iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 9
0
自我挑戰組

AWS Certified Solution Architect 系列 第 9

AWS Certified Solution Architect - Security Groups

Table of Contents

  • Security Group

Security Group
Security Group 是 EC2 instances 的防火牆

特性

  • 每個 security group 都包含一組進(inbound)出(outbound) EC2 的規則
  • 可針對 protocol 和 port 設定規則
  • Security Group 沒有 Deny的規則,所有的流量預設都是 deny,除非有規則允許該流量進入
  • 在不同 subnet 下的 instances 可以屬於同一個 Security Group
    https://ithelp.ithome.com.tw/upload/images/20200909/20129560Qa23SG9nj2.png
  • 一個 EC2 instance 可以跟多個 Security Group 建立關聯

限制

  • 一個地區(region)預設最多可以有2500個 Security Group (可花錢擴充到 10000)
  • 一個 Security Group 最多可以有 60個 inbound 規則 和 60個 outbound 規則
  • 每個 Elastic Network Interface(ENI) 預設最多可以有 5個 Security Group (可花錢擴充到16個)

use case

  1. 針對特定IP 設定規則
  2. 針對其他Security Group 設定規則
  3. 一個 instances 有多個 Security Group 時,對流量的限制是寬容的(permissive)
    意思是假如有 任一 規則允許通過,則該流量就可通過

重點整理

  • SG 是 instance 層級的防火牆
  • 除非特別允許,所有 inbound 的流量,預設都是被擋住的
  • 所有從 instance 出去(outbound)的流量,預設都是被允許的
  • 規則的設定對象,可以是 一段IP range單一IP、或 其他Security Group
  • Security Group 是 stateful 的(如果流量被允許進,那流量就可以出)
  • Security Group 的任何變更都會立即生效
  • EC2 可以同時屬於多個 Security Group
  • 一個 Security Group 可以同時包含多個 instance
  • Security Group 不能阻擋特定IP,要達成此目的要使用 NACL
  • 一個區域預設2500個(最多擴充到10000)個 Security Group
  • 一個 Security Group 最多有 60個進站、60個出站 規則
  • 一個 Elastic Network Interface(ENI) 預設5(最多16)個 Security Group

上一篇
AWS Certified Solution Architect - NACL
下一篇
AWS Certified Solution Architect - NAT
系列文
AWS Certified Solution Architect 30

尚未有邦友留言

立即登入留言