ECS安全组实践(安全组设置)
背景介绍
为云服务器设置安全组可提升云服务器的安全性。合理规划和区分不同的安全组将使您的云服务器访问控制策略更加便于调整。本文将对安全组的概念以及不同的安全组规则的设置方法进行介绍。
安全组概述以及安全组实践建议
安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。
使用过程中您可以创建自定义的安全组,或使用默认安全组,系统会为每个用户默认创建一个默认安全组,默认安全组的规则是在出方向上的数据报文全部放行,入方向访问受限,安全组内的云服务器无需添加规则即可互相访问。默认安全组您可以直接使用,详情请参见默认安全组和规则。
同样的安全组也有使用限制,详情请参见安全组的使用限制,安全组应该是白名单性质的,所以需尽量开放和暴露最少的端口,满足最小化规则,同时尽可能少地分配公网IP。更多设置安全组注意事项请参见实践建议。
安全组配置操作流程
安全组配置相关操作指引
云服务器侧加入安全组配置
当前支持对一台或多台弹性云服务器进行增加所属安全组的操作:
- 加入安全组(单台云服务器):适用于对弹性云服务器指定网卡的安全组进行操作。
- 加入安全组(多台云服务器):适用于对弹性云服务器主网卡的安全组进行操作。
加入安全组同时需注意加入安全组的约束限制:
- 更改安全组操作会覆盖弹性云服务器原有的安全组设置。
- 使用多个安全组可能会影响弹性云服务器的网络性能,建议您选择安全组的数量不多于5个。
- 批量更改安全组仅支持对弹性云服务器主网卡的安全组进行操作。
云服务器侧更改安全组配置
支持对一台或多台弹性云服务器进行更改安全组的操作:
- 更改安全组(单台云服务器):适用于对弹性云服务器指定网卡的安全组进行操作。
- 更改安全组(多台云服务器):适用于对弹性云服务器主网卡的安全组进行操作。
加入安全组同时需注意加入安全组的约束限制:
- 更改安全组操作会覆盖弹性云服务器原有的安全组设置。
- 使用多个安全组可能会影响弹性云服务器的网络性能,建议您选择安全组的数量不多于5个。
- 批量更改安全组仅支持对弹性云服务器主网卡的安全组进行操作。
云服务器侧移除安全组配置
支持对一台或多台弹性云服务器进行移出所属安全组的操作:
- 移出安全组(单台云服务器):适用对弹性云服务器指定网卡安全组进行操作。
- 移出安全组(多台云服务器):适用对弹性云服务器主网卡的安全组进行操作。
将云服务器移除安全组同时需注意移除安全组的约束限制:
- 使用多个安全组可能会影响弹性云服务器的网络性能,建议您为弹性云服务器设置的安全组总数量不多于5个。
- 批量移出安全组仅支持对弹性云服务器主网卡的安全组进行操作。
安全组配置提示
添加安全组规则时,请遵循最小授权原则。例如,放通22端口用于远程登录云服务器时,建议仅允许指定的IP地址登录,谨慎使用0.0.0.0/0(所有IP地址)。
相关文档
安全组更多文档参考: 安全组和安全组规则概述。