Table of Contents

• Security Group

Security Group
Security Group 是 EC2 instances 的防火牆

特性

• 每個 security group 都包含一組進(inbound)出(outbound) EC2 的規則
• 可針對 protocol 和 port 設定規則
• Security Group 沒有 Deny的規則，所有的流量預設都是 deny，除非有規則允許該流量進入
• 在不同 subnet 下的 instances 可以屬於同一個 Security Group
  
• 一個 EC2 instance 可以跟多個 Security Group 建立關聯

限制

• 一個地區(region)預設最多可以有2500個 Security Group (可花錢擴充到 10000)
• 一個 Security Group 最多可以有 60個 inbound 規則 和 60個 outbound 規則
• 每個 Elastic Network Interface(ENI) 預設最多可以有 5個 Security Group (可花錢擴充到16個)

use case ：

1. 針對特定IP 設定規則
2. 針對其他Security Group 設定規則
3. 一個 instances 有多個 Security Group 時，對流量的限制是寬容的(permissive)
   意思是假如有 任一 規則允許通過，則該流量就可通過

重點整理

• SG 是 instance 層級的防火牆
• 除非特別允許，所有 inbound 的流量，預設都是被擋住的
• 所有從 instance 出去(outbound)的流量，預設都是被允許的
• 規則的設定對象，可以是 一段IP range、單一IP、或 其他Security Group
• Security Group 是 stateful 的(如果流量被允許進，那流量就可以出)
• Security Group 的任何變更都會立即生效
• EC2 可以同時屬於多個 Security Group
• 一個 Security Group 可以同時包含多個 instance
• Security Group 不能阻擋特定IP，要達成此目的要使用 NACL
• 一個區域預設2500個(最多擴充到10000)個 Security Group
• 一個 Security Group 最多有 60個進站、60個出站 規則
• 一個 Elastic Network Interface(ENI) 預設5(最多16)個 Security Group