安全組是一種虛擬防火墻,能夠控制ECS實例的出入站流量。安全組的入方向規則控制ECS實例的入站流量,出方向規則控制ECS實例的出站流量。
創建ECS實例時,您可以指定一個或多個安全組。如果您創建ECS實例時未指定安全組,將使用默認安全組。在決定ECS實例的流量能否通過時,與ECS實例關聯的多個安全組的規則,將按固定的策略排序,共同生效。
您可以為安全組新增規則,修改或刪除已有規則,這些規則變動會自動地作用于安全組中的所有ECS實例。更多信息,請參見安全組規則。您可以隨時修改ECS實例關聯的安全組,修改后安全組的規則將會自動地作用于ECS實例。ECS實例關聯的安全組,其規則作用于ECS實例的主網卡。專有網絡ECS實例的其他彈性網卡,可以指定與主網卡不同的安全組。在專有網絡VPC下,安全組僅能在所屬的VPC下使用,在創建VPC網絡下的ECS實例時,您指定的虛擬交換機和安全組,必須屬于同一個VPC。
組內互通和授權安全組訪問,是安全組提供的兩項重要特性。組內互通,是指安全組內的ECS實例內網互通。授權安全組訪問,是指您可以添加授權對象為安全組的安全組規則,從而允許或拒絕另一個安全組中的ECS實例,通過內網訪問該安全組中的ECS實例。安全組分為普通安全組和企業級安全組兩種類型,兩者均免費,適用于不同的使用場景。普通安全組支持組內互通功能,支持添加授權安全組訪問的規則,但可容納的私網IP數量小于企業級安全組。企業級安全組可以容納更多的私網IP地址數量,但不支持組內互通功能,也不支持添加授權安全組訪問的規則。在ECS實例關聯到多個安全組時,同一塊網卡只能使用一種類型的安全組。建議您根據自己的使用需求來選擇安全組類型。更多信息,請參見普通安全組與企業級安全組。
在您使用DescribeSecurityGroups接口查詢到安全組的ServiceManaged屬性為True,或使用控制臺看到安全組有類似云產品托管的安全組不支持修改操作的提示時,表示該安全組為托管安全組。托管安全組屬于用戶賬號,但操作權限屬于云產品,用戶僅能查看不能操作。更多信息,請參見托管安全組。
在您使用DeleteSecurityGroup接口刪除安全組時返回錯誤碼InvalidOperation.DeletionProtection,或使用控制臺刪除安全組看到類似刪除保護的提示時,說明該安全組開啟了刪除保護功能。在您創建ACK集群時,關聯的安全組會開啟刪除保護功能,來防止誤刪除。刪除保護功能無法手動關閉,只有在刪除了關聯的ACK集群后,才能夠自動關閉。更多信息,請參見關閉安全組刪除保護。
合理使用安全組可以有效提高實例的安全性,但提高實例安全性是一項系統的工作,您還可以結合更多其他做法。更多信息,請參見云服務器ECS安全性。
安全組使用的最佳實踐
關于安全組的使用,為您提供以下最佳實踐建議:
規劃
您可以為安全組設置名稱、描述,也可以設置安全組的標簽、資源組,便于進行分類運維。建議您合理設置這些信息,方便快速識別安全組的用途,在管理較多安全組時更加清晰。
以白名單的方式使用安全組
即默認拒絕所有訪問,添加允許規則來放通指定的端口范圍和授權對象。
添加安全組規則時遵循最小授權原則
例如,開放Linux實例的22端口用于遠程登錄時,建議僅允許特定的IP訪問,而非所有IP(
0.0.0.0/0)。遵循最小權限原則
在不需要普通安全組內ECS實例互相內網互通時,將普通安全組的組內連通策略設置為組內隔離。
盡量保持單個安全組內規則的簡潔
按照用途將規則維護在多個安全組中,并將實例關聯到這些安全組。單個安全組的規則數量過多,會增加管理復雜度。安全組規則的健康檢查,提供了檢測單個安全組冗余規則的能力,詳情請參見查看安全組是否存在冗余規則。
不同類型應用的實例加入不同的安全組,分別維護安全組規則
例如,將允許公網訪問的實例關聯到同一個安全組,僅放通對外提供服務的端口,例如80、443等,默認拒絕其他所有訪問。避免在允許公網訪問的實例上提供其他服務,例如MySQL、Redis等,建議將內部服務部署在不允許公網訪問的實例上,并關聯其他的安全組。
避免直接修改線上環境使用的安全組
可以先克隆一個安全組在測試環境調試,確保修改后實例流量正常,再對線上環境的安全組規則進行修改。
如果您需要檢測ECS常用端口是否被安全組規則放行,或者檢測安全組規則是否允許特定IP與ECS網卡單向訪問,您可以在自助問題排查下的安全組規則檢測頁簽完成操作。具體操作,請參見安全組規則檢測。
ECS實例關聯了多個安全組,需要查看ECS實例的入方向或出方向的全部規則時,請參見查看多個安全組的所有規則。
安全組操作指引
使用控制臺
使用API
創建安全組:CreateSecurityGroup
查詢安全組:DescribeSecurityGroups
添加安全組規則:
使用AuthorizeSecurityGroup添加入方向安全組規則
使用AuthorizeSecurityGroupEgress添加出方向安全組規則
查詢安全組規則:DescribeSecurityGroupAttribute
修改安全組規則:
使用ModifySecurityGroupRule修改入方向安全組規則
使用ModifySecurityGroupEgressRule修改出方向安全組規則
刪除安全組規則:
使用RevokeSecurityGroup刪除入方向規則
使用RevokeSecurityGroupEgress刪除出方向規則
修改普通安全組的組內連通策略:ModifySecurityGroupPolicy
刪除安全組:DeleteSecurityGroup
安全組與ECS實例、彈性網卡關聯的管理:
使用全量替換方式
使用ModifyInstanceAttribute替換專有網絡ECS實例的安全組
使用ModifyNetworkInterfaceAttribute替換彈性網卡的安全組
使用增量添加/移除方式
使用JoinSecurityGroup將一臺ECS實例或彈性網卡關聯到指定的安全組
使用LeaveSecurityGroup將一臺ECS實例或彈性網卡與指定的安全組解除關聯
修改安全組名稱或描述:ModifySecurityGroupAttribute
更多信息
安全組配額相關信息,請參見安全組使用限制。
視頻形式的安全組介紹,請參見小助手系列之如何使用安全組。