1. 设置安全组名称、描述、资源组、标签等信息,方便您更好地识别您创建的安全组。

    2. 设置网络,选择经典网络或指定专有网络VPC。更多信息,请参见网络类型

    3. 设置安全组类型,选择普通安全组或企业级安全组。更多信息,请参见普通安全组与企业级安全组

    image

  4. 访问规则区域,设置安全组规则。

    默认情况下,ECS控制台已经为您配置了基本的安全组规则。如果您需要自定义规则,可以参考以下操作。更多信息,请参见添加安全组规则

    1. 单击入方向或者出方向页签,选择安全组规则方向。

    2. 单击手动添加

    3. 设置自定义的安全组规则。关于安全组规则的介绍,请参见安全组规则

    image

  5. 单击创建安全组

    创建成功后,您可以在安全组列表页中查看安全组。更多信息,请参见查询安全组

使用API

使用CreateSecurityGroup - 创建安全组,创建安全组。

克隆安全组

您可以通过克隆安全组快速创建一个或多个安全组,且支持跨地域、跨网络类型克隆安全组。适用于在安全组规则较多时,进行跨地域复制安全组规则、安全组规则备份等场景。

如果您需要将安全组的网络类型更换为专有网络,您需要在目标地域创建至少一个可用的专有网络。具体操作,请参见创建和管理专有网络

如下场景,您可能需要克隆安全组:

  • 假设您已经在地域A里创建了一个安全组SG1,此时您需要对地域B里的实例使用与SG1完全相同的规则,您可以直接将SG1克隆到地域B,而不需要在地域B从零开始创建安全组。

  • 假设您已经创建了一个适用于经典网络的安全组SG2,此时您需要对一些处于VPC网络里的实例使用与SG2完全相同的规则,您可以在克隆SG2时将网络类型改为VPC,生成一个适用于VPC网络的安全组。

  • 如果您需要对一个线上业务执行新的安全组规则,您可以克隆原来的安全组作为备份。

重要

克隆安全组默认只克隆此安全组以及安全组规则,不克隆与此安全组相关联的实例或者弹性网卡。

使用ECS控制台

  1. 网络与安全 > 安全组页面,找到需要克隆的安全组,单击操作列中的克隆安全组

  2. 克隆安全组对话框里,设置新安全组的信息:

    • 目标地域:选择新安全组适用的地域。

    • 安全组名称:设置新安全组的名称。

    • 专有网络ID:选择新安全组的网络类型,选择经典网络或者具体的专有网络。如果没有可用的专有网络,您可以单击创建专有网络去专有网络控制台创建网络。

    • 保留规则:选择是否保留原安全组的所有规则。如果选中,克隆安全组时会将原安全组中的所有规则克隆到新安全组中,且克隆后优先级大于100的规则将调整优先级为100。否则,将丢弃这部分规则。

    • 描述:设置新安全组的描述信息。

    • 复制本安全组标签到克隆安全组:选择是否需要将原安全组的标签复制到新安全组。

  3. 单击确定

    说明

    克隆成功后,克隆安全组对话框会自动关闭。您可以在目标地域的安全组列表中看到克隆的新安全组。

克隆安全组成功后,您可能需要进行以下操作:

修改安全组

创建安全组后,您可以根据需要随时修改安全组的名称、描述信息和标签信息,以便更方便地识别特定的安全组。

使用ECS控制台

  1. 网络与安全 > 安全组页面,找到需要修改的安全组,修改如下信息。

    • 修改名称和描述

      1. 分别在安全组ID/名称列和描述列将鼠标悬浮至名称和描述处,然后单击image.png图标。

      2. 在弹出的对话框中,修改对应信息,然后单击确定

        说明
        • 安全组名称:长度为2~128个字符,不能以特殊字符及数字开头,只可包含特殊字符中的点号(.)、下划线(_)、连字符(-)和半角冒号(:)。

        • 描述:长度为2~256个字符,不能以http://或https://开头。

    • 编辑标签信息

      标签用于标识具有相同特征的资源,例如所属组织相同或用途相同的安全组,您可以基于标签方便地检索和管理资源。更多信息,请参见标签

      1. 根据实际情况,按照如下方式修改标签。

        • 如果安全组尚未绑定标签,在标签列将鼠标悬浮至image.png图标,然后单击绑定

        • 如果安全组已经绑定了标签,在标签列将鼠标悬浮至image.png图标,然后单击编辑

      2. 编辑标签对话框,选择已有标签或输入新的标签,然后单击确认

        说明

        绑定标签后,您可以基于标签筛选安全组并完成各种管理动作,例如将ECS实例加入某类安全组、为某类安全组添加安全组规则等。

使用API

使用ModifySecurityGroupAttribute - 修改安全组的名称或者描述,修改安全组的名称和描述信息。

查询安全组

创建安全组后,您可以通过安全组名称、安全组ID或者专有网络ID查询相关安全组。

使用ECS控制台

网络与安全 > 安全组页面,输入待查询的安全组名称安全组ID专有网络ID并单击搜索图标,通过智能匹配查询相关安全组。

说明

您也可以选择安全组名称安全组ID进行精确查询,或选择专有网络ID查询该专有网络下的所有安全组。

image

使用API

使用DescribeSecurityGroups - 查询安全组基本信息列表,查询安全组信息。

删除安全组

如果您的业务已经不再需要某个安全组,您可以删除这个安全组。安全组删除后,组内所有安全组规则将被删除。

安全组存在以下情况时,会删除失败:

  • 在安全组内有ECS实例或弹性网卡时,不能删除。您需要先将实例或者弹性网卡移出安全组,再删除安全组。具体操作,请参见管理安全组与ECS实例管理安全组与弹性网卡

  • 在安全组被其他安全组的规则作为授权对象时,不能删除。您需要先删除相应的授权规则,再删除安全组。具体操作,请参见删除安全组规则

  • 安全组已开启删除保护功能。

    在您使用DeleteSecurityGroup接口删除安全组时返回错误码InvalidOperation.DeletionProtection,或使用控制台删除安全组看到类似删除保护的提示时,说明该安全组开启了删除保护功能。在您创建ACK集群时,关联的安全组会开启删除保护功能,来防止误删除。删除保护功能无法手动关闭,只有在删除了关联的ACK集群后,才能够自动关闭。更多信息,请参见关闭安全组删除保护

使用ECS控制台

  1. 网络与安全 > 安全组页面,通过如下两种方式删除安全组。

    • 删除单个安全组:找到待删除的安全组,然后单击操作列中的删除

    • 批量删除安全组:选中一个或多个安全组,在页面底部单击批量删除

  2. 删除安全组对话框中,确认信息后,单击确定

    如果您确定安全组没有关联的ECS实例和弹性网卡,在删除安全组对话框中仍提示不可删除时,可以单击尝试强制删除

使用API

使用DeleteSecurityGroup - 删除安全组,删除安全组。

安全组常见问题与最佳实践