AWS 安全組設置指南

AWS 安全組是做用在每個實例上的網絡安全控制單元，至關於傳統數據中心的防火牆，它是一個有狀態的防火牆，安全組規則可控制容許到達與安全組關聯的實例的入站流量以及容許離開實例的出站流量。，通常咱們只須要設定它容許的入站協議端口便可。
下面以一個Web服務器（面向Internet,放在公有子網）和數據庫服務器（只接受Web服務器的訪問，放在私有子網）的安全組設置做爲示例。
一、 建立一個Web 服務安全組，命名爲「SG-web」 開放80、44三、22端口。並把此安全級引用至建立的EC2中

注意上圖中的SSH 「Source」的下拉框中選擇了「My IP」自動會填充爲您當前訪問AWS控制檯所用的公網IP。建議用這樣的方式來設置SSH的「Source」這樣設置就只有您當前全部的IP地址能夠鏈接這個EC2實例，安全風險更小。
建立完成後在控制檯安全組列表中能夠看到。

以後再建立Web EC2實例，並在第6步「選擇一個現有的安全組」，選中已建立的「SG-Web」此EC2啓動後就開放了80.44三、和22端口。

二、 建立一個數據庫服務器安全組，命名爲」SG-DB」 開放3306和22端口（用於數據庫的平常管理）。並把此安全組引用到新建立的DB EC2中。

注意下圖的「source」都是選擇的「custom」而且用「SG-Web」
安全組做爲「source」。這樣作的緣由是DB EC2放置在私有子網，通常在生產環境中，會在公有子網中放置一個堡壘機，DB管理員會先登錄到堡壘機，再登錄DB進行操做。因此若是是在有堡壘機的環境中，此處的「source」能夠引用堡壘機的安全組或私有IP地址。

建立安全組完成後能夠在控制檯安全組列表中看到。

建立DB EC2 實例時，在第6步 「選擇一個現有的安全組」，選中SG-DB 安全組，便可只能Web EC2（可堡壘機）開放3306 和22端口。

更多關於AWS 安全組相關的信息請參考：
https://docs.aws.amazon.com/zh_cn/AWSEC2/latest/UserGuide/ec2-security-groups.html